(Translate to English)
Thursday Aug 28, 2008
SDC 連載の記事として先日寄稿した OpenSSO のアイデンティティ・サービス紹介が,
Sun の開発者向けサイトの本家である
Sun Developer Network (SDN)
でも公開された.
SDN への掲載を勧めてくれた
Pat
と
Aravindan,
そしてぼくの英訳草稿をきれいに直してくれた
Marina
に深謝.
This article starts
with a description of the four ways in which you can integrate
Web applications with OpenSSO. You then learn how to secure
the login process with OpenSSO's identity-service interfaces
in a Ruby on Rails (henceforth, Rails) sample application.
Integrating Applications With OpenSSO
そしてこれが, ぼくの Sun での最後の仕事.
8/31 付で Sun を退職し,
9/1 からは別の会社 (なんかいろんな人から 「O 社に行くの!?」 と言われるんだけど,
違いますw) にて,
アイデンティティ関係のなにかしらにからむ予定.
連絡は tatsuo.kudoATgmailDOTcom, もしくは
LinkedIn
経由でどうぞ.
ブログは
http://tkudo.blogspot.com/
をとったけど,
まだなんにも書いてない...
最後に,
お世話になったみなさま,
およびこのブログを読んでくださったみなさまに,
厚く御礼申し上げます.
どうもありがとうございました.
(Translate to English)
Tuesday Jul 08, 2008
OpenSSO V1 Build 4
が出てからはや二ヶ月あまり,
ようやっと次の安定ビルドがリリースされた.
「なぜに Build 5 じゃなくて Build 4.5?」 については,
Pat 曰く 「いま作業してる Early Access (EA) 版を Build 5 として出す予定なんだけど,
ちょっとした問題点を直すのにもう少しかかるので,
ひとまずそれらの fix 前の版を Build 4 と Build 5 の間に作ったよー」
ということらしい.
リリースノートによれば,
Build 4 以降に加わった新機能は以下の通り.
個人的には,
アイデンティティ・サービスを人にすすめるときに
「Build 4.5 を使ってください」
と, ビルドを特定することができるようになったのがかなりうれしい.
これまでは 「最新のナイトリー・ビルドを使ってください」
と言うしかなかったので...
4. What's New in OpenSSO Build 4.5 from OpenSS V1 Build 4
- シンプルになった, GlassFish V2 / Application Server 9.1 用
Web Services Security エージェント
(JSR 196 SPI ベースのプロバイダ)
- Fedlet ワークフロー
- ビルド済みの Fedlet
- フェデレーション設定の検証機能
- サービス・タグ
- 新しい NameID フォーマットのサポート
- コンソールの SAMLv2 ページの配置見直し
- FAM への SecurID Java API の統合 (FAM のみ. OpenSSO では提供されない)
- Agent および IDRepo のアップグレードのサポート
- アイデンティティ・サービスの機能拡張を実装
- Metro 1.3 EA の統合 (JSR 196 など)
- すべての対応 Web コンテナ上で STS を提供
- SAMLv2 アサーションのフェイルオーバ
- オンライン・ヘルプの統合
- SiteMinder の統合
- Identity Manager の統合を検証
OpenSSO Early Access Release Notes
(Translate to English)
Tuesday Jun 24, 2008
昨日は表記の集まりに参加してきた.
幹事の水野さん,
そして発表者のみなさん, どうもありがとうございました.
- 基調講演 (=nat さん)
- XRI の基礎 (コンタクト・サービスに mailto: を使ったりもできるんすね)
から
W3C TAG のネガティブ・キャンペーンの話,
ORMS,
JAL の OpenID 採用事例,
そして
@freeXRI
の提供するツールの紹介まで,
まさにキーノートと呼ぶにふさわしい内容.
- Apache2::AuthenOpenID (lopnor さん)
- 「.htaccess に呪文を書けば結構動く」
というのは, たしかに敷居を下げるという意味で有効だよなー,
OpenSSO のアイデンティティ・サービスも,
.htaccess に
-
AuthType OpenSSO
...
- みたいに書くだけで使えるようにするといいのかなー,
などと個人的にいろいろ刺激をうけた.
- Attribute Exchange Sucks (ZIGOROu さん)
- 「SAML はこの手の間接通信では JS で POST してる」
の件, いま思い出したけど,
IdP と SP が直接通信できないような場合
(たとえば企業内部にあるアクセス管理 / SSO システム (IdP)
を使って Google Apps (SP)
にログインする)
に対応するというのが, 理由としてあったかもしれない.
- ID-WSF (伊藤さん)
- 実は最近あんま ID-WSF 関連はさわってなかったので,
IdP が WSC (Web サービス・コンシューマ) に 「DS (ディスカバリ・サービス)
にアクセスするときに提示するアサーション」
を発行したり, さらに DS が WSC に
「WSP (Web サービス・プロバイダ) にアクセスするときに提示するアサーション」
を発行したり,
さらにそのアサーションが失効したら再度新しいアサーションを取得したり,
といった, なんか基本的なことを自分がわかってないことがわかった...
ちょっと OpenSSO でリハビリします.
そして飲み会は二次会まで楽しすぎた!
ワインうまかった!
(Translate to English)
Wednesday Jun 18, 2008
再開したと思ったらまた先月落としてしまった
SDC 連載
「アイデンティティ管理の基礎と応用」,
今月は
OpenSSO の 「アイデンティティ・サービス」.
OpenSSOには、 その認証・認可機能やユーザ属性を外部のアプリケーションから利用するための Web サービス・インタフェースが備わっています。今回はこの 「アイデンティティ・サービス」 を用いて、 Ruby on Rails アプリケーションのログイン処理を OpenSSO と連携して行なう例をご紹介します。
アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する
アイデンティティ・サービスの使いかたとして Ruby on Rails
アプリケーションへの組み込み例
(application.rb)
を紹介してるんだけど,
Rails はおろか Ruby もまったくさわったことのなかった筆者 (くどう) が
「A_quick_and_dirty_homemade_authentication_solution in Ruby on Rails」
や Authenticate As Remote User plugin
をみながら半日くらいで書いた全くイケてないコードなので,
だれか添削してもらえたり,
ついでにプラグイン化してくれたりするとうれしいす... (ずうずうしい)
なお, 本気でアイデンティティ・サービスを活用するのであれば
- 認証情報だけでなく認可情報も利用 (/identity/authorize)
- トークンの有効性確認 (/identity/isValidToken) や,
属性を問い合わせた結果 (/identity/attributes) のキャッシング
- ロギング (/identity/log)
- クロスドメインへの対応 (OpenSSO のログイン後の後処理をフックして,
トークンを Cookie ではなくパラメータとしてブラウザからアプリケーションに
POST させる, とか)
- 負荷分散 (/identity/getCookieNameForToken だけでなく
/identity/getCookieNamesToForward も呼び出して,
amlbcookie (ユーザのセッションがどの OpenSSO インスタンスに管理されてるかを示す
Cookie) を得る)
など, 考慮すべきポイントはいろいろあるんだけど,
なにはともあれ,
とりあえず OpenSSO を入れて
(超簡単),
お手元のアプリケーション・フレームワークにてお試しいただければ幸いです.
(Translate to English)
Tuesday Jun 17, 2008
Salesforce Summer '08 がリリースされたというので,
SAML の設定がどうなってるのかみてみたんだけど,
どうやら受け入れることのできる SAML のバージョンは 1.1 だけみたい (たぶん. それとも, どこかに別の設定項目がある!?).
最近の主流はやっぱりバージョン 2.0 だと思うんだけど,
あえて obsolete になりつつある 1.1 を選択したのにはどういう理由があるんだろうか.
もしかして先日書いたように
どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?
【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか - tkudo's weblog about identity management
で,
しかもその提案先の使ってた SAML
のバージョンが 1.1 だったというオチだったりして.
...妄想はさておき,
これからアクセス管理 / SSO 基盤を構築するのなら,
特定のプロトコル (e.g. SAML, OpenID etc.) やバージョンに依存するのではなく,
OpenSSO のように
「SAML 1.1 / SAML 2.0 / Liberty ID-FF / WS-Federation
などの複数のフェデレーション・プロトコルの同時サポート (いわゆる『フェデレーション・ハブ』)」
の機能を備えたソフトウェアを選んだほうがいいと思う.
「うちのにんしょーきばん,
Google Apps には SAML 2.0 で SSO できるんだけど,
salesforce.com や
WebEx
は SAML 1.1 なので連携できないんだよね」
というのでは, ちょっと切ない...
(Translate to English)
Thursday Apr 24, 2008
前に言及した Fedlet
が,
いよいよ最近の OpenSSO で使える状態になってる.
試してみた感じでは,
- OpenSSO の Common Tasks から
Create Hosted Identity Provider を実行し,
Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
- その流れで Create Fedlet を実行し,
Fedlet の配備先となるサービス・プロバイダ (SP) の情報
(URL とか) を指定して, その SP 特有の設定情報が詰まった
Fedlet.zip を生成
- 産みおとされた Fedlet.zip から fedlet.war を抽出し,
SP 側のアプリケーション・サーバに配備
- IdP と SP との間での疎通テスト
という具合に, 簡単に SP 側の 「SAML の受け口」
を設定することができて, ちょっと感動.
Fedlet 入り OpenSSO
のダウンロードは以下からどうぞ.
(Translate to English)
Wednesday Apr 16, 2008
ということで前回予告した通り,
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
では,
IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.
前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)
書き上げてから言うのもなんだけど,
本稿では SAML の説明自体をかなりはしょってるので,
実際に OpenSSO の 「SAML2 サンプル」
をさわってみる際には,
以下を参考にしながら進めるといいと思う.
(Translate to English)
Friday Apr 11, 2008
来週水曜日の夕方に Sun の用賀本社にて行なわれる
「2 時間で学ぶ今月の Java ホットトピック (4 月号)」
で,
岩片さんが
OpenSSO の紹介をするとのこと.
お申し込みは以下からどうぞ.
ぼくも行こうと思ってたんだけど,
当日はどうも別件が入りそう. 残念...
(Translate to English)
Thursday Apr 03, 2008
ついさきほど,
OpenSSO V1 Build 4 が download.java.net に置かれた模様.
今回の変更点は, リリース・ノートによれば以下の通り:
- OpenSSO コンフィグレータ (初期設定ウィザード) が新しくなった
- STS サービスが GlassFish, Sun Java System Application Server,
Sun Java System Web Server,
Geronimo, Tomcat, そして WebSphere で利用可能になった
- シンプルな STS クライアントのサンプルが付属するようになった
- OpenDS を内蔵設定ストアとして使用している場合に,
その OpenDS を複数の OpenSSO インスタンス間でレプリケーションさせることが可能になった
- セキュリティ / SSL 関連の修正が行なわれた
- そのほかいろいろなバグが修正された
(こないだの恥ずかしい I18N バグも直ってる.
わーい)
(Translate to English)
Tuesday Apr 01, 2008
I have very little knowledge on both
Shibboleth
specification and implementation however, It seems easy to
integrate
Sun Java System Access Manager /
OpenSSO
with it to
centralize user authentication into single access management
infrastructure and provide some other strong authentication methods such as client certificate,
finger vein etc.
The integration
point is REMOTE_USER variable between the Shibboleth IdP and
Application Server with Policy Agent, just like what
Paul did for
Sun Secure Global Desktop / Access Manager integration.
Sets the principal name in the IdP to REMOTE_USER as
determined by the web server or container's authentication,
similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki
The user ID value is used by the agent to set the value of the
REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)
The key step here (doco)
in order to get it working is to modify the Tomcat server.xml
to look like the following, this ensures that Apache forwards
the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat
Here's a simple diagram. Let me know if I missed something.
(Translate to English)
Monday Mar 24, 2008
って, なぜに The Matrix 風味?
(Via: Daniel)
(Translate to English)
Wednesday Mar 12, 2008
実はまだ続いていた SDC 連載
「アイデンティティ管理の基礎と応用」,
再開一発目は
OpenSSO による
SAML 2.0 (によるフェデレーテッド SSO) の実習.
先日の
OpenID Extension for OpenSSO のときと同様,
今回は設定手順までを紹介.
実行環境の構成が若干ややこしめだけど
(ホスト名とポート名のあたりとか),
設定の内容自体は難しくないので,
あわてずあせらずじっくりどうぞ.
たぶん来月は各 OpenSSO インスタンスの前段に
tcpmon
をかませて,
IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.
ちなみに花木さんが
・1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog
とまとめている通り,
OpenSSO V1 Build 3 には
「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると
Federation モジュールが設定されない」
という, ちょっと恥ずかしいバグがある
(これに気づくまで SAML2 サンプルを動かすことができず,
かなりハマった...).
LANG=ja_JP.UTF-8 の場合
(うまく設定できてない) |
LANG=C の場合
(期待どおりの設定ができてる) |
 |
 |
次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは
env LANG=C ~/glassfish/bin/asadmin start-domain
などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく.
なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.
(Translate to English)
Friday Mar 07, 2008
詳細は知らないけど,
近々 OpenSSO プロジェクトに Fedlet
というものが登場するらしい.
これは気になる...
Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?
来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します.
この Fedlet は基本的には軽量版の SAML2 SDK であり,
Post プロファイルに対応し (訳注: Artifact には対応しないってことかな),
既存のアプリケーションをフェデレーション対応にするためのものです.
加えて, コンソールから設定タスクが実行できます.
この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む,
設定済みの zip ファイルを作成することができるようになります.
今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.
Subject: Ready made SP? - opensso: Mail reader
(Translate to English)
Friday Feb 22, 2008
I've just found that the bits showed up on opensso/stable directory.
Release Notes also available.
(Translate to English)
Thursday Feb 21, 2008
For the record - you have to modify domain.xml as follows before
configuring the latest nightly build, 20080219.1
of OpenSSO (aka Federated Access Manager 8.0)
on
GlassFish V2 UR1:
Edit domain.xml and change the
following options to
<jvm-options>-server</jvm-options>
from
originally it was
<jvm-options>-client</jvm-options>
Install of opensso on glassfish - opensso: Mail reader
Thanks Sujatha for
the follow-up post
on users at opensso.dev.java.net.
Main
|
Next page »
|
|
|
|
英訳よかった&#...