(Translate to English)
Friday Jan 18, 2008
Ω ΩΩ < な, なんだってー (棒読み)
2006年、2007年あたりから注目が集まりだしたOpenID。対象Webサイトで登録する必要なく、認証情報を流用できるので便利だ。そしてそれをさらに発展させたものがSAMLというプロトコルだ。
MOONGIFT: » セキュアなシングルサインオンを実現する「simpleSAMLphp」:オープンソースを毎日紹介
こういう明らかな事実誤認が生まれてしまうのは, 残念ながら
SAML 自体よく知られていないからだと思うんだけど,
さておき SAML を使うとなにができるのかをてっとり早く試してみたい,
というかたにオススメしたいのが SSOCircle.
ここでアカウント作ってから, Google Apps (ssocircle.com ドメイン)
へシングル・サインオンしたりシングル・ログアウトしたりする
(Daniel のエントリが参考になる)
ところまで, だいたい 2, 30 分でできるはず.
昼休みとかの空いてる時間にでもどーぞ.
(Translate to English)
Wednesday Oct 03, 2007
アイデンティティ管理に特化したカンファレンスとしては国内最大の,
Liberty Alliance Day.
今年は 10/26 (金) に品川インターシティホールにて開催される.
参加費用無料. ただいま事前登録受付中.
Sun からなにを展示しようか考えていたんだけど,
どうやら今回は
Pat
による OpenSSO のブースがちゃんと用意されるようなので
(ちなみに前回の Pat's 屋台はちょっとかわいそうなことになってた),
こちらでは一昨年, 昨年に引き続き
Sun Java System Identity Manager
を中心に紹介する予定.
もちろん Identity Manager のバージョンは最新の 7.1 だし,
準備が間に合えば Sun のミドルウェア・スタック全部入りデモも置こうと思っているので,
当日はぜひ弊社ブースにお立ち寄りくださいませ.
(Translate to English)
Saturday Sep 29, 2007
いろいろ気になるネタはあったんだけど,
Identity Insights
の記事チェックや
ISACA東京支部の例会
(b.s.c./tkudo で告知するの忘れてた...)
のスライド作成に追われてて,
ちょっと時間がたってしまった.
ここらでひとまずまとめ書き.
- IdentityMeme.org » Blog Archive » Latest revisions of SAML-lSSO and SAML OpenID Profile
- Jeff Hodges
による
SAML OpenID Profile のアップデート.
Service Provider (SP) は事前に
Identity Provider (IdP) のメタデータを持たずに,
ユーザが指定した OpenId String を
via Yadis, XRI, or HTTP GET
によって解決し, IdP を決定する.
また IdP も事前に SP の情報は持たずに,
SP からの <AuthnRequest> 中の AssertionConsumerServiceURL を使って SP
のエンドポイントを決定する.
- Pat Patterson : Superpatterns: YADIS/XRI Identifier Resolution with SAML 2.0
- で, それに近いことをやったのが
Pat のデモ.
しかしこのデモでは,
SP は IdP のメタデータを動的に取得しているものの
(cf. saml-metadata-2.0-os.pdf
の 4.1.1 Publication),
IdP は SP のメタデータをあらかじめ静的に持っている, とのこと.
ただそのへんは OpenSSO のコードにちょっと手を加えるだけでなんとでもなる
(by Pat).
- saml-core-2.0-os.pdf
- ということで, 技術的に言えば SAML は双方向の信頼関係がなくても動作する.
ただし SAML 2.0 仕様の Assertions and Protocols
(3.4.1.4 Processing Rules) には次のように書いてある.
つまり responder (IdP) が presenter (SP) を認証できない場合には,
エラーを返却しなくてはならない (MUST) ということ.
If the responder is unable to authenticate the
presenter or does not recognize the requested subject,
or (中略),
then it MUST return a <Response> with
an error <Status>, and MAY return a second-level
<StatusCode> of
urn:oasis:names:tc:SAML:2.0:status:AuthnFailed or
urn:oasis:names:tc:SAML:2.0:status:UnknownPrincipal.
これをどのように解釈するか.
素直にとれば, 「あらかじめ信頼関係を確立していない SP からの AuthnRequest を
IdP は拒否しなくてはならない」 と理解するのが自然だろう.
けど IdP が SP をどのように認証するかはここには書かれていないから,
SP のメタデータを IdP が持っていなかったとしても,
「わたしはなんらかの方法で動的に SP を認証できます!」
と IdP が言い張るのもアリかもしれない.
- 9. NZ SAMS Constraints on OASIS SAML v2.0 Metadata - New Zealand E-government Programme
- ちなみにニュージーランド政府の SAML 導入では,
動的なメタデータ交換を禁止してる.
その理由も含めて,
SAML 運用のプラクティスとして非常に参考になる.
Deployment guidance: Metadata Publication Resolution is NOT universally supported in vendor products (especially the DNS DDDS-style of publication). Metadata Publication/Resolution is most useful for automatic/dynamic establishment of associations between the partners. It is unlikely to attract significant numbers of SAML v2.0 deployments. Instead, metadata files are typically created and exchanged out of band between co-operating partners and then imported into the local system to configure interaction with the partner. This provides significantly better administrative control over system configuration and prevents partners from making a change that breaks interoperability.
- Anyway Sun’s OpenID IdP: Business Purpose
- プラクティスといえば,
Lauren Wood が
OpenID.sun.com のまとめを書いている.
So in the formal security review of the system, one of the
first questions was, what’s the purpose of this system?
Under 35 accesses of some consumer site (relying party) per week, most weeks
We use HTTPS for everything except the openid identifier itself
などなど.
- Pushing String » Sun OpenID IdP: protocol and implementation review
- [OpenID] [legal] Draft OpenID Intellectual Property RightsPolicy for Review
- OpenID 仕様の IPR Policy についての疑念.
The proposed rules would also prevent all OpenID
implementations from re-using portions of the text in the
standard, for documentation, which may be a typical
real-world scenario
とはさすがにならないと思うけど, どうなんだろか.
- LDAP.com - Commentary by Mark Wahl, CISA - Digital ID World and OpenID URLs (20070925)
- France Telecom の OpenID に関して,
その発表があったセッションに出席してたらしい
Mark Wahl
のエントリ.
(Translate to English)
Wednesday Sep 19, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
の第 9 回は,
前回インストール・設定した
OpenID Extension for OpenSSO
の動作確認.
今回は、 OpenID Extension for OpenSSO (以下 OpenID Extension) の動作を確認していきます。
アイデンティティ管理の基礎と応用(9):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (2/2)
本連載では
OpenID Extension の動作に最低限必要な設定の紹介にとどまっているけど,
これを実際の運用にあたってどのように構成していくかは,
Hubert
が
OpenID.sun.com
システムに関してまとめた以下のエントリが参考になると思う.
- OpenID @ Work - Architecture
- OpenID.sun.com の提供するサービスの構成.
ぼくの書いた記事の中ではユーザの登録を OpenSSO 管理者 (amadmin) が手動で行なったり,
OpenID Identifier でポイントされる HTML を静的に置いたりしたところを,
一方の OpenID.sun.com ではユーザ登録を OpenSSO の機能を使ってセルフサービス化し,
また HTML を動的に生成しているところがポイント.
- OpenID @ Work - Infrastructure Description
- OpenID.sun.com の機器構成.
ぼくの書いた記事の中では全部をひとつの GlassFish インスタンスで実行してるところを,
OpenID.sun.com ではユーザ情報をちゃんと Directory Server に格納し,
かつ OpenSSO も含めて冗長化.
さらに前段にファイアウォール / ロード・バランサを配置して,
負荷分散と SSL の終端処理も行なっている.
なお前回と今回の記事をご覧いただくとわかるように,
OpenID Extension は OpenSSO とは独立して動作する
Web アプリケーションとして実装されている
(OpenSSO からみると, OpenID Extension は Policy Agent
インスタンスのひとつとして認識される).
つまり OpenSSO 側には単に OpenID Extension
からの通信を受けつけるための接続情報だけ登録すればよくて,
OpenSSO システムになにか特別なモジュールを組み込む必要はない.
そしてぼく自身はまだ確認できていないんだけど (すみません),
この OpenID Extension は
Sun Java System Access Manager
システムと組み合わせても動作するはず.
もしすでに Sun Java System Access Manager を導入・運用されているサイトで,
さらに OpenID プロバイダの実現可能性を探りたいという野望 (?) をお持ちのかたは,
既存の環境にほとんど影響を与えずに導入することのできる OpenID Extension
for OpenSSO を, ぜひおためしください!
(Translate to English)
Friday Sep 14, 2007
おととい書いたエントリに関して,
Shinichi Tomita さんがコメントしてくれてた.
どうもありがとうございます
(たしか,
2 年前の Liberty Alliance Dayでお会いしたことがありますよね).
書きかたがうまくなかったけど,
ぼくが言いたかったことのひとつは 「少なくとも現状は」 というところ.
「relying party 側が高いリスクを負うトランザクション」
に OpenID を適用した事例, そしてそこから得た教訓や最善慣行,
あるいはビジネス要件や法制度との関係についての考察は,
SAML / Liberty ID-FF と比較するとまだそれほど出揃っていないから,
もうちょっと様子をみたほうがいいんじゃないだろうか.
次に
IdPからRPへ向かっての事前制約がない、という点においては、
利点は失われてないと思うのだけど、この点はどうなのだろうか
については,
そのあとで冨田さん自身も
[アイデンティティ情報を世間一般に解放することが]
IdPにおいて受け入れられないことだという意見であるなら、
結局のところSAMLの「確立した信頼関係」
と等価なものを追い求めることになるのかもしれない
とおっしゃっているように,
IdP となる事業者が対象の RP を固定したいと考える場合もあるだろう.
その動機はたとえばサービスの囲い込みとか,
信頼関係にない RP
に損害を与えてしまって紛争にまきこまれたりしないためのリスク回避とか.
繰り返しになるけど,
IdP から RP へ向かっての事前制約がない
ことが IdP
のビジネスにどのような意味を持つのかを検討するには,
先行事例や研究が, 現状まだ十分とは言えないと思う.
(もしかしたら FUD (Fear, Uncertain, Doubt)
っぽく読み取れてしまうかもしれないので補足しておくと,
ぼく自身はこれに関しては OpenID のコンセプトのほうが柔軟性があると感じている)
ちなみに SSOCircle
というところが OpenSSO を使って SAML2 IdP 機能を提供してる
(実際には OpenID Extension
も導入されてて, OpenID プロバイダとしてもサービスしてる) んだけど,
ここのメタデータの交換方法 (連携のための設定) は
Get the SSOCircle Identity provider Metadata
して
importing your entity
するだけみたい.
はたしてうまくいくかどうかはさておき
(OpenSSO つながりの立場からいうとうまくいってほしいんだけど,
サービス提供者を引き込むにはキャラ立ちが弱いかな...),
こういう SAML の使いかたもあるということで.
最後に,
前にもちょっと書いたけど,
「ユーザ・セントリック」 とか
「デジタル・アイデンティティの民主化」
(苦笑) とか言われてるのに,
それとは真逆にあるホワイトリストとか
PKI を導入して信頼関係の問題を解決しようとするのは後ろ向きだと思う
(や, 理性ではそれらの必要性を理解できる. だけど, ねえ...).
ソーシャル・グラフとかユーザのコンテクストとか OpenID プロバイダの経営倫理,
過去の取引内容をソースとして,
Rapleaf
のようなところがユーザの 「そのトランザクションでの」
リピュテーション・スコアを計算し,
それをもって RP がサービス提供の可否を決定する,
そんな方向に進化していったらいいなあ.
P.S.
そういえばこないだ
Interop Tokyo 2007 の IdM ネタのパネルに参加したとき,
事前の打ち合わせで崎村さんと
「今日はリピュテーションに関して議論してみますか!」
と若干盛り上がったにもかかわらず,
結局本番では時間切れになっちゃったんだった.
一回このへんが好きな人同士で飲み会やりたいすねー.
(Translate to English)
Wednesday Aug 22, 2007
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
は
OpenID Extension for OpenSSO について.
はじめは動作確認までまとめようと思ってたんだけど,
設定手順を書くだけでけっこうな分量になってしまったので,
残りはまた来月.
OpenSSO に OpenID Extension for OpenSSO を組み合わせることによって、
OpenSSO のアクセス管理 / シングル・サインオン (SSO) アーキテクチャを最大限に活用した、
高機能な OpenID プロバイダを構築することができます。
今回は、この OpenID Extension for OpenSSO のインストールから設定までをご紹介します。
アイデンティティ管理の基礎と応用(8):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (1/2)
「365 Main が停電したせいで LiveJournal の OpenID サービスがいっとき死んだ ※」
例をひくまでもなく,
アイデンティティ・プロバイダは可用性が命
(実際にはそれだけじゃないけど).
だからこそ,
WAN 越しでマルチマスタ・レプリケーションできる LDAP ディレクトリと各コンポーネントを冗長化できるアクセス管理システムを最大限活かすことのできる,
OpenID Extension for OpenSSO をぜひどうぞ.
ちなみにいまチェックしてみたところ,
GlassFish v2 は執筆時点の RC1 から現在は
RC3 に,
OpenSSO も 20070821 版が出ているので,
これから OpenSSO を試すにはこれらの最新版を使ったほうがいいと思う.
あと OpenID Extension
も先週末までひとつバグがあったので,
もしこのフィックスが入る前のソースを使ってる場合にはアップデートをよろしくおねがいします.
※ 公平を期すために書いておくと,
弊社の外向けサイトも 365 Main にホストされてた (そして同じくダウンした)
んだよね...
(Translate to English)
Wednesday Jul 18, 2007
SDC 連載
「アイデンティティ管理の基礎と応用」
も,
なんだかんだいって, はや
7 回目.
前回まではどちらかというと established な技術や製品を取り扱ってきたけど,
今回からはちょっと毛色を変えて emerging な方向にいこうかと.
まずは OpenSSO
と OpenDS
のインストールから入って,
この先
OpenID Extension for OpenSSO や
OpenDS Atom Server
に手を出していくつもり.
Sun は Solaris や Java をはじめとする自社のソフトウェアのオープンソース化を推進していますが、 それはアイデンティティ管理の分野も例外ではありません。 今回はアクセス管理 / シングル・サインオン (SSO) 機能を提供する OpenSSO と、 ディレクトリ・サービスである OpenDS をご紹介します。
アイデンティティ管理の基礎と応用(7):OpenSSO と OpenDS: オープンソースの次世代 SSO / ディレクトリ
それにしても,
最近の Sun のインフラストラクチャ系のソフトウェアの導入のしやすさは驚異的だと思う.
たとえば GlassFish v2 のインストールは基本的に
- java -Xmx256m -jar glassfish-installer-v2-b50g.jar -console
- chmod -R +x lib/ant/bin
- ./lib/ant/bin/ant -f setup.xml
の 3 ステップで完了しちゃって, その昔 NetDynamics とか
Netscape Application Server (EUC-JP でどうぞ)
のプリセールス・エンジニアをやってたころの感覚からすると, まさに極楽 (おおげさでなく).
さらに OpenSSO は
- GlassFish の autodeploy ディレクトリに opensso.war をコピー
- http://host.example.com:8080/opensso にアクセス
- パスワードを指定
するだけで動作するし,
OpenDS にいたっては, その気になればインストール時にレプリケーション設定までできてしまう!
どんだけ〜 (← 使いかた合ってる?)
まー,
こういうことは 「百聞は一見にしかず」 なので,
この機会にぜひおためしくださいませ.
(Translate to English)
Thursday May 31, 2007
OpenID.sun.com
がいよいよ運用開始! (via たまたま見つけた del.icio.us のブックマーク.
てか, まだ社内にアナウンスされてないっぽい!?)
ホーム・ページの紹介文が簡潔にまとまっててよさげなので,
さらっと訳してみた.
Sun Identity Provider for OpenID
OpenID は軽量かつ非集中的な認証システムであり,
今日の Web を構成する一部となりつつあります.
市場をリードするアイデンティティ管理ソリューションをさまざまな顧客に提供していくという戦略の一環として,
Sun は重要なテクノロジーのすべてにコミットしていますが,
OpenID もそのひとつです.
それゆえに, わたしたちは OpenID アイデンティティ・プロバイダを立ち上げました
(といっても, ヒネリが効いてます!).
わたしたちは, Web 上のアイデンティティに関して最適なソリューション,
そして利便性, コントロール, セキュリティ,
プライバシーの要件を充たすソリューションとはなにかを,
直接体験することで学びたいと考えています.
わたしたちが OpenID アイデンティティ・プロバイダに加えた 「ヒネリ」
とは, 「このシステムにアカウントを所有する人は Sun の社員である」
と保証すること, です.
アカウント所有者は自分自身のユーザ名を自由に選択することも,
また実際の氏名のかわりに架空の名前を使うこともでき,
そして Sun のメール・アドレスを使ってサインアップする必要もありませんが,
そのアカウント所有者は 「Sun の社員」 でなくてはならないのです.
わたしたちはパートナーに, このサービスを用いて認証された Sun の社員に対する,
特別なサービスの提供について話を進めています.
もちろんこの OpenID のしくみはまた, OpenID
を受けつけるウェブサイトであれば, どこででも利用することができます.
ということで,
Sun の中の人はどしどしこの 「ヒネリの効いた OpenID サービス」 に参加しよう!
ちなみに新規アカウント登録画面にアクセスするとユーザ名とパスワードを訊かれるんだけど,
ここですでに持っている
Sun Online Account を使ってログインしてしまうと,
そこから先に進めないので要注意
(つうか, ぼく自身が説明読まずにやってたらちょっとハマってしまった).
正しくは Use your Sun email address and your corporate password to log in.
と書いてある通り,
たとえばぼくだったらユーザ名に 「タツオ.クド@sun.com」 を指定してログインすること.
あとはページの指示通りに登録を進めていけば, すぐに使えるようになるはず.
たとえば
Ma.gnolia.com
とかで試してみるといいかも.
(Translate to English)
Tuesday May 08, 2007
たぶんすぐに sun.com のほうでもアナウンスされると思うけど,
PR Newswire がいちばん早かったので.
現状の OpenID が
「ブログへのコメント」 のような低リスクのトランザクションにしか役にたたない (意訳)
のを改善するためになにが必要か, どう運用していけばよいかを探るべく,
Sun みずからが実際に社員向け OpenID Provider
を運用したり
(システムは当然 OpenSSO と OpenDS によって構築),
逆に自社サイトを OpenID 対応にしたり,
Sun(TM) Web Developer Pack に OpenID サポートを入れたりと,
いろいろ試していく予定.
それにしても,
約 34,000 人いる社員全員にいきなり
OpenID サービスを提供する
(つまり ID の真正性を Sun が担保する) とは,
社員ながらびっくり.
blogs.sun.com もそうだったけど,
あいかわらずやることが極端だなー. (もちろんほめ言葉)
(Translate to English)
Monday Apr 02, 2007
金曜の夕方から, サンノゼ某所の
Pat
の家に遊びにいった.
Pat 一家は週末引越しすることになっていて,
ぼくも庭に据えつけられてたブランコ & すべり台セットを外すのを手伝ったりした.
On Friday evening I visited to Pat's house. Pat's family was
going to move in that weekend. I helped him to remove swing and
slide set, which was installed at its garden.
訪問の目的のひとつは彼の音楽コレクションをチェックすることだったんだけど,
これがなかなかうらやましい環境だった.
RAID 5 のファイル・サーバをたてて, そこに約 25,000 曲を格納し,
無線 LAN 経由で自宅のどこからでも聴けるようにしてるんだとか.
ちなみに下のは Pat の自作 PC. 内部に青白く光る蛍光管みたいなやつを仕込んでいる.
One of main purposes of the visit was to check his collection of
music. There was really envious listening infrastructure. He
built a RAID 5 file server, stored approx. 25,000 tunes, and
configured WiFi connection to listen to the music anywhere in the
house.
BTW, the following is Pat's PC with a blue light tube inside.
リビング. テレビの上に置いてある
SliMP3
を使ってファイル・サーバにある MP3 を再生,
その出力をごっついオーディオに流し,
イームズのラウンジチェアに横たわって音楽鑑賞, すばらしすぎる!
ちなみに聴いたなかでは Mr. Fingers / Can You Feel It のボーカル入りバージョンとか,
Acid Brass
が良かった.
Living room.
Playing MP3 files (on the file server) with SliMP3,
streaming sound to good audio,
and listening to the music with Eames Lounge Chair and Ottoman,
so fantastic!
Tunes I picked were vocal version of Can You Feel It by Mr. Fingers,
and Acid Brass.
ひとしきり Pat のコレクションを漁った後,
近所のインド料理屋に行くことに.
そしてガレージにあったのは... Patmobile (自称)!
ポルシェもコンバーチブルも乗ったのはこれがはじめてだったんだけど,
すごいねコレ. クルマ好きの人の気持ちがちょっとわかったような気がした.
After looking for Pat's selection for a while,
we were to go to an Indian restaurant.
When entering the garage, I saw... Patmobile!
Though I hadn't had any experience of Porche / Convertible till then,
I may be able to understand car enthusiast now.
向かった先は
Rangoli
という, コンテンポラリーなインディアン.
Pat 家の行きつけらしい.
OpenSSO, ベイエリアでの生活, 元 Trustbase 関係者の近況,
Tom & Alex (超かわいいけど超やんちゃ),
あとまあいろいろな話をしつつ,
チキン・カレー, タンドーリなラム, ガーリック・ナン,
あと名前を忘れたけどホウレンソウのペーストみたいなやつをがっつり.
全部おいしかった.
We had a dinner at
Rangoli, contemporary Indian restaurant, where Pat's family frequent.
We chatted a lot of topics such as OpenSSO, the life in Bay Area,
ex-Trustbase people's recent news, Tom & Alex (So cute and rambunctious)
etc.,
with chicken curry, tandori lamb, garlic naan and popeye paste. All good taste.
でまた家に戻って, Karen を含めた 3 人でお茶しながらまったり.
お土産に持っていったひよ子が好評でなにより.
以上,
かなり充実した最終日の晩でした.
Thanks, Pat!
Then we came back to the house and had tea with Karen.
I appreciated that they liked my souvenir,
Hiyoko Cake.
So, it was a wonderful evening in the last day of this trip.
Thanks, Pat!
(Translate to English)
Thursday Mar 15, 2007
OpenSSO 由来の派生プロジェクトが
OpenSSO Extensions
というかたちに整理された. 現時点では次の 3 つが公開されている.
- SAML 2.0 PHP Relying Party:
これまで
Lightbulb
と呼んでいた, PHP の SAML 2.0
サービス・プロバイダ・モジュール.
- OpenID Identity Provider for OpenSSO:
OpenSSO に OpenID アイデンティティ・プロバイダ機能を追加するモジュール.
実際に動くモノを試すこともできる →
http://openid.pbryan.com/
- PHP Client SDK for OpenSSO: PHP の OpenSSO クライアント SDK.
Access Manager / Federation Manager
のコードを従来通りプロプライエタリなままにしていたとしたら,
たぶんこれらのモジュール, とくに OpenID 関係は世に出てこなかった
(もしくはもっと時間がかかった) と思う.
そういう意味でこの Extensions の公開というのは,
OpenSSO にとってのひとつのマイルストーンと言っていいんじゃないだろうか.
(Translate to English)
Wednesday Nov 01, 2006
今朝方 java.net から来てた
CVS Digest メールがやけにサイズ大きいなーと思ったら,
ついに
OpenSSO
へアイデンティティ・フェデレーションのコードがチェックインされたようだ.
この他にも最近の OpenSSO は,
Lightbulb (PHP ベースの SAML 2.0 対応サービス・プロバイダ)
や
J2EE ポリシー・エージェントが公開されたりと,
かなりいい感じ.
そういえば昨日 Liberty Alliance Day 2006 の展示会場で
Pat 本人に Lightbulb のデモを見せてもらったんだけど,
an initial version
のくせに,
ちゃんと真面目にアサーションのディジタル署名の検証を実装してるあたりが個人的には超ウケた.
さすがその昔,
某 Identrus 対応 XML メッセージング製品のプロダクト・マネージャをつとめてただけのことはある...
«
Previous page |
Main
|
Next page »
|
|
|
|
