(Translate to English)
Tuesday May 13, 2008
今月末に弊社用賀本社にて開催される表記のセミナーで,
ふたコマあるセッションのうちひとつを担当することになった.
お題は
システム上の ID 情報と実際の人事情報、きちんとリンクしてますか?
- Sun アイデンティティ管理ソリューションによる確実なアクセス権限管理の実現 -
ということで,
LiveCycle Rights Management ES
にきちんとドキュメント・コントロール
(ご参考)
を行なわせるためには,
その認証・認可のよりどころとなるユーザ情報
/ グループ情報のライフサイクル管理もきちんとできてないとダメですよー,
そのためには Sun の
Identity Manager
や
Role Manager が役立ちますよー,
というお話をさせていただく予定.
お申し込みは以下のイベント告知ページからどうぞ.
ところで余談だけど,
Rights Management ES と
Acrobat
との間でのユーザ認証状態のやりとりって,
SAML アサーションを使ってやってるみたい.
なんか, 気づかないところで地味に普及してるんだなあ...
Rights Management ES で Acrobat ユーザーが認証されるときに、
サーバーから Acrobat に SAML 認証のアサーションが返されます。
Acrobat を使用してログインした後に、Web アプリケーションにアクセスするための
SSO が SAML アサーションによって実現されます。
Acrobat で Web アプリケーションを開く場合、
ユーザーはアサーションで認証され、
ユーザー名とパスワードを入力するように求められません。
LiveCycleTM ES サービス, 54 ページ
(Translate to English)
Thursday Apr 24, 2008
前に言及した Fedlet
が,
いよいよ最近の OpenSSO で使える状態になってる.
試してみた感じでは,
- OpenSSO の Common Tasks から
Create Hosted Identity Provider を実行し,
Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
- その流れで Create Fedlet を実行し,
Fedlet の配備先となるサービス・プロバイダ (SP) の情報
(URL とか) を指定して, その SP 特有の設定情報が詰まった
Fedlet.zip を生成
- 産みおとされた Fedlet.zip から fedlet.war を抽出し,
SP 側のアプリケーション・サーバに配備
- IdP と SP との間での疎通テスト
という具合に, 簡単に SP 側の 「SAML の受け口」
を設定することができて, ちょっと感動.
Fedlet 入り OpenSSO
のダウンロードは以下からどうぞ.
(Translate to English)
Wednesday Apr 16, 2008
ということで前回予告した通り,
今月の SDC 連載
「アイデンティティ管理の基礎と応用」
では,
IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.
前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)
書き上げてから言うのもなんだけど,
本稿では SAML の説明自体をかなりはしょってるので,
実際に OpenSSO の 「SAML2 サンプル」
をさわってみる際には,
以下を参考にしながら進めるといいと思う.
(Translate to English)
Tuesday Apr 01, 2008
I have very little knowledge on both
Shibboleth
specification and implementation however, It seems easy to
integrate
Sun Java System Access Manager /
OpenSSO
with it to
centralize user authentication into single access management
infrastructure and provide some other strong authentication methods such as client certificate,
finger vein etc.
The integration
point is REMOTE_USER variable between the Shibboleth IdP and
Application Server with Policy Agent, just like what
Paul did for
Sun Secure Global Desktop / Access Manager integration.
Sets the principal name in the IdP to REMOTE_USER as
determined by the web server or container's authentication,
similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki
The user ID value is used by the agent to set the value of the
REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)
The key step here (doco)
in order to get it working is to modify the Tomcat server.xml
to look like the following, this ensures that Apache forwards
the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat
Here's a simple diagram. Let me know if I missed something.
(Translate to English)
Monday Mar 24, 2008
って, なぜに The Matrix 風味?
(Via: Daniel)
(Translate to English)
Tuesday Mar 18, 2008
昨日、サイボウズ・ラボにてIdentity Conference #01を開催しました。
Identity Conference #01を開催しました - Yet Another Hackadelic
ということで,
おととい (日曜日) 会社の近くで開催された
Identity Conference #01 + 第 2 回アイデンティティ飲み会に行ってきた.
勉強会のほうでひとコマ 30 分ほど
「技術比較: OpenID と SAML」
の紹介をさせていただいたんだけど,
なんかグダグダですみませんでした...
ZIGOROu さん,
きれいにまとめてくださってありがとうございます...
そういや,
ぼくが言った 「OpenID Provider と Relying Party の総当たりテスト」 って,
OSIS のやつです.
ご参考まで.
あと,
自分の保有する複数のディジタル・アイデンティティを束ねるという意味では
CardSpace とか
Clickpass
とか,
もっと単純に OpenID Authentication 2.0 の
Directed Identity
なんじゃないかなと思ったけど,
Relying Party の特徴とか, いま現在のコンテクストをみて
「このような場ではこのようなアイデンティティが適切でしょう」
と教えてくれるアイデンティティ・プロバイダ
(あえて OpenID Provider と限定しない)
は, たしかにおもしろそう.
勝手に名づけるなら, Suggested Identity
ってとこかな.
(Translate to English)
Wednesday Mar 12, 2008
実はまだ続いていた SDC 連載
「アイデンティティ管理の基礎と応用」,
再開一発目は
OpenSSO による
SAML 2.0 (によるフェデレーテッド SSO) の実習.
先日の
OpenID Extension for OpenSSO のときと同様,
今回は設定手順までを紹介.
実行環境の構成が若干ややこしめだけど
(ホスト名とポート名のあたりとか),
設定の内容自体は難しくないので,
あわてずあせらずじっくりどうぞ.
たぶん来月は各 OpenSSO インスタンスの前段に
tcpmon
をかませて,
IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.
ちなみに花木さんが
・1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog
とまとめている通り,
OpenSSO V1 Build 3 には
「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると
Federation モジュールが設定されない」
という, ちょっと恥ずかしいバグがある
(これに気づくまで SAML2 サンプルを動かすことができず,
かなりハマった...).
LANG=ja_JP.UTF-8 の場合
(うまく設定できてない) |
LANG=C の場合
(期待どおりの設定ができてる) |
 |
 |
次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは
env LANG=C ~/glassfish/bin/asadmin start-domain
などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく.
なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.
(Translate to English)
Friday Mar 07, 2008
詳細は知らないけど,
近々 OpenSSO プロジェクトに Fedlet
というものが登場するらしい.
これは気になる...
Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?
来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します.
この Fedlet は基本的には軽量版の SAML2 SDK であり,
Post プロファイルに対応し (訳注: Artifact には対応しないってことかな),
既存のアプリケーションをフェデレーション対応にするためのものです.
加えて, コンソールから設定タスクが実行できます.
この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む,
設定済みの zip ファイルを作成することができるようになります.
今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.
Subject: Ready made SP? - opensso: Mail reader
(Translate to English)
Thursday Jan 24, 2008
あ, あと
そのために、SAMLでは各SP<=>IdPのペアごとに異なる中間の識別子を使っている。
SAMLについて自由勝手に紹介 - snippets from shinichitomita’s journal
で思い出したけど (なお 「使っている」
というよりは 「使うこともできる」 のほうが適切かと),
OpenID 2.0 を採用した一部の IdP でも,
このようなやりかたをしている / しようとしているみたい.
具体的には OpenID.ee と
Yahoo!.
それぞれとくに OpenID.ee では自身の管理しているアカウント名とは別の識別子を,
RP (Relying Party) ごとにランダムに生成し払い出すらしい.
3. openid.ee/4e1243bd22c66e76c2ba9eddc1f91394e57f9f83 which is a "pseudo-anonymous" or "opaque" per-site identifier. - used for 'partial anonymity', something that consumers very often would like to use.
[OpenID] OpenID 2.0, PAPE and directed identities
Also note that even when you use Yahoo ID to sign in to a site that accepts openid, there is no personal information being shared. By default only an encrypted identifier (e.g. https://me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA) will be shared with the RP.
[OpenID] Opt out of Yahoo OpenID?
Yahoo! JAPAN がやろうとしている OpenID Provider の設定は知らないけど,
もし Yahoo! と同じだとすると,
Yahoo!IDは微妙にセンシティブだと思っていて、あまり公開したくない
ような人からも受け入れてもらえそう.
加えて Yahoo! の場合には,
- Flickr の photos URL (例: www.flickr.com/photos/naveen)
- Yahoo! の URL (例: me.yahoo.com/naveen)
RP ごとにランダムに自動生成される URL (例: 上記のような me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA)
のいずれかからユーザが選べるようになるそうだ.
Yahoo! みたいなところは
「抱えているアイデンティティの量が突き抜けている」
というだけで IdP としてものすごく有利だろうなあ
(逆に, その一点だけでも他の IdP
と差別化できる) と以前考えたけど,
それだけに満足せずいろいろなひねりが入ってそうで,
ちょっと楽しみ.
1/28/'08 追記:
Yahoo! JAPAN も OpenID 2.0 オンリーの模様.
※お客様の安全を考慮して、Yahoo! JAPANのOpenIDでは、OpenID2.0の仕様に対応したサイトにしかログインできません。
OpenIDとは? - Yahoo! JAPAN
4/14/'08 追記:
ちょっと前に気づきつつ訂正しそびれてたけど,
Yahoo! の 「encrypted identifier」 は結局 OpenID.ee のとは違って,
「RP ごと」 に払い出されるものではなかったんだった.
つまり
there is no correlation inhibition
てこと.
がっかり.
(Translate to English)
Thursday Jan 24, 2008
先週の飲み会をうけて,
冨田さんが
SAML の紹介を書いている.
ただ、今回はきっとtkudoさんが添削してくれるはずなので、
かなりのびのびと書いちゃいます。
SAMLについて自由勝手に紹介 - snippets from shinichitomita’s journal
と言われましても,
ツッコむべき間違いが見あたらないんですが ;)
あえて指摘するなら, どーでもいい部分で,
社内 IdP (Idenity Provider) として例示するのであれば
Sun Identity Manager
じゃなくて
Sun Java System Access Manager
のほうがしっくりくるなあってことくらい.
ちなみにぼくにとっての SAML2 の萌えポイントをひとつ挙げるなら,
実は過去にも何回か言及してるんだけど
(これとかこのへん),
やっぱり IdP Proxy.
これによって, たとえば以下にあるように,
あるサービス (SP: Service Provider) を利用したいときにその
SP の属する信頼の輪 (CoT: Circle of Trust) の中の IdP ではなく,
別の CoT 内の (つまり当該 SP とは直接の信頼関係にない) IdP を使って
SSO するようなことができる.
SACSIS2005 チュートリアル: アイデンティティ管理技術とその利用事例
Figure 4: Interconnection between two CoTs - MWS Network Identity Phase 2 Architecture Draft Version 1.0 – 1 June 2005
そういえば 2/15 (金) に都内で
「SAML2.0を利用したアイデンティティ連携」 のセミナーがあるみたい
(もしかしてこれが例の, SAML ブートキャンプ!?).
萌えどころ以外をさらにちゃんと学びたい人は,
これに出てみるといいんじゃないかと思う.
- 「第一回Liberty Alliance 技術セミナー」
- 日時 2008/2/15(金) 15:00〜17:00 (受付は14:45に開始いたします)
- 会場 NEC 本社ビル http://www.mapion.co.jp/c/f?uc=4&pg=1&ino=BA363571&grp=nec
- 参加料 無料 (事前登録制)
- スケジュール
- 15:00〜16:30 [SAML2.0を利用したアイデンティティ連携]
- 16:30〜17:00 質疑応答
- 講師 畠山 誠 日本電気株式会社 共通基盤ソフトウェア研究所
(Translate to English)
Monday Jan 21, 2008
先週の金曜日は七時半から十一時すぎまで,
ずーっとアイデンティティねたで盛り上がることができてしまった.
ぜひまたやりましょー!
以下, 参加されたみなさんのエントリから, いろいろ思い出しつつ...
ZIGOROu さん:
OpenIDだとかSAMLだとかの切り口の違いって、
って話で分けられるのかなとか思いました。
第1回アイデンティティ飲み会 - Yet Another Hackadelic
マジレス厳禁
のところ, 真面目にフォローアップしてすみません...
けど, これには基本的に同意.
OpenID, SAML,
あるいはほかのアイデンティティ・フレームワークの中からどれを使うべきかを決定する一番の要件は,
- Idetity Provider (IdP; OpenID でいうところの OpenID Provider)
- Service Provider (SP; 同 Relying Party)
- エンドユーザ
の三者の中でのおカネの流れだと思う.
Identity Provider と Service Provider,
つまり「組織から組織へと」
おカネが流れる場合には, 組織対組織の信頼関係を表現するのに最適
(というか現実解) である PKI
にネイティブに対応した SAML 仕様が適している
(余談だけど, 個人対個人とか個人対組織のための
PKI ってホントに広まらないよなあ...).
Google Apps Premier Edition
なんかも
the partner must provide Google with the URL for its SSO service as well as the public key that Google should use to verify SAML responses
と書かれていることから推測すると,
企業 (IdP) からの SAML レスポンスにディジタル署名をつけさせて,
信頼できない企業へのサービス提供の防止と,
企業が表明した SAML レスポンスに対する否認防止をねらってるっぽい.
一方,
組織間ではなく 「Identity Provider とエンドユーザとの間」
「Service Provider とエンドユーザとの間」 におカネが流れる場合,
あるいはまったくおカネが流れない場合, あるいは広告モデルの場合には,
事前の信頼関係の構築を明に暗に求める SAML 仕様はちょっと重たい.
こういう分野には OpenID のような考えかたのほうが向いてるはず.
ただこれらの向き不向きはあくまでも現状であって,
OpenID + リピュテーション・サービスとか,
動的フェデレーション可能な SAMLとかが実現すると,
また状況は変わってくるんだろうなーと思う.
あと
名指しすると反応してくれるかもと言うことで、
同上
ということなので, ぼくも勝手にエンタープライジーな方面で名指ししてみる :)
ご都合があえば, 次回ぜひ!
まちゅさん:
言われてみれば SAML の話ってあんまりネットにでてこない。
第1回アイデンティティ飲み会 (エンタープライズとWebの素敵な出会い) - まちゅダイアリー (2008-01-18)
たしかに.
他にあるとすると, 手前味噌だけど, 昨年書いたコレ↓とかどうでしょ.
SAML, Liberty Alliance, ID-WSF などをさらっと紹介してます.
冨田さん:
ソーシャルブックマークサイトなどでブックマークされてるのをみると、あまりidentityタグって使われてない。なんでも「認証」って、おいおい(tkudo)
アイデンティティ飲み会 - snippets from shinichitomita’s journal
そうそう, 飲み会の席でも言ったけど,
きちんと identity タグを使ってるのって冨田さんくらいなんじゃないかという印象がある.
しかもいまみたら,
ちゃんと
identity タグと
authentication タグを使いわけてるし.
さすが.
ちなみにぼくのプライマリのブックマーク先は,
社内にある某 del.icio.us クローンだったりする.
ずっこくてすみません...
これからは
del.icio.us/tkudo
をちゃんと更新することにしよう.
全然関係ないけど、大昔工藤さんにおしえてもらったこのブログが好きです。翻訳かけて読んでます。
Korean Identity Management(KIM)
同上
同じく, ぼくもこんなフィード経由で読んでます →
http://preview.tinyurl.com/ytl7z7
たけまるさん:
終電が早かったので先に帰ったのですが,
支払いを忘れてしまいました ><
ホントに申し訳ありません.特に幹事の工藤様,早急に支払いますので連
絡くださいませ.
... 内容については書く元気がなくなったので,ZIGOROu さんや machu さ
んのブログを見てください.まぁ,支払いを忘れるくらい盛り上がったっ
てことで..
たけまる / 第1回アイデンティティ飲み会 (と信じられないようなミス)
たけまるさん,
一応あとでご連絡しますけど,
でも飲み代は第 2 回のときでもいいですよー.
それよかぜひ内容書いてください!
ここギコねねさん:
行ってみた感想としては、とりあえず「ほとんど判らなかった」状況でした...。
特に、私の席は周囲がエンタープライズ系の人中心で、OpenID/SAMLで言うところのSAMLの話題が中心だった(もしかしたらOpenID/SAMLを問わないアイデンティティ一般の普遍な話題だったのかもしれませんが、それすら判らない状態)ので、そちら方面はほとんど知らない私はキーワード収集するのが精一杯と言う感じでした。
ここギコ!: アイデンティティ飲み会、行って参りました
すみません...
しかもぼくも高橋さんとかと
「Data Portability
とかいう今こそ ID-WSF People Service
が注目されるべき!」
とか
「アドレス帳のポータビリティとコンタクト・ブックのポータビリティはわけて考えないといけないですよ!」
とか, OpenID とはあんま関係ないことばっか話してたような気がします...
ともあれ, みなさん満足していただけたみたいで,
企画して良かったです!
(Translate to English)
Friday Jan 18, 2008
Ω ΩΩ < な, なんだってー (棒読み)
2006年、2007年あたりから注目が集まりだしたOpenID。対象Webサイトで登録する必要なく、認証情報を流用できるので便利だ。そしてそれをさらに発展させたものがSAMLというプロトコルだ。
MOONGIFT: » セキュアなシングルサインオンを実現する「simpleSAMLphp」:オープンソースを毎日紹介
こういう明らかな事実誤認が生まれてしまうのは, 残念ながら
SAML 自体よく知られていないからだと思うんだけど,
さておき SAML を使うとなにができるのかをてっとり早く試してみたい,
というかたにオススメしたいのが SSOCircle.
ここでアカウント作ってから, Google Apps (ssocircle.com ドメイン)
へシングル・サインオンしたりシングル・ログアウトしたりする
(Daniel のエントリが参考になる)
ところまで, だいたい 2, 30 分でできるはず.
昼休みとかの空いてる時間にでもどーぞ.
(Translate to English)
Friday Jan 11, 2008
「アイデンティティ飲み会」の件,
以下のみなさまに案内を送った (つもり).
もし届いていなかったらご連絡くださいませ.
それでは, 来週金曜の晩に!
(Translate to English)
Thursday Jan 10, 2008
そういや
trust
で思い出したけど,
正月休みに読んだたとえ話, ちょっとウケた.
One more thought on the love and trust linkage. One of the fellow identerati told me this:
Identity federation is like high school sex. Everyone is talking about it. But hardly anyone is doing it. And even the ones that are doing it, are not doing it right (and not for the right reasons either).
For federation to be long lasting, there should be love. And trust.
itickr.com » Blog Archive » Love.Federation.Cello Tape.Collaboration…and Viagra
OpenID は
promiscuous
だから,
きっと love や trust は不要に違いない ;)
P.S. ちなみにこの言い回し自体はけっこう使われてるっぽい.
|
|
|
|
ほー、しらな&#...