火曜日 4 01, 2008

【SDN記事の紹介】Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Server


こんにちは。
風が強いですね。桜が散ってしまわないか心配です。

今日は、SDN(Sun Developer Network)の記事を紹介します。これまた、二ヶ月くらいまえで申し訳ないですが。。。
Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Serverってことで、OTP(One Time Passwor:湾タイムパスワード)の製品(ActiveIdentity 4TRESS Authentication Server)との連携に関する記事です。
Great news for identity developers! An integration of Sun Java System Access Manager (henceforth, Access Manager) and ActivIdentity 4TRESS Authentication Server (henceforth, 4TRESS) is now in place. Newly available as an OpenSSO extension is an Access Manager authentication module that adopts the 4TRESS-supported one-time password (OTP) schemes, including Europay, MasterCard, and Visa (EMV or Chip and PIN). That Access Manager module is known as the 4TRESS OTP authentication module.

kimimasa の適当訳
アイデンティティの開発者に素晴らしいニュースです。Sun Java System Access ManagerとActiveIdentity 4TRESS Authentication Server の連携が現実となりました。OpenSSOの拡張機能として新しく利用可能になったAccess Managerの認証モジュールは、4TRESS がサポートするワンタイムパスワードのスキーマに対応します。このスキーマは、Europay,MasterCards,Visa(EMVあるいは、ChipとPIN) も包含しています。Access Managerの認証モジュールは4TRESS OTP認証モジュールとして知られています。
Achieving OTP-based Authentication by Integrating Sun Java System Access Manager and ActivIdentity 4TRESS Authentication Server

という感じで、Access Managerの認証モジュールを追加して、OTPでの認証を使用できるようにするという記事です。コンテンツは
  • バックグラウンドと概要(Background and Overview)
  • セッションアップデート機能のアーキテクチャ(Architecture for Session Upgrade)
  • インストールと設定(Installation and Configuration)
  • 配備(Deployment)
  • テスト(Test)
  • 謝辞(Acknowledgment)
  • 参考(References)
という構成で、インストールして設定して、配置して、テストするという流れで書かれていますので一連の流れが把握しやすくなっています。

以前は、Access ManagerのようなWAM(Web Access Management)製品はSSO(シングルサインオン)ができればよくてそのために導入されることが非常に多かったです。
現在ももちろんSSOのニーズはありますが、SSOに加えて多次元認証(この記事の場合は、「LDAP上のID/Password」と「4TRESSによるOTP」の2次元認証)のニーズも多くなっています。
カレンダーやグループウェアやBlogなどの簡単に利用できることが大事なアプリには、ID/Passwordでの認証でOKとして、経理や受注管理などの高いセキュリティレベルが求められるアプリケーションにはOTPでの認証を必要とする。といったケースが今後増えてくると思います。そのような要望がありましたら、ぜひAccess Managerの多次元認証の機能(実際は複数の認証モジュールの組み合わせ)をご検討頂ければと思います。
ではまた。参考になれば幸いです。
_kimimasa

火曜日 2 05, 2008

【docs.sun.com新規マニュアル】Technical Note: Host Name Changes in a Sun Java System Access Manager 7.1 WAR Deployment

こんにちは。
docs.sun.com: Sun Java System Access Manager 7.1 に新規ドキュメントが追加されました。
Technical Note: Host Name Changes in a Sun Java System Access Manager 7.1 WAR Deployment [ダウンロード]
「ホスト名を変えるにはどうしたらいいのですか??」というのは頂く質問の中でも多いほうです。このドキュメントを見ていただければ比較的簡単に変更をして頂くことができます。対象となるのは、war形式をデプロイしたAccess Manager 7.1です。
ただ、インストール時に決めておいたほうが楽は楽だと思いますので、計画はしっかりたてましょー :)
_kimimasa

月曜日 1 07, 2008

【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 2: Advanced Authorization


こんにちは。
明けましておめでとうございます。旧年中は大変お世話になりました。今年もよろしくお願い致します。

今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 2: Advanced Authorizationってことで、例によって続きもので、今回は Part2 : Advanced Authorization です。Part1:Basic Authorization は以下で紹介しています。 ここにも引用しておきます。
今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorizationってことで、企業内のJavaアプリケーションに対してどのようにアクセスレベルに応じたfine-grained authorization model(きめ細かい認証モデル)を作っていくかを架空の企業を想定して解説しています。

Indigo ConsultingというSun Java Enterprise Systems (JES) のインテグレーションをやってくれている会社のRobertさんが寄稿してくれたみたいです。

概要をざっくり訳すと、

Over the past few years, demand has been steadily rising for robust solutions for securing Web applications. To ensure adequate security, most enterprises that offer online Web services implement security on two service levels:

最近、堅牢なウェブアプリケーションセキュリティの需要は確実にましています。適切なセキュリティレベルを保証するために、オンラインのウェブサービスを提供する企業は次の2つのフェーズで、ウェブでのサービスのセキュリティを実装しています。

  • Authentication — To verify that you are who you claim to be.
  • Authorization — To confirm that you have the privileges to the resources you would like to access.
  • 認証 - あなたが本当にあなた自身であるかか検証すること。
  • 認可 - アクセスしたいリソースにアクセスする権限をもっているか確認すること。

Meeting the service-level requirements calls for a detailed, meticulous design of the architecture and painstaking implementation.

要求されるサービスレベルを満たすには、詳細で細部まで行き届いたアーキテクチャデザインと念入りな実装が求められます。

This article, Part 1 of a series, describes how to use Sun Java System Access Manager (henceforth, Access Manager) to fulfill the authorization requirements for a fictitious health-care insurance company, EB Health. Access Manager, an enterprise platform, secures Web applications and services with authentication, single sign-on, and authorization capabilities. The entire implementation for EB Health's needs is based on the standard, out-of- the box capabilities and custom extensions of Access Manager 6.3 (Sun Java Enterprise System 2005Q2) and ported to Access Manager 7.1 (Sun Java Enterprise System 5)—with no modifications to the source code or configurations.

この記事では、続きものの Part1 として、Sun Java System Access Managerをどのように使って架空の企業医療保険会社 EB Healthのウェブアプリの認証に関する要求・要望を満たすのかを記述しています。Access Manager、エンタープライズプラットフォーム、セキュアなウェブアプリケーション、認証サービス、シングルサインオン、認可の機能。EB Health の要望の実装は、Access Managerの製品そのものの機能とAccess Manager 6.3 のカスタム拡張機能を Access Manager 7.1 に実装したもの(7.1へ実装するためのソースコードの変更と設定変更は必要ありませんでした。)をベースとしています。

な感じです。 設定方法の画面のキャプチャや、Java のソースコードもありますので、Access Managerを使ってシングルサインオン環境を構築される開発者の方にはとても参考になるかと思います。10分くらいで読める軽めのドキュメントですのでよろしければ、是非ご覧下さい。
【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorization: kimimasa's blog

で、Part2: Advanced Authorization では以下のような要望、要件を実現していく方法を解説しています。
Requirements
要望、要件

As a result of acquisitions, EB Health now owns many multiplatform applications written in the Java or .NET programming language and must build a Single Sign-On (SSO) strategy that caters to the platforms EB Health supports. Here are the requirements:

企業買収によって、EB Healthでは、Java あるいは.NET で書かれた複数のプラットフォームで稼働する様々なアプ���ケーションを所有(利用)することに」なった。そして、EB Health が使用する(サポートする)プラットフォームにおけるシ�����グルサインオン環境の構築が必須要件となっている。要望、要件は以下。

  • An SSO architecture for both Java and non-Java applications with Access Manager.
    Java と Java以外のアプリケーションの為のSSOアーキテクチャ。(Java だけではなく、.NETやPHP にも対応してねってことですね。現実にも良くある要件です。)
  • Enhancement of the fine-grained model for faster performance. Applications with many secure widgets on a page require multiple invocations to the Access Manager for policy evaluation; hence, performance deteriorates.
    fine-gainedモデルによるアクセス管理の拡張(よりよいパフォーマンスを実現するため。)たくさんのセキュリティが確保されたウィジェットを1つのページに持つようなアプリケーションでは、Access Manager に対するポリシーチェックの呼び出しが複数必要になる一方、ポリシーチェックの回数が増えることはパフォーマンスの低下を招きます。(つまり、fine-grainde モデルのアクセス権限チェック(ポリシーチェック)を拡張していくことで、より少ない問い合わせで、細かいポリシーチェックが行えるように実装、拡張していこうってことですね。)
  • Extension of the Role-Based Access Control (RBAC) authorization to support non-Java applications in the fine-grained authorization model.
    Java以外のアプリケーションのサポートと、fine-grained 認可モデル(fine-grained なアクセス権限チェックモデル)を実現するために必要となる ロールベースのアクセス権限チェック(認可)の拡張。

Access Managerは Javaで作られたアプリケーションですが、WebServiceやPolicyAgent(IISや各種WebServer application server上にインストールするAccess Manager用のAgentモジュール)を使用することで、Java以外のアプリケーケーションと連携することも可能となります。
一般的に企業においては、1つの言語や1つのプラットフォームですべてのアプリケーションが稼働しているということはまずありません。(標準化という意味では1つの言語や1つのプラットフォームに統一することは理想ではありますが、現実としてはあまりないのかな?と思います。)したがって、企業内には異なる言語や異なるプラットフォームを使用することを前提として考えておくことが必要です。
今日、紹介させてもらった、JavaとJava以外のアプリケーションを WebServiceの層で連携させて、アクセス権限管理、アクセス権限チェックに関しては一元的に実施するということは、今後内部統制をより確実にそしてより容易に実現していく上では非常に参考になるかと思います。
20分くらいで読んで頂けるので、是非ご一読下さい。Part1 の内容をベースに書かれていますので、まずは Part1から目を通して頂いた方が理解が早いかと思います。
ではまた。
_kimimasa

月曜日 10 15, 2007

【BigAdmin記事の紹介】Sun Java System Directory Server 6.0 as an LDAP Naming Service

こんにちは。
今日は、BigAdminの新規記事を紹介します。 (BigAdminとは、Sunが提供しているシステム管理者さんの為の技術情報ポータルサイトです。)
The BigAdmin portal is a Web-based, community-driven repository of resources specifically for system administrators -- by sys admins. Keeping in the tradition of bulletin boards, the BigAdmin portal enables users to both receive and post useful information, resources, and tips. The BigAdmin team continually posts useful, cool things that sys admins care about. However, realizing that we can't identify all resources that are available, we also encourage our user community to submit things that they find useful.
BigAdmin FAQ
Sun Java System Directory Server 6.0 as an LDAP Naming Service ってことで、Directory ServerSolaris 10,Solaris9,Solaris8さらには、RedHat4, AIX5.3 のNamingServiceとして使用する際の方法(Howto)をまとめてあります。簡単にいうと、OSのpasswd,shadowファイルや、NISではなくて、LDAPをOSの認証だったり、ネーミングサービスに使う際のインストールや設定の方法を解説した記事です。

この記事はかなりよいです。(そのかわり、記事のボリュームもかなりのものです。)

Directory Server側の設定方法、OS(ここではLDAPクライアントとなる)側の設定方法のどちらか一方であれば製品ベンダのマニュアルなどで探すことはできますが、その両方がまとめて記述されているのはかなり珍しいと思います。BigAdminという技術ポータルならではの情報だと思います。 (普通、Sun のサイトに RedHatやAIXの設定方法はのっていないので(笑))
逆に IBMさんやRedHatさんのサイトにもDirectory Serverの設定方法は載っていないけど。。

いろいろ解説したいことろですが。。。多忙につきまずはお知らせまで。。。
_kimimasa

月曜日 7 09, 2007

【BigAdmin記事の紹介】Installing, Managing, and Using Sun Java System Access Manager and Identity Manager on the Solaris 10 OS

こんにちは。
今日は、BigAdminの新規記事を紹介します。 (BigAdminとは、Sunが提供しているシステム管理者さんの為の技術情報ポータルサイトです。)
The BigAdmin portal is a Web-based, community-driven repository of resources specifically for system administrators -- by sys admins. Keeping in the tradition of bulletin boards, the BigAdmin portal enables users to both receive and post useful information, resources, and tips. The BigAdmin team continually posts useful, cool things that sys admins care about. However, realizing that we can't identify all resources that are available, we also encourage our user community to submit things that they find useful.
BigAdmin FAQ
Installing, Managing, and Using Sun Java System Access Manager and Identity Manager on the Solaris 10 OS ってことで、Solaris 10上に Access Manager,Identity Manager をインストールして、SMF(Service Management Facillity)で管理できるようにするまでの手順を解説した記事です。

SMF については、SMF クイック・スタート・ガイドを参照してみて下さい。SDC(Sun Developer Connection)へのユーザ登録(無料)が必要です。

Introduction

This document outlines the installation and configuration of the Sun Java Identity Management Suite on the Solaris 10 Operating System to take advantage of the Solaris Zones and Service Management Facility features. The installation and configuration procedures reference the official Sun documents at docs.sun.com, but they also offer alternative approaches. Detailed instructions, screen output, and screenshots are provided. In addition, troubleshooting and best practice guidelines are offered. This document is intended to complement, not substitute for, the official Sun documentation.

Installing, Managing, and Using Sun Java System Access Manager and Identity Manager on the Solaris 10 OS
っとあるように、
マニュアルを置き換えるものというわけではありませんが、「インストールして、動かしたい」というときには、スクリーンショットや実際の例などが豊富ですし、どのような作業をすればいいのかにフォーカスしてかかれているのでとてもわかりやすいいいドキュメントかなと思います。
OSからミドルウェアまで提供している Sun らしいドキュメントかなと思います。
PDF で 80 Pageです。
目次はこんな感じ。
Contents
  • Introduction
  • Installing Sun Java System Access Manager 7
    • Installing Access Manager and Sun Java System Directory Server
    • Managing the Directory Server Using SMF
    • Managing Access Manager Using SMF
  • Installing Sun Java System Identity Manager 6.0
    • Downloading and Installing MySQL 4.1
    • Downloading, Installing, and Deploying Identity Manager
      • Installing Application Server 8.1
      • Installing Identity Manager
  • Managing Identity Manager Using SMF
    • Managing MySQL Using SMF
    • Managing the Application Server Using SMF
  • Installing Access Manager Policy Agent 2.2
    • Installing the Policy Agent
    • Modifying the Policy Agent AMAgent.properties File
    • Temporarily Unprotecting the Identity Manager Application
  • Integrating Sun Java Access Manager and Identity Manager -- AMSDK Data Store
    • Configuring Access Manager Resource Adapter
    • Provisioning an Admin and End User on Access Manager
    • Configuring Pass-Through Authentication
    • Creating Access Manager Policies for Identity Manager
  • Logging in and Logging out of Identity Manager
    • Configuring Login and Logout
    • Re-enabling Policy Agent Policy, Security, and Login
  • Integrating Identity Manager and Access Manager -- LDAP v3 Data Store
    • Use Cases and Requirements
      • Use Case 1 (SSO to Identity Manager)
      • Use Case 2 (Forgotten Password)
    • Proposed Architecture
    • Installation Procedure
    • Configuring Access Manager
    • Configuring Apache Reverse Proxy
    • Configuring Identity Manager
    • Question-Based Login
  • Integrating Sun Java Identity Manager Service Provider Edition 7.1 and Access Manager 7.0
    • Configuring Identity Manager for Identity Manager Service Provider Edition
    • Modifying Access Manager to Use the New Directory Server Instance
    • Modifying the Access Manager Agent's Configuration
  • Appendix A -- Creating an ISO Image for a Sun Java System Access Manager Installation
  • Appendix B -- Enabling SSL in the Application Server
    • Generate Certificates for Access Manager and Identity Manager
  • Appendix C -- Troubleshooting
    • Locating the Log Files
    • Testing the Connections
    • Viewing Log Files While Administering the Application Server
    • Dealing With a Policy Agent Error
  • For More Information


  • あ、使っている製品が最新版ではないです。。。。すみません。。。
    適宜読み替えて頂ければと思います。
    _kimimasa

火曜日 6 26, 2007

【SDN記事の紹介】Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorization

こんにちは。
じめじめした暑い日が続きますねー。梅雨なのか、夏なのかはっきりしてほしい感じです。

今日は、SDN(Sun Developer Network)の記事を紹介します。Developing Secure Applications With Sun Java System Access Manager, Part 1: Basic Authorizationってことで、企業内のJavaアプリケーションに対してどのようにアクセスレベルに応じたfine-grained authorization model(きめ細かい認証モデル)を作っていくかを架空の企業を想定して解説しています。

Indigo ConsultingというSun Java Enterprise Systems (JES) のインテグレーションをやってくれている会社のRobertさんが寄稿してくれたみたいです。

概要をざっくり訳すと、

Over the past few years, demand has been steadily rising for robust solutions for securing Web applications. To ensure adequate security, most enterprises that offer online Web services implement security on two service levels:

最近、堅牢なウェブアプリケーションセキュリティの需要は確実にましています。適切なセキュリティレベルを保証するために、オンラインのウェブサービスを提供する企業は次の2つのフェーズで、ウェブでのサービスのセキュリティを実装しています。

  • Authentication — To verify that you are who you claim to be.
  • Authorization — To confirm that you have the privileges to the resources you would like to access.
  • 認証 - あなたが本当にあなた自身であるかか検証すること。
  • 認可 - アクセスしたいリソースにアクセスする権限をもっているか確認すること。

Meeting the service-level requirements calls for a detailed, meticulous design of the architecture and painstaking implementation.

要求されるサービスレベルを満たすには、詳細で細部まで行き届いたアーキテクチャデザインと念入りな実装が求められます。

This article, Part 1 of a series, describes how to use Sun Java System Access Manager (henceforth, Access Manager) to fulfill the authorization requirements for a fictitious health-care insurance company, EB Health. Access Manager, an enterprise platform, secures Web applications and services with authentication, single sign-on, and authorization capabilities. The entire implementation for EB Health's needs is based on the standard, out-of- the box capabilities and custom extensions of Access Manager 6.3 (Sun Java Enterprise System 2005Q2) and ported to Access Manager 7.1 (Sun Java Enterprise System 5)—with no modifications to the source code or configurations.

この記事では、続きものの Part1 として、Sun Java System Access Managerをどのように使って架空の企業医療保険会社 EB Healthのウェブアプリの認証に関する要求・要望を満たすのかを記述しています。Access Manager、エンタープライズプラットフォーム、セキュアなウェブアプリケーション、認証サービス、シングルサインオン、認可の機能。EB Health の要望の実装は、Access Managerの製品そのものの機能とAccess Manager 6.3 のカスタム拡張機能を Access Manager 7.1 に実装したもの(7.1へ実装するためのソースコードの変更と設定変更は必要ありませんでした。)をベースとしています。

な感じです。 設定方法の画面のキャプチャや、Java のソースコードもありますので、Access Managerを使ってシングルサインオン環境を構築される開発者の方にはとても参考になるかと思います。10分くらいで読める軽めのドキュメントですのでよろしければ、是非ご覧下さい。
_kimimasa

水曜日 4 04, 2007

先を見据えた製品選定

こんにちは。
昨日娘が初めて1人で知人の家にお泊まりしました。子供の成長ってはやいですね。うれしくもあり、少し寂しくもあり複雑な心境でした。

最近お客様にたまに言われることをネタに少し思っていることを書きたいと思います。
よく言われることは、
  • アイデンティティ管理製品を選定するのは結構大変だよね。アプリケーションサーバやデータベース、ウェブサーバなどのミドルウェアを選んでいると言うよりは、ERP や会計システムを選ぶに近いよね。
  • アイデンティティ管理製品(ID管理製品)ってどのように選んでいいかわからない。
さーて、こんなこと言われた時にどうするか。
当然ですが、自社の製品をアピールします。
Identity Managerいいですよ。
Identity Managerいいですよ。
Identity Managerいいですよ。

まー冗談はさておき、現実としては、以下のようにお話することが多いです。
「おっしゃられていることはもっともかと思います。現実として明確な比較ポイントが定まっていないのも事実です。ただ、弊社のIdentity Managerは実績もあり、アナリストからの評価も非常に高い製品なので導入して頂いて間違いはないと思います。」
「認識頂きたいとのは、短期的なコストではなく、長期的な視野を持って頂いて製品選定をして頂くことです。 ERP や会計システムと同様に、企業の基幹となる ID 管理業務をになう製品ですのでしっかりとご検討下さい。その上で弊社の製品を選択頂けると信じております。」

10 % くらいは営業トークで大げさに言っているところもありますが、90 % は真剣にそう思っています。いろいろな製品を見てきたし、それなりに経験も積んできていると思いますが、今までで一番自信を持ってすすめられる製品であることは間違いありません。
ID管理製品はともすれば、「ユーザ情報を同期するツール的な製品」と見られがちであるが、現状は違います。
以前もお話ししましたが、
  • 内部統制がこれほどまでに声高に叫ばれ
  • 企業のITガバナンスへの取り組みが活発化して
  • 通称JSOX法の適用開始が1年後に迫った
kimimasa's blog : UTMからヒントを得たネタ「まとめたほうがいいものはまとめよう!!」
な外部環境があり、内部的には、
パッケージソフトウェアに求められるログや監査の機能の内容は高度化してきています。 とくに、ID管理製品に関してはその要求は特に高度です。システム管理者を主な利用者として想定していた、アクセスログ、エラーログ、デバッグログなどではその要求を満たすことは難しくなって来ています。
  • システム監査や会計監査人監査、監査役監査等の監査でシステムの整備・運用状況を監査する際の監査証跡として使用したい。
  • 情報システムの全体最適化を図る為にシステムの使用状況のレポートがほしい。
  • 情報システムの有効性や効率性を示す為にユーザのリストをレポートとして出力したい。
などに加えて、ID管理製品に求められるログ、監査機能の特徴的なものとして、
  • ユーザの作成から始まり、異動、昇進、出向、退社などの企業ないでのユーザライフルサイクル全般にわたった履歴を得たい。
  • 職務分掌に違反したユーザを定期的にチェックしたい。
  • 休眠アカウントや、不正に作成されたアカウントの棚卸をしたい。
kimimasa's blog : ID管理製品に求められる監査機能
な要望もあるので、Identity Managerはツールというよりは、ID管理を担う業務アプリケーションに近いと個人的には思っています。是非先を見据えた製品選定をしてほしいと思っています。そして、Identity Managerを選んで頂けると信じています。
製品に関して聞いてみたいこと、疑問に思われることがあれば、ご連絡下さい。可能な限りお伺いしてお話させて頂きたいと思っています。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日