月曜日 7 06, 2009

[Identity Manager Tech Tips]Identity Manager を Amazon EC2 上で動かす

こんにちは。 を書いていて、紹介するのを忘れていたのに気づいたので紹介しておきます。
Identity Managerの技術情報(Tech Tips)に、 というコンテンツを一月前くらいに書いていました。
Amazon EC2上に、Identity Managerをインストールしてデプロイしています。 (っといっても、Amazon EC2だからって他と違うところはほとんどないんですけどね。。。)
クラウドって簡単な動作確認などにはとても便利です。たまにお客様先のデモや動作説明に使っています。ここでは、インストールまでですが、bundle の方法などもまた紹介したいと思います。

_kimimasa

[Identity Manager Tech Tips]調整機能の状況オプションの説明

こんにちは。
今日は、Identity Managerの技術情報(Tech Tips)を紹介します。 Identity Managerでは調整機能を用いることで、Identity Managerユーザとリソースアカウントの関連付けや様々な状況に対応した処理を行なうことが可能です。このコンテンツでは、調整機能のそれぞれの状況オプションに関して、マニュアルの情報に少し追加の説明を加えながら説明しています。
ご参照ください。

_kimimasa

水曜日 6 24, 2009

GoogleAppsとAmazon EC2 上のOpenSSOのSAML連携デモ(Open Cloud Innovation Forum 6/25)

こんにちは。 先日のエントリ で紹介しましたが、明日 のようにSun主催のクラウドセミナーが開かれます。
残念ながら私は現地に行くことはできないのですが、Sunのミドルウェアチームからは、寺田さんが講演で話をして、他のメンバーがデモの展示も行ないます。
展示するデモは、GoogleAppsとAmazon EC2 上のOpenSSOのSAML連携のデモです。 で紹介しているように、外部のSaaSを利用した際に社内のウェブアプリと連携することは利便性、セキュリティ、業務効率性といった観点から非常に大事です。OpenSSOを使えば、社内ウェブアプリとGoogleAppsのようなSaaSアプリとのシングルサインオンが可能になります。

GoogleAppsとのシングルサインオンはSAMLをサポートしている時点で技術的には可能です。
去年の12月に開催されたSunTechDays でもデモをしています。 今回は去年おこなったデモに、
  • クラウドセミナーなんだから、サーバ自体もクラウドに乗せちゃおうっということでOpenSSO 自体もクラウド上に構築しています。 Amazon EC2上に乗せています。(構築と言っても、30分くらいしかかかってないですけどね。)
  • OpenSSO Express Build7 を使うことで、GoogleAppsとの連携設定が劇的に簡単になっています。
の2つの新しい内容が加わったものになります。ぜひ足をお運びください。

_kimimasa

火曜日 6 23, 2009

ロール管理ソリューションSun Role ManagerとMySQL [MySQL+ソリューションセミナー]

こんにちは。
すっかり書くのを忘れていました。。。。最近いろいろと充実してまして、ブログ書く余裕ありませんでした。。
さて、ID管理に携わる人にはぜひ聞いて頂きたいセミナーです。 ロール管理は今年大きな注目を集めているテーマだと何度か書いてきました。 Sunでは他社に先駆けてロール管理製品を日本市場に投入しています。(他社さんもアメリカとかヨーロッパとかで展開はされていると思いますが、日本で展開しているのは現時点ではSunだけだと思います。間違っていたら教えてください。。。)
販売していく上で、必要となるデータシートやホワイトペーパーも既に日本語化されています。 今回のセミナーはおそらく日本で始めてロール管理をテーマにしたセミナーです。
  • ID管理の中でのロール管理の位置づけ。
  • 既にID管理(プロビジョニング)製品があるのに、なぜロール管理製品が必要なのか。
  • ロール管理を導入することのメリット
  • ロール管理を導入する上で考慮しなければならないこと
など、他では得ることのできない情報を得ていただけると思います。まらID管理やロール管理、アクセス権限管理の導入を検討する上でのヒントも持ってかえって頂けると思います。
スピーカーは守屋さんです。

私はMySQLのパートを担当します。

_kimimasa

水曜日 5 20, 2009

[Identity Manager Tech Tips]特定のユーザを管理者画面に表示させない方法

こんにちは。
今日は、Identity Managerの技術情報(Tech Tips)を紹介します。 Identity Managerの動的組織(Dynamic Organization)という機能を使っています。
動的組織の機能は非常に柔軟で、管理権限の委譲や、より詳細な管理権限の実装などに役立ちます。
_kimimasa

金曜日 5 01, 2009

ロール管理 - ロールベースの権限管理を通じて コンプライアンスを実現 - Sun Role Manager


こんにちは。 でロール管理が来ていることをお知らせしました。
先日 Forresterからロール管理に関する市場調査のレポートが発行されています。 Sun は「マーケットシェア、競合したり導入を検討しているベンダ、導入顧客の数、大規模顧客への導入」のすべての指標でTier1 Vendorに選ばれています。 また、資料中でもふれられていますが、2008年のロール管理市場は70M$で年率70%から90%という驚異的な勢いで拡大しているようです。
ロール管理が来たー!!(Sun Role Manager来たー!!) : きみまさブログ - kimimasa's blog
Sunはロール管理市場でTier1ベンダに位置づけられています。
Sunのロール管理ソリューションの中核となる、Sun Role Managerのデータシート(日本語版)ができましたので、お知らせしておきます。 ご利用ください。

_kimimasa

火曜日 4 28, 2009

OpenSSO をクラウドにのせてみた。

こんにちは。 でアナウンスされているように、OpenSSOのAmazon EC2のイメージが提供されています。 に細かい情報はありますが、早速ためしてみました。

当たり前ですが、EC2上でちゃんとOpenSSOが動いています。

_kimimasa

火曜日 4 14, 2009

OpenSSO (Access Manager)のセッション数を知る方法 - kimimasa - wikis.sun.com

こんにちは。Access Manager(OpenSSO)のTechTipsをご紹介します。 ご参考まで。キャパシティプライニング、パフォーマンスチューニング、実際の利用状況の把握などをするために、OpenSSOでのユーザセッション数を知りたいっという時に便利かと思います。

_kimimasa

月曜日 4 13, 2009

ISW 6.0 のConsoleだけインストールする - kimimasa - wikis.sun.com

こんにちは。
前回に引き続き、ちょっとマニアックなTechtipsです。 ピンときた方は見てみてください。ピンと来なかったかたは。。。暇だったら見てください。

_kimimasa

金曜日 4 10, 2009

そろそろ多要素認証を考えよう - 三菱UFJ証券の顧客情報流出事件から考える。

こんにちは。
三菱UFJ証券の顧客情報流出事件に関して、識者の方がいろいろコメントしていますね。
今回の情報流出では、
データベースへアクセスする際にほかの従業員のIDとパスワードを使用し
証券各社がコメント:性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出 - ITmedia エンタープライズ
とあるように、他人のIDとパスワードを使用してデータベースへのアクセスをしています。
ここで、IDとパスワードは認証に使用されています。
ID管理の用語では、認証とは authenticataion を意味していて、
  • 認証(authentication)
    あるユーザが本当にそのユーザであることを証明する。
ということになります。
認証方式は認証にどういった情報を利用するかという観点から大きく3つの種類に分けられます。
  • あなたが知っていること(What You Know)
    パスワードや秘密の質問など。
  • あなたが持っているもの(What You Have)
    クライアント証明書やワンタイムパスワード
  • あなた自身(What You Are)
    生体認証(指紋、静脈、虹彩など)
の3つで、ID/パスワードはあなたが知っていること(What You Know)を利用する認証方式です。
ID/パスワードは技術的に導入が容易なこともあり古くから使われていて、利用されている領域も非常に広いです。
しかしながら、今回のケースのように、他人に推測されたり、盗み見られるなどして、不正に利用されるリスクもあります。
使用できる文字種やパスワードの長さに制限をかける(パスワードポリシーを設定する)などして推測されるリスクを下げることは可能ですが、それも完璧ではありません。今回のケースでも、おそらくパスワードはある程度の複雑性はもっていたかと思います。(最近パスワードポリシーを設定していないような企業はほとんどないので) しかし、不正に利用されてしまったのです。

極端な言い方をすると、ID・パスワードで認証を行なうことには、不正利用のリスクがある程度のレベルで存在します。
そのリスクを軽減するために、上記のあなたが持っているもの(What You Have), あなた自身(What You Are)といった認証のための情報を組み合わせ、複数の情報を認証に利用する、多要素認証というものが最近では非常に注目を集めています。

複数の要素を使用することでセキュリティを高めようと言うものです。
技術的な成熟もあり、生体認証や証明書認証などに対応している製品なども増えてきています。
ID・パスワードが悪いとは言いません。非常に秀逸なアイデアでこれまでのIT環境での認証を一手に引きうけてきたのは間違いありません。
ただ、そろそろ他の方法も検討する時期ではないでしょうか。多要素認証、より強度の高い認証は今年のキーワードです。

ぜひ一度、自社の認証方式について考えてみて下さい。

_kimimasa

木曜日 4 09, 2009

OpenDS 翻訳プロジェクトスタート!!

こんにちは。
で通知されていますが、OpenDSの翻訳プロジェクトがはじまりました。
英語、フランス語、日本語で紹介されています。
英語はSunはもともと米国の会社であるし、IT製品では最初に作られるのでまーあたり前かと思います。
フランス語に関しては、Directory Serviceの開発が行なわれているのが、グルノーブル(フランスの都市)なのでこれも当然です。
(参考:Directory Masters to meet at the Grenoble Engineering Center : Ludo's sketches Why Grenoble, France ? Because this is where most of the development of Directory Services is taking place, and has been since 1996.)
この2つの言語に加えて日本語があるということはそれだけ日本においてOpenDSへの関心が高まっていることの表れです。
最近、お客様やパートナー様との打ち合わせで、「OpenDSインストールして動かしてみました。」とか「かなり可能性を感じる製品ですね。」とかいうコメントをよくいただくようになりました。
ドキュメントやテクニカルTipsも非常に充実しています。
ご興味あれば、ぜひ一度インストールしてみてください。

_kimimasa

金曜日 4 03, 2009

クラウド時代にこそ必要なアイデンティティ管理

こんにちは。

クラウド、クラウド、クラウド、
IBMさんやSunを含む多くの企業・団体がサポートする形で、Open Cloud Manifesto.orgで、Open Cloud Manifesto が公開されています。
主旨としは、「多くの企業にとって様々なメリットが期待されるクラウドコンピューティングに関して、オープンに議論を重ねていこうよ!!(いろいろな課題や問題点も含めて)」といったことでしょうか。(あくまで私の理解ですのであらかじめご了承ください。)
で、ざっと読んでみて、「あー、わかってるねー!!」と思ったのが以下の部分です。
Security
Many organizations are uncomfortable with the idea of storing their data and applications on systems they do not control. Migrating workloads to a shared infrastructure increases the potential for unauthorized access and exposure. Consistency around authentication, identity management, compliance, and access technologies will become increasingly important. To reassure their customers, cloud providers must offer a high degree of transparency into their operations.
Open Cloud Manifesto

私の意訳 データやアプリケーションを自分たちの力(コントロール)が及ばないシステムに保存するというアイデアには多くの組織がいい思いを抱かないだろう。ワークロードを共有のインフラ(クラウドのこと)に移行することにより、不正なアクセスにさらされる可能性が増すからだ。
したがって、認証、アイデンティティ管理、コンプライアンス、アクセス制御といった要素を組み合わせて、一貫性を保ちながら利用することはクラウド環境においてはより重要になってくる。 自分たちの顧客にクラウドを安心して利用してもらうために、クラウドの提供事業者は高いレベルの透明性を持ちながらクラウドを運用していかなければらない。
考えてみれば、非常に当たり前のことではありますが、
  • SaaSを利用しているんであれば、隣ではどこかの知らない会社の業務が動いている
  • S3のようなストレージサービスを利用しているのであれば、自分のデータと同じディスク上には、知らないだれかのデータが保存されれいる
っということになります。
知らないとなりの誰かに、自分の業務やデータへのアクセスされてしまうようなことがあると非常に困ります。
そういったことが起こらないように、アカウントやユーザIDを作成して、パスワードで認証をすることで個人であったり会社を特定して、その人(その会社)へのサービスを提供することになります。
ここで使われているのが、認証、アイデンティティ管理、コンプライアンス、アクセス制御といったID管理にまつわる機能です。
このID管理の部分のシステムが不十分だったり、脆弱性があったりすると、不正アクセス,情報漏えいなどの問題が発生してしまい、一番大事な顧客からの信頼を失ってしまうことになります。
クラウドサービスの提供を考えている事業者は、顧客からの信頼を獲得・維持するために強固なID管理基盤をクラウドサービスの重要なコンポーネントとして位置づけなくてはいけないと思います。

もちろん、コンピューティングパワーやストレージ容量、パフォーマンス、コスト対効果っといった要素も大事だとは思いますが、セキュリティ・ID管理に関して顧客から信頼を得なければクラウドサービスを利用してもらえないのではないでしょうか。
信頼できない銀行にお金は預けないのと同様、信頼できないクラウドサービス事業者のサービスは利用しないでしょう。
顧客から信頼を得て、サービスを利用してもらうには、高いレベルのID管理基盤の構築とその基盤に対する透明性が必要です。

_kimimasa

月曜日 3 30, 2009

持ち主・管理する人・使う人 - みんなちがってみんないい - その4(データ(文書データ)の場合)


こんにちは。
の続きです。
最後に、データ(例えば文書データ)について考えましょう。
持ち主はこのケースでも私です。管理する人も、使う人も私です。
管理する人(場所)はPC上のディスク、使う人はPC上にインストールされているMS Officeだったり、StarSuiteやOpenOffice.orgです。
このような状況は非常に不便なことが多いです。(もうなれてしまって気にしていない人も多いですが。。。)
  • PC上のデータのバックアップが大変。たまに消えちゃったりするととっても困る。
    大事な情報であれば、しっかりバックアップするのが当然ですが、実際はやっていない人が多いでしょう。バックアップに取られる時間もばかになりませんし、バックアップしていない場合は最悪の場合データ消失というリスクもあります。
  • 使う環境が限定される。
    PC上にデータが保存されている以上、PCからでしかデータにアクセスすることができません。お客様先でプレゼンする場合には、NotePCを持ちあるく必要があります。
    PCを持ち運ぶのは思いですし、紛失するリスクもあります。また、企業によってはPCの持ち出しが厳しく制限されていて、複雑な持ち出し手続きが必要となり、時間を取られることも多いでしょう。
  • 使うアプリケーションが限定される。
    PC上に保存されたMS Office のファイルは、Google Appsからは読めません。(Uploadすれば読めますが。。)iPhoneからも見れません。(メールで送れば見えますが。)。
    仕事をする場所は非常に多様化しています。常に会社のデスクで仕事をしている人の割合は減ってきているでしょう。迅速かつ効率的に仕事をこなすには、自分のPC以外にも、家のPCで文書の作成・変更をしたい、iPhoneや携帯で他人が作成した文書をチェックしたいといったこともあるかと思います。(同じ文書データでも、編集がしたいので大きな画面が必要、ざっと内容だけを確認したいので携帯で十分など使うアプリケーションへ対する要件は様々でしょう。)
    残念ながら現時点では、事前にウェブ上にUploadしておく、メールで送っておくっといった一工夫が必要になってしまいます。
この不便さを解決するためには、表にあるように、管理する人として、クラウド上のストレージサービスを利用することで、持ち主(私)管理する人(クラウド上のストレージサービス),使う人(オフィス製品、GoogleAppsなどのウェブサービス、iPhone上のOfficeViewer)が分離されることです。
以下のようなメリットがあるでしょう。
  • PCのバックアップから開放される。(クラウド上にデータが保存されているのでPCのデータをバックアップする必要はありまえん。)
  • いつでも、どこでも、どこからでもデータ(文書データ)を利用できる。
    例えば、PCで作業中に「クラウドに保存」しておく、お客さん先で急に必要になったらお客さんのPC上のOpenOffice.orgを借りて、「クラウドから開く」して、お客さんのPCを使って製品の説明をする。
    なんてことも可能になるでしょう。
    また、「クラウドに保存」しておいて、iPhone上のViewerから「クラウドから開く」する、iPhoneなので画像は表示しないでテキストだけを読む。っといったこともできるのではないでしょうか?きっと。。
    PCを持ち歩く必要がなくなりますね。お客さん先に行くときも、「プロジェクタありますか?」ではなくて、「クラウドに接続できますか?」と聞くようになるでしょう。(多分。。。)
ここでも大事なのは、
  • 持ち主(私)管理する人(クラウド上のストレージサービス)使う人(文書データを開くためのアプリケーション)自由に選択できることです。
    個人データの場合には、Amazon S3やSun Cloud Storage ServiceでもOKでしょうが、コンフィデンシャルな情報であれば、企業内にあるプライベートクラウド上のストレージサービスを利用することになるかもしれません。(自由に、プライベートクラウド・パブリッククラウドを選択できなくてはなりません。)
    また、携帯を買い換えた場合や、iPhoneからG1に乗り換えて、オフィス文書のViewerアプリケーションが変わった場合でも問題なく使えないと困ります。(携帯機器を変える自由が奪われます。)
    また、パフォーマンスや保存できる容量や値段に不満があった場合には乗り換えができることも大事です。(ストレージサービス間の競争も促進されてより良いサービスとなっていきます。)
データ(例では文書データ)の場合でも、お金、ID情報と同様に、自由を得るためには、
  1. 管理する対象のフォーマットや仕様が標準化・共通化されていること。
  2. 管理する人使う人の間のやり取りが標準化・共通化されていること。
が必要です。
文書データの場合は、管理する対象のフォーマットや仕様が標準化・共通化されていること。に関しては、ODF(OpenDocumentFormat)が大きく寄与しています。OpenOffice.orgやStarSuiteのデフォルトの保存形式ですし、PowerPointでも開けます。 OpenOffice.orgに関しては、 もぜひご一読ください。
管理する人と使う人の間のやり取りが標準化・共通化されていること。に関して言えば、データをクラウドから取ってきたり、保存したりするためにWebDAVが役立つでしょう。
つまり、標準化された仕様を使って、ファイルへのアクセスを容易(簡単)にできることが大事になってくるのです。
Sun Cloud Storage Service が
Sun Cloud Storage Serviceは、ファイルアクセスが容易なWebDAVプロトコルや、Amazon S3 APIと互換性のあるオブジェクト保存APIをサポートしています。
2009.03.19 米国サン、「Open Cloud Platform」を発表
という形になっているのも、そのためです。標準的なプロトコルを使うことで、 Jonathan Schwartz's Blog: Sun's Cloud (4 of 4)でも紹介されているように、「クラウドへ保存」「クラウドから開く」といった機能をいろいろなアプリケーションが容易に備ええることができるようになり、iPhoneでも、携帯でも、GoogleAppsでも、OpenOffice.orgでも、MSオフィスでも同じ文書にアクセスすることができるようになるでしょう。(多分。。。)
すばらしい!!!

持ち主、管理する人、使う人を分離して、それぞれを標準的な仕様でつなぐことで、みんながメリットや利益を得ることができるのです。
  • 持ち主・管理する人・使う人 - みんなちがってみんないい
_kimimasa

祝:OpenDS 日本語メーリングリスト開設


こんにちは。 で花木さんが通知されていますが、OpenDS の日本語メーリングリストが開設されました。

私も早速参加しました。

OpenDSにご興味があるかた是非ご参加ください。(java.netのアカウントがあればどなたでも購読できます。)

_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日