木曜日 3 26, 2009

持ち主・管理する人・使う人 - みんなちがってみんないい - その3(ID情報の場合)


こんにちは。
の続きです。
ID情報の場合
持ち主はです。様々なウェブサービス(たとえばSNSだったり、写真共有サービスであったり)を利用するケースを想定すると、ID情報を使って認証を行なったり、ユーザごとに個別にサービスを行なうのは、それぞれのウェブサービスになので、使う人はそれぞれのウェブサービスになります。管理する人は現時点では、ID情報を使うウェブサービス自身です。(あるウェブサービスを使う場合には、そのウェブサービスに対してユーザ登録をすることになります。)
このような状態によって、それぞれに不便な点やデメリットがあります。
  • 持ち主(私):なんといっても、複数のウェブサービスそれぞれに対してID情報を登録するのは非常に面倒で煩雑です。持ち主(私)はID情報を登録したいのではなくて、ウェブサービスで提供される機能を利用したいだけなのです。
    私(kimimasa)は、Flickr,Twitter,BrightKite,LinkedIn,mixi,gmailなど様々なサービスを使っているのでID管理やパスワード管理が非常に大変です。(しょっちゅうパスワードリセットサービスを使っています。。。。orz)
    また、使いたいウェブサービスが見つかったときに、ID登録をしなくてはいけないのは非常にテンションが下がります。今使いたいのにー!!!ってなります。
    自由ではないです。。。。
  • 管理する人、使う人:現時点では、それぞれのウェブサービスが管理する人であり、使う人になるのですが、ウェブサービスの本来の機能はそれぞれのサービスを提供することであり、ID管理ではありません。サービスを提供するときに、ID管理の機能も実装しなくてはならないので開発工数が取られます。また、個人情報の漏洩が発生しないように適切に管理するための運用コストもバカになりません。。
    また、ID登録が必要になるため、ID登録を嫌う潜在的なユーザを取り逃がすことになってしまいます。

この不便さやデメリットを解決する今後のあるべき姿(今後のID管理の進む方向)は、表にもありますが、ID情報管理する人使う人が分離されることです。ID管理業者が生まれる(あるいはID管理業者を兼ねるウェブサービス提供事業者が現れる)ということになります。そのような形になることで、以下のようなメリットがあります。
  • 持ち主(私):ID登録をID管理業者に集約できるので、ID登録を何度もする必要がなくなります。パスワードの変更もID管理業者に対して行なえばよいので簡単です。
  • 管理する人(ID管理業者):ユーザのID情報をまとめて管理することで様々なビジネスチャンスが広がります。
    許可したユーザに対して、広告やメールでの営業をウェブサービス提供者と共に行なう。より高度なID管理(生体認証など)を導入してID管理業者としての付加価値を高め、手数料収入を得る。などが考えられます。
  • 使う人(ウェブサービス提供事業者):ID管理の呪縛から開放されるので、ID管理機能を実装する工数が削減でき、提供するサービス自身の機能を増やしたり、使い勝手を向上させたりすることに工数を当てることができる。
    ユーザ側のID登録負荷が軽くなるので、今までは逃していた、潜在的なユーザを獲得できる。
ここでも、大事なことは、
  • 持ち主(私)管理する人(ID管理事業者)使う人(ウェブサービス提供事業者)自由に選択できることです。
    ID管理事業者を現在大量のID情報を保持している事業者だと仮定すると、 Gmailをよく利用する人はGoogleを自分のIDの管理先として選択したいかもしれません。また、mixiをID管理事業者として使いたい人もいるでしょう。
    また、選択するID管理事業者は1つではないかもしれません。
    物を買ったりする場合に使うIDは銀行やクレジットカード会社をID管理事業者として選択して、SNSや写真共有サイトなどの金銭のやり取りが発生しないアプリケーションを使うときはGoogleやmixiを使って、携帯から利用するときはDocomo,Softbank,auを使うといったように、使うアプリケーションや使用する状況によって使うID管理事業者を変えるといった使い方もあるでしょう。(複数の銀行に口座を持っていて、給与振込み口座、クレジットカード引き落とし口座、貯金するための口座、などのように使い分けるのと一緒です。)
ここでも、「自由に選択できる」を実現するためには、お金と場合同じように
  1. 管理する対象のフォーマットや仕様が標準化・共通化されていること。
  2. 管理する人使う人の間のやり取りが標準化・共通化されていること。
が非常に大事です。
ID管理情報の場合は、SAMLやOpenIDがこの標準化に非常に大きく寄与しています。 でもSAMLに関して書いているので読んでみてください。技術的にはだいぶ習熟してきていて、ここ1,2年くらいが普及期となるでしょう。

続きはまた次回。

追記:続きを書きました。持ち主・管理する人・使う人 - みんなちがってみんないい - その4(データ(文書データ)の場合) : きみまさブログ - kimimasa's blog

_kimimasa

金曜日 11 14, 2008

エンタープライズフェデレーッテッドシングルサインオンはSAMLで決まりかな?(Liberty Alliance Day)

こんにちは。
先週の7日にLiberty Alliance Day 2008 に参加してきました。
パネルディスカッション
「動き始めたアイデンティティ管理の相互運用」
〜Liberty/SAML, OpenID, CardSpaceは共存できるか〜
Liberty Alliance Day 2008
で初めてしったのですが、マイクロソフトさんもSAMLv2のサポートを表明しています。
これでほとんどのフェデレーション製品がSAMLv2をサポートすることになりましたので、企業間にわたるフェデレーションや高いセキュリティレベルが求められる連携にはSAMLv2がデファクトになっていくのは間違いないです。

とは言っても、SAMLv2でのフェデレーションを設計、構築するのは手間がかかります。
そこで Sun では、
特にfedletに関する 説明とデモが興味深かったです。すごーく大雑把に言うと、fedletは Java EEアプリを手っ取り早くOpenSSO IDPによる認証の配下に入れる ための仕組みで、fedletを利用することによってSP側ではOpenSSOの セットアップが不要になります。fedletの詳細に関しては、 こことか、 kimimasaさん彼のwiki page でまとめているリンク集が役に立つと思います。
OpenSSO - Patとのミーティング : Ohashi's Blog
大橋さんもふれているようにFedletというSP側のSAMLv2の設計、構築、設定の工数を削減するためのソリューションも提供しています。
いくつか参考になるコンテンツもご紹介しておきます。 OpenSSO - kimimasa - wikis.sun.comにもOpenSSOのほかの情報と一緒にのせてあるのでご参照ください。

kimimasa

火曜日 8 26, 2008

mixi OpenID がきたー。

こんにちは。
最近、OpenIDやOpenSSOの話をお客様からリクエスト頂き話にいくことが増えています。
OpenIDとは?的な話というよりは、実際にOpenSSOをどのように活用するとか、OpenIDを社内で使う場合や、OpenIDでカバーできない部分をどうやっていくかなどのお話をしています。
Sun ならではの、Federation ハブ的な話は、 がとてもいい資料なので、見てみてください。

前置きが長くなりましたが、そんなわけで最近は、OpenID界隈の動きも少し興味を持ってながめています。
で、ついにきましたねー。mixi OpenID ちょっと感じたことをまとめてみます。
  • mixi認証について、
    • ユーザとして非常にうれしい!!ID管理に係わっているからかどうかは知りませんが、私は面白そうなサイトを見つけるとすぐ登録してしまうたちです。当然、ID・パスワードの管理はずさんです。しょっちゅう「パスワードを忘れた方は」とかいうリンクをクリックしています。mixi認証でログインできるサイトができればかなり便利です。   
      逆説的ですが、これだけ、ID/パスワードの管理に苦労している私だからこそ、ID管理製品の重要性をお客様に説明できるのだと思ったりもします。
  • マイミク認証、コミュニティ認証について
    • これまた楽しみな機能ですね。いろいろ面白いアプリが登場することを期待します。
    • やっぱり、当分の間ID管理分野では Rが注目です。最近のアイデンティティをとりまく 3 つの R - tkudo's weblog about identity managementtkudoさんがふれている、評判(Reputation)や、関係(Relation)のことです。
      mixi Developer Center » 仕様でも、
      mixi内の関係性を外部サイトに証明する
      
          \* マイミクシィ認証
          \* コミュニティ認証
      mixi Developer Center » 仕様
      というように、意図的かどうかはわかりませんが関係性という言葉を使っています。
    • ID管理の用語が意味するところをちゃんと認識していく必要があります。 IdM の文脈での 「authorization」 - tkudo's weblog about identity managementで指摘がされて、仕様から学ぶOpenIDのキホン - @ITで修正がされているように、やっぱりID管理の用語は勘違いしてとられられることが多いです。
      mixi認証での認証の使われ方と、マイミク認証、コミュニティ認証での認証の使われかたは違います。
      • マイミクシィ認証
      • コミュニティ認証
      はその言葉から実際になにが行なわれるかのイメージがしやすいのでこのままの用語として使うのが良いかと思いますが、ID管理分野で認証と言えば、ほとんどの場合は本人認証をさすことが多いです。あるユーザのIDがそのユーザのものであることを証明するということなります。
      現に、仕様から学ぶOpenIDのキホン - @ITでも、
      認証(Authentication)
      そのユーザーが自分の物であると主張するIDに対して、そのIDが確かにそのユーザーの物であるということを保証すること 
      仕様から学ぶOpenIDのキホン - @IT
      と認証を定義しています。
      けど、マイミク認証の場合は、本人認証だけではなくて、本人認証+本人認証された人が要求されたIDのマイミクであるという証明も行なっています。この本人認証された人が要求されたIDのマイミクであるということですが、認可行為であるとも考えられます。認可は本人認証(あえて本人認証と使います)されたIDに対してサービスを提供するかどうかを判断するということになるので、本人認証された人が要求されたIDのマイミクであるいう判断を行なう、mixi は認可行為(Policy Decision)もしています。マイミク認証を使用するアプリケーションは mixi が行なった認可行為(Policy Decision)に応じて、アプリケーションを見せる・見せないという Policy Enforcement(適切な日本語訳が思いつきません。)をすることになります。
      マイミク認証という言葉には、本人認証+認可(ここでは要求されたIDのマイミクであるということの証明)が包含されていることを理解しておく必要があるかと思います。
    • っとちょっと頭でっかちな話をしましたが、OpenID Authentication 2.0という認証(本人認証)の仕様の枠組みの中で、マイミク認証という、本人認証+認可(しかも関係性を利用した認可)という仕組みを作りだした mixi の皆様はすごい発想をお持ちだなと思いました。今後のマイミク認証、コミュニティ認証と mixi 内のソーシャルグラフの発展がとても楽しみです。
    _kimimasa

火曜日 8 12, 2008

OpenSSO Early Access - フィードバックをお願いします。

こんにちは。
だいぶ間が開いてしまいました。おかげさまでとても忙しいです。
でも、ブログ書くことも大事なことだと思っているので間を見つけて書きたいと思います。

北島選手すごかったですね。自分を信じることの大切さを教えてもらいました。
内柴選手には、家族の支えが大きな力になることを教えてもらいました。
私も家族に支えてもらいながら、自分を信じて頑張ろうと思います。

さてさて、最近 OpenID 絡みも含めて非常に多くの問い合わせを頂いている OpenSSOですが、先日、OpenSSO Express Build 5をリリースしました。このリリースでは、次期商用版の Early Access プログラムにご参加頂いて、Early Access ドキュメントへのフィードバックを、opensso.eafeedback@dev.java.netに送っていただくことができます。 皆様からのフィードバックをお待ちしています。

では、またー。

きみまさ、

火曜日 5 20, 2008

FYI : 【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか

こんにちは。

経由。
先月の Computerworld に寄稿した OpenID の記事が, Computerworld.jp のほうに今朝転載されたみたい. 【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか - tkudo's weblog about identity management
なんか、読んだことあるなー???と感じたんですが、そういえば寄稿する前に一度読ませて頂いていました。
いつもですが、わかりやすく、よくまとまっています。絵もちょうどいい感じの分量です。さすが!!!
とりあえず、OpenIDを押さえて、「OpenIDの企業利用に関しては、、、、」なんていつもとは変わった話題をお客様に投げかけたい営業さんやSEさん向けにお勧めです。


_kimimasa

金曜日 3 14, 2008

【SDN記事の紹介】Sun Technical Specialist on Identity and OpenSSO Extensions


こんにちは。
これまた、だいぶ前のコンテンツのご紹介ですみません。1月末にUpされたコンテンツですね。。でも少しずつ、溜まっている書きたいものをこなしていっています。えらい!!
(\^o\^)//"""パチパチパチ

さて、SDN(Sun Developer Network)の記事を紹介します。Sun Technical Specialist on Identity and OpenSSO Extensionsってことで、今回はちょっと趣向が違います。いつもは技術コンテンツですが、今回はある人物へのインタビューです。
Recently, I interviewed Paul Bryan, a Sun technical specialist in Vancouver, B.C., about his background in identity-related development. We also discussed OpenSSO Extensions, including support for OpenID.

きみまさの超意訳 最近、Paul Branにインタビューしました。彼は、Sunのバンクーバにいるサンのテクニカルスペシャリストで、アイデンティティ管理に関する開発経験というバックグラウンドをもっています。あと、今回は、OpenSSOの拡張機能に関してもお話しちゃってます。この拡張機能はOpenIDのサポートに関するものも含まれてます。
Sun Technical Specialist on Identity and OpenSSO Extensions

最近なにかと話題のOpenID(OpenIDに関しては、tkudo's weblog about identity management : openid タグが情報たくさんなのでぜひどうぞ。)
Paulさんは、OpenSSO用のOpenID拡張機能(OpenID Extension for OpenSSO)を開発してくれた人です。
OpenSSO用のOpenID拡張機能(OpenID Extension for OpenSSO)に関しては、 を見て下さい。構築方法まで詳しく書かれているのでとてもいいです :)

Paulさんは、だいぶ前からSunとかかわりがあったようですが、Sunに入社したのは、2007年です。OpenID extension for OpenSSO を開発していくなかで Sun との関わりが強まり入社するに至ったのではないと推察します。
逆に、新しい OpenSSO の拡張機能 - 情報カードのメンバー認証モジュール に書かれているように、Sunから卒業していっても関わりを持ち続けている人たちもいます。

Sun はテクノロジに関してもOpen指向ですが、人事に関してもOpen指向である と常々思っています。

あなたの周りに元Sun,今Sunはいらっしゃいますか??
ではまた。
_kimimasa

日曜日 6 10, 2007

OpenID.sun.comの動作環境

OpenID.sun.com ってなんで動いているのかなー?っと思ってちょっとFAQ見てみました。

We use a variety of Sun products and open-source projects (of course!):

We encourage you to download these technologies, try them for free, and become an active part of their open-source communities.

ってことで、 使っているってことです。
書いてないけど、ユーザレポジトリは OpenDS だろーなー。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日