Thursday Aug 28, 2008

私事

SDC 連載の記事として先日寄稿した OpenSSO のアイデンティティ・サービス紹介が, Sun の開発者向けサイトの本家である Sun Developer Network (SDN) でも公開された. SDN への掲載を勧めてくれた PatAravindan, そしてぼくの英訳草稿をきれいに直してくれた Marina に深謝.

This article starts with a description of the four ways in which you can integrate Web applications with OpenSSO. You then learn how to secure the login process with OpenSSO's identity-service interfaces in a Ruby on Rails (henceforth, Rails) sample application.
Integrating Applications With OpenSSO

Integrating Applications With OpenSSO

そしてこれが, ぼくの Sun での最後の仕事. 8/31 付で Sun を退職し, 9/1 からは別の会社 (なんかいろんな人から 「O 社に行くの!?」 と言われるんだけど, 違いますw) にて, アイデンティティ関係のなにかしらにからむ予定. 連絡は tatsuo.kudoATgmailDOTcom, もしくは LinkedIn 経由でどうぞ. ブログは http://tkudo.blogspot.com/ をとったけど, まだなんにも書いてない...

最後に, お世話になったみなさま, およびこのブログを読んでくださったみなさまに, 厚く御礼申し上げます. どうもありがとうございました.

Tuesday Jul 29, 2008

7/30, 31: itSMF Japan コンファレンス & EXPO 2008

直前の告知になってしまったけど, 明日と明後日の二日間 (7/30-31), 東京ミッドタウンにて itSMF Japan コンファレンス & EXPO 2008 が開催される.

Sun からはコンファレンスにて 木田さんが講演する一方, EXPO にも展示ブースを設け, サービスを中心とする Sun のソリューションを紹介する. このブースのひとつで, ぼくと大渕さんが Sun Identity Manager や IdM プロフェッショナル・サービス (PS)の説明員を担当する予定. 今回の展示にあわせて, IdM PS のデータシートもこしらえてみた:

Sun Identity Management Professional Services

EXPO のほうは当日受付可能とのことなので, ベーカーバウンスでのランチがてらにでもお立ちよりくださいませ.

Wednesday Jul 23, 2008

SAML / Liberty から見た相互運用の可能性

先週金曜の 「第 3 回 Liberty Alliance 技術セミナー」, 開始直前にいきなりものすごい土砂降りになったにもかかわらず 110 人を越える方が参加されたとのことで, パネリストのひとりとして関わった自分としても, なんかうれしい. どうもありがとうございました.

当日ぼくが使ったスライドは以下. 基本的には Infocard Authentication Scenario DetailsOpenID Bootstrapping ID-WSF 2.0 の内容を整理しただけなんだけど, それぞれを読み解くときの参考になれば幸いです.

世界のナベアツ in 用賀

今日, 会社の入ってる世田谷ビジネススクエアではお祭りが開催されてた. 今年はジャリズムを呼んだそうで, ものすごい人出.

盆踊り縁日大会 @ 用賀

「Sun だから世界のナベアツが来たんですね!」 by 大渕さん

Friday Jul 11, 2008

OpenDS 1.0.0

OpenDS Status Panel

OpenDS のバージョン 1.0.0 がいよいよ公開された (via: Ludovic が users@opends.d.j.n. に投稿したメール). 状態パネルやサーバのログが日本語化されてていい感じ.

インストールや設定については OpenDS Wiki の User Documentation が非常に充実してる. ただそのぶん分量も多いので, まずは塩田さんのホットトピックセミナーでのプレゼンテーション (スライド, セッション録画) や opends タグのついてるエントリ, そしてぼくが以前書いた SDC の OpenDS 紹介記事 (ちなみに今月は休載です. すみません...) などをどうぞ.

また個人的にはこれがほかの LDAP ディレクトリ実装に対する一番の差別化要因になると思うんだけど, OpenDS はそれ自体を Java アプリケーションに組み込める (同一 JVM 上で稼働する内蔵 LDAP サービスとして利用できる) ようになっていて, すでに OpenSSO などで活用されている. こちらについては Ludo のスライドが非常に参考になるので, ぜひご参照くださいませ.

This session will present an overview of OpenDS, walk through the code and steps to embed OpenDS in a Java application. We will show how to store and retrieve data from OpenDS using popular APIs. We will cover advanced capabilities such as synchronizing OpenDS data between applications.
(2980) OpenDS Inside : an LDAP directory embedded into your applications

ぜいたく丼 @ 海鮮市場きときと 赤坂本店

Zeitaku Don 20080711

日替わりのおすすめ, 金曜日はぜいたく丼 (880 円).

Wednesday Jul 09, 2008

平成 19 年度情報セキュリティ市場調査報告書

経済産業省では、我が国の情報セキュリティ市場の実態を定量的に把握し、 情報セキュリティを巡る社会的動向を適切に分析すべく、 平成16年より国内情報セキュリティ市場実態調査を実施してきました。 この度、平成19年度における調査報告書がまとまりましたので、 公表します。
平成19年度情報セキュリティ市場調査報告書の公表について

アイデンティティ管理に関係のありそうなところだけ斜め読みしてみたけど, もしかしてこれは IdM に興味のない人が書いたのかなあと邪推したくなる. たとえば, 以下のような箇所が気になった.

  • 「表 4: 情報セキュリティツールの市場分類」 (20 〜 22 ページ)
    「アイデンティティ管理」 が, 大分類 「アクセス管理」 の, さらにその下の中分類に含まれてる. しかもその分類名が 「その他のアクセス管理製品」! いくらなんでも 「その他大勢」 扱いは悲しすぎる. 「アイデンティティ管理」 はそれ単体で大分類にして (もしくは 「アイデンティティ & アクセス管理」 にして), 「アクセス管理」 をその下の中分類に持ってくるべきだったんじゃないだろうか.
  • 「5.2 情報セキュリティツール市場の定義に関する説明」 の 「4. アクセス管理製品」 に関する記述 (26 〜 27 ページ)
    なお、このカテゴリの呼称について、この種の機能を 「アクセス制御」 と呼ぶケースが多い。これは Access Control の訳に由来すると考えられる。 Control は日本語として管理とも制御とも訳し得るが、本調査では必ずしも制御が目的ではなく管理と表現することが適当と判断して「アクセス管理」としている。 ← このへんを書いた人は 「アクセス管理」 という言葉を誤解してるようにみえる. この流れでの 「access control」 の access は, 「〜へアクセスする」 の access ではなくて, 「who has access to what」 の文脈での access, すなわち 「アクセス権限」 であると考えたほうが適切だと思う.
  • 「7.2 情報セキュリティツール市場のカテゴリ別分析」 の 「7.2.4 アクセス管理製品市場」 にある, アイデンティティ管理ツールに関する説明 (58 ページ)
    特にユーザ ID は、システムやアプリケーションが個人を識別するためのものであり、 その個人を主体に、企業内に種々点在するシステムの ID 管理を統合するアイデンティティ管理ツールは、 物理的な一元化が困難な環境において、 論理的に一元化できる仕組みを構築するためのツールとして今後普及が見込まれる。 ← アイデンティティ管理システムを過小評価しすぎ. ユーザ ID の管理はもちろんだけど, それ以上にアクセス権限の付与・剥奪も重要だということを明記してほしかった.
  • 同節にある 「(2) 市場規模とその推移」 (58 〜 60 ページ)
    「アクセス管理製品」カテゴリのうち、もっとも高い成長率が見込まれているのが 「その他のアクセス管理製品」であり、 平成 18 (2006) 年度から平成 20 (2008) 年度の各年度の前年度比成長率が、 各々 31.1%、37.4%、14.1% と予測される。 ← 最も高い成長率が見込まれてるにもかかわらず, 扱われかたは 「その他」 でいいのか? (いや, よくない)
  • 「10. 情報セキュリティをめぐる新しい動きについて」 の 「10.3 内部統制と情報セキュリティ」 にある, 「アイデンティティ・マネジメント・システム」 の記述 (110 ページ)
    認証・アクセス管理については、 アイデンティティ・マネジメント・システム (IDM) が注目されている。 システムへのアクセス権限は、 システムごとに細かく設定することが必要だが、 細分化されればされる程、 組織変更、 システム変更、 人事異動に伴う設定の変更負荷は膨大になる。 また権限がなくなった人のアクセス権削除は、 内部統制上特に大事な統制である。 これを着実に実現するために、 システム全体にわたるアクセス権の情報を一元管理し、 その上ですべての変更を一括して実現・配信する仕組みが登場し利用範囲を広げている。 ← 間違いではないけど, 「設定の変更負荷」 とか, 「すべての変更を一括して実現・配信」 とか, IT 側の視点しかないのが残念なところ. 申請・承認ワークフローとか, アテステーションとか, 職務分掌チェックとか, リポーティングとかも含めてほしい.
  • その続き (同)
    この応用として、 ユーザ側がシステムごとに認証とアクセス許可の手続を取らなくても、 一度 IDM 上で認証されれば、 権限のある全てのシステムへのログオンが承認される、 シングルサインオンの仕組みもまた、 広がりつつある。 これらは業務処理統制レベルのアクセス管理を、 IT 全般統制レベルで対応する例とも言える。 またシングルサインオンなどをうまく活用することで、 内部統制のための仕組みを業務効率化につなげることも可能になる一例とも言える。 ← SSO が IdM の応用ねえ... てか, むりやり SSO の話につなげてないか?

まあいろいろいちゃもんをつけたけど, とりあえず 「表 11 国内アクセス管理製品市場規模 実績と予測」 から読み取れる

  • 「アイデンティティ・プロビジョニング製品」と 「ディレクトリ製品」 を合わせた国内の市場規模は
    • 3 年前の 2005 年度は 3,264 百万円
    • 2008 年度には, その倍以上の 6,705 百万円となる模様

というデータは, 今後いろいろな機会に活用させていただきたいと考えております. 大変ありがとうございました.

Tuesday Jul 08, 2008

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4 が出てからはや二ヶ月あまり, ようやっと次の安定ビルドがリリースされた. 「なぜに Build 5 じゃなくて Build 4.5?」 については, Pat 曰く 「いま作業してる Early Access (EA) 版を Build 5 として出す予定なんだけど, ちょっとした問題点を直すのにもう少しかかるので, ひとまずそれらの fix 前の版を Build 4 と Build 5 の間に作ったよー」 ということらしい.

リリースノートによれば, Build 4 以降に加わった新機能は以下の通り. 個人的には, アイデンティティ・サービスを人にすすめるときに 「Build 4.5 を使ってください」 と, ビルドを特定することができるようになったのがかなりうれしい. これまでは 「最新のナイトリー・ビルドを使ってください」 と言うしかなかったので...

4. What's New in OpenSSO Build 4.5 from OpenSS V1 Build 4

  • シンプルになった, GlassFish V2 / Application Server 9.1 用 Web Services Security エージェント (JSR 196 SPI ベースのプロバイダ)
  • Fedlet ワークフロー
  • ビルド済みの Fedlet
  • フェデレーション設定の検証機能
  • サービス・タグ
  • 新しい NameID フォーマットのサポート
  • コンソールの SAMLv2 ページの配置見直し
  • FAM への SecurID Java API の統合 (FAM のみ. OpenSSO では提供されない)
  • Agent および IDRepo のアップグレードのサポート
  • アイデンティティ・サービスの機能拡張を実装
  • Metro 1.3 EA の統合 (JSR 196 など)
  • すべての対応 Web コンテナ上で STS を提供
  • SAMLv2 アサーションのフェイルオーバ
  • オンライン・ヘルプの統合
  • SiteMinder の統合
  • Identity Manager の統合を検証

OpenSSO Early Access Release Notes

小鉢定食 @ 梓川

Kobachi Teishoku 20080708

煮魚, 焼魚, 刺身が一度に食べられる. 900 円.

ほうれん草ときのこのカレー @ マンダラ

Sag Mushroom Curry Plate 20080707

この日のセット (890 円), 日替わりはほうれん草ときのこ. 刺激弱め. そういや最近デヴィコーナーに行ってないなー. サグパニール食べたい...

Monday Jul 07, 2008

ガートナー: Sun の IdM オファリングは Strong Positive

ガートナーがベンダ・レーティングで, Sun を positive と評価した (via: System News for Sun Users - The Blog). とくに以下の分野はさらに Strong Positive とのこと.

  • SPARC CMT Servers
  • Solaris
  • Identity and Access Management
  • Open Source
  • Developers

ちなみに Strong Positive の定義は

Is viewed as a provider of strategic products, services or solutions:

  • Customers: Continue with planned investments.
  • Potential customers: Consider this vendor a strong choice for strategic investments.

Vendor Rating: Sun Microsystems

ということで, アイデンティティ管理に関して戦略的な投資が必要であるとお考えのかたは, ぜひ Sun へお声がけくださいませ.

毛ガニ

Crowds of Crabs

北海道の友達から毛ガニが届いた. 知らなかったんだけど, 北海道の毛ガニの旬は春から夏にかけてらしい. ありがとう!

Friday Jul 04, 2008

7/18 (金): 第 3 回 Liberty Alliance 技術セミナー

再来週の金曜日に, リバティ・アライアンスが第 3 回の技術セミナーを開催する. 伊藤さんが SAML を語ったり, 崎村さんが OpenID を語ったりと, かなり興味をそそられるアジェンダなので, ぼくもふつうに聴講者として参加申込した... はずだったんだけど, 気づいたら, セッションのひとつにパネリストとして登壇することになりましたw

  • 「パネル:アイデンティティ管理標準の相互運用の可能性を探る (SAML/Liberty, OpenID, CardSpace)」 (仮題)
    パネリスト
    サン・マイクロシステムズ株式会社 工藤 達雄(くどう たつお)氏
    株式会社野村総合研究所 崎村 夏彦(さきむら なつひこ)氏
    マイクロソフト株式会社 田辺 茂也(たなべ しげや)氏
    モデレータ
    日本電信電話株式会社 高橋 健司(たかはし けんじ)氏

第 3 回 Liberty Alliance 技術セミナー

ということで, 当日ぼくは SAML/Liberty の帽子をかぶって, InfoCard + SAML2 および SAML2 + WS-Federation とか, OpenID Bootstrapping ID-WSF 2.0 とか, あとフェデレーション・ハブ的な話をふられそうな予感.

会場はけっこう人が入れるそうなので (150 人くらいとか), お時間のあるかたはどしどしどーぞ.

銀ムツ西京焼 @ おこげ

Gin-mutsu Saikyoyaki 20080704

家庭料理? のお店にて, 銀ムツ西京焼の定食 (1,000 円). ごはんがすすむ味.

Thursday Jul 03, 2008

最近のアイデンティティをとりまく 3 つの R

2008 年も折り返し地点を過ぎ, IIWBurton Group Catalyst Conference などの重要イベントもひと段落して, なんとなく今年のアイデンティティ界隈の流行りものがみえてきた. それはロール (role), 評判 (reputation), 関係 (relationship) の 3 つ.

ロール (role)

リソース固有の権限をグルーピングし, それをどのような場合に付与・剥奪するかのベースとなる 「ロール・マスタ」 は, 従来の IdM システムではどちらかというとおまけ的な扱いだった. しかし昨年後半以降 (Sun が Vaau を買収したり, 某同業他社が某社を買収してから), ロール情報にもアイデンティティ情報と同様のライフサイクル (生成, 分析, 修正, 削除, 承認 etc.) があって, きちんとした管理が必要だという認識が, 徐々に広まってきてる.

幣部でも最近 Sun Role Manager を Sun IdM ソリューションのパートナー向けに個別説明したり, エンドユーザー向けにセミナーを (まだ国内で出荷してないので, 若干フライング気味に) 開催してるんだけど, 「IdM をすでに理解している人」 に対してのウケが非常にいい. 国内でのリリースが楽しみ.

評判 (reputation)

いわずもがなという気もするけど, とりあえず IBMr とやらは気になる...

関係 (relationship)

どうやらこれが今回の Burton Catalyst の目玉だったらしい. 多くの参加者が書いている所感のうち, Mark Dixon のエントリと Dave Kearns の記事がよくまとまっている.

とくに Mark のメモはすごくよいので (その他のエントリもおすすめ), 一部よくわからないところはあるけど, 勝手に訳してみた.

  • わたしたちは自身のアイデンティティを知っているし, 自分と同じように, 他人のアイデンティティも正しいことを期待している.
  • 他人がどうふるまうかを予測するために, わたしたちは彼らのアイデンティティを, 彼らとのやりとりをベースにして作りあげる.
  • 企業や組織もまた, 関係をもとにして, (顧客の) アイデンティティを作りあげる.
  • アイデンティティの世界が広がっていくにつれて, 関係は薄まっていく一方, アイデンティティは適切でなくなっていく.
  • 「ロングテール」 とは, ビジネス上のつきあいがそれほどない人たちとの, やりとりの頻度が少なくなることを意味する.
  • 企業が正確な 「顧客のアイデンティティ」 を作り上げるには, 人々に関して, よりひんぱんに, 精度の高い観察をするための方法を見出す必要がある.
  • もしその情報収集システムが露骨だと, 人々はそれに抵抗する. 関係が, よりよいデータ収集によって強固なアイデンティティ・モデルをもたらすための場をつくり出す.
  • 「良い関係ふたつ」 は 「悪い関係ひとつ」 よりも優れている. ある二者の関係を仲介する存在は, しばしば役に立つ.
  • 関係こそがコンテクストである. コンテクストが, アイデンティティ情報のセキュリティとプライバシーを保護する.
  • Burton Group はリレーションシップ・オブジェクトを提唱した. このオブジェクトによって, 関係というものを, オンライン・システムが利用できるようなかたちに定義する.
  • このモデルでは, 関係は以下に分類される.
    • カストディアル (Custodial) - 密接なやりとりが行なわれる. 各当事者はお互いに, 他者の利益を最優先にして行動する. (企業と従業員との関係など)
    • コンテクスチュアル (Contextual) - おもなやりとりは, 仲介者を通じて行なわれる. 各当事者は, 広く同意されている制限事項への遵守に合意する. (企業間とか)
    • トランザクショナル (Transactional) - やりとりは, トランザクションを仕立てるアイデンティティ・プロバイダによって仲介される. 人々は, 自身が何者であるかをさらけださない. (顧客とか)
  • クレジット・カードのモデル (カード発行者がカード・ホルダに対し, カード詐欺に関する責任をほとんど要求しない) のような関係は, 信頼を築きやすい.
  • オンライン上で成功する企業は, 課金によって顧客と密接に関係することができるだろう. テレコムが今まさにそれ. スタートアップはそのような関係の構築を狙っている.

Discovering Identity: Catalyst: A Relationship Layer for the Web

最後は引用が長くなってしまったけど, ここしばらくはこの 3 つの R を軸にいろいろ考えていきたいなー, と思う今日このごろ.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today