Thursday Aug 28, 2008

私事

SDC 連載の記事として先日寄稿した OpenSSO のアイデンティティ・サービス紹介が, Sun の開発者向けサイトの本家である Sun Developer Network (SDN) でも公開された. SDN への掲載を勧めてくれた PatAravindan, そしてぼくの英訳草稿をきれいに直してくれた Marina に深謝.

This article starts with a description of the four ways in which you can integrate Web applications with OpenSSO. You then learn how to secure the login process with OpenSSO's identity-service interfaces in a Ruby on Rails (henceforth, Rails) sample application.
Integrating Applications With OpenSSO

Integrating Applications With OpenSSO

そしてこれが, ぼくの Sun での最後の仕事. 8/31 付で Sun を退職し, 9/1 からは別の会社 (なんかいろんな人から 「O 社に行くの!?」 と言われるんだけど, 違いますw) にて, アイデンティティ関係のなにかしらにからむ予定. 連絡は tatsuo.kudoATgmailDOTcom, もしくは LinkedIn 経由でどうぞ. ブログは http://tkudo.blogspot.com/ をとったけど, まだなんにも書いてない...

最後に, お世話になったみなさま, およびこのブログを読んでくださったみなさまに, 厚く御礼申し上げます. どうもありがとうございました.

Wednesday Jun 18, 2008

SDC の IdM 連載 (12): たとえば Ruby on Rails アプリケーションの SSO を OpenSSO にまかせてみる

アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する

再開したと思ったらまた先月落としてしまった SDC 連載 「アイデンティティ管理の基礎と応用」, 今月は OpenSSO の 「アイデンティティ・サービス」.

OpenSSOには、 その認証・認可機能やユーザ属性を外部のアプリケーションから利用するための Web サービス・インタフェースが備わっています。今回はこの 「アイデンティティ・サービス」 を用いて、 Ruby on Rails アプリケーションのログイン処理を OpenSSO と連携して行なう例をご紹介します。
アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する

アイデンティティ・サービスの使いかたとして Ruby on Rails アプリケーションへの組み込み例 (application.rb) を紹介してるんだけど, Rails はおろか Ruby もまったくさわったことのなかった筆者 (くどう) が 「A_quick_and_dirty_homemade_authentication_solution in Ruby on Rails」 や Authenticate As Remote User plugin をみながら半日くらいで書いた全くイケてないコードなので, だれか添削してもらえたり, ついでにプラグイン化してくれたりするとうれしいす... (ずうずうしい)

なお, 本気でアイデンティティ・サービスを活用するのであれば

  • 認証情報だけでなく認可情報も利用 (/identity/authorize)
  • トークンの有効性確認 (/identity/isValidToken) や, 属性を問い合わせた結果 (/identity/attributes) のキャッシング
  • ロギング (/identity/log)
  • クロスドメインへの対応 (OpenSSO のログイン後の後処理をフックして, トークンを Cookie ではなくパラメータとしてブラウザからアプリケーションに POST させる, とか)
  • 負荷分散 (/identity/getCookieNameForToken だけでなく /identity/getCookieNamesToForward も呼び出して, amlbcookie (ユーザのセッションがどの OpenSSO インスタンスに管理されてるかを示す Cookie) を得る)

など, 考慮すべきポイントはいろいろあるんだけど, なにはともあれ, とりあえず OpenSSO を入れて (超簡単), お手元のアプリケーション・フレームワークにてお試しいただければ幸いです.

Monday May 19, 2008

【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか

【解説】OpenIDのこれまでとこれから——企業ITでも活用できるか : セキュリティ・マネジメント - Computerworld.jp

先月の Computerworld に寄稿した OpenID の記事が, Computerworld.jp のほうに今朝転載されたみたい.

ちなみに執筆後から最近にかけての 「OpenID in the Enterprise」 を模索する動きとしては, myOpenID for Domains (企業 OpenID プロバイダの外部委託サービス) とか, ClickTime (37signals のように, 企業ユーザの OpenID を受け入れる) とかがあった. あと国内でも 市販のSaaSサービスを組み合わせ、セットで提供 する際の サービス間をつなぐSSO機能「OpenIDにも対応していきたい」 という記事が出てたのも, ちょっと気になるところ.

そういや一方, salesforce.com がいよいよ SAML に対応するそうで. たしか昔は SAML に否定的なことを言ってたような気もするけど, なにがきっかけになったんだろうか. 勝手に推測すると, どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?

Wednesday Apr 16, 2008

SDC の IdM 連載 (11): OpenSSO ではじめる SAML 2.0 (後編)

アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

ということで前回予告した通り, 今月の SDC 連載 「アイデンティティ管理の基礎と応用」 では, IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.

前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

書き上げてから言うのもなんだけど, 本稿では SAML の説明自体をかなりはしょってるので, 実際に OpenSSO の 「SAML2 サンプル」 をさわってみる際には, 以下を参考にしながら進めるといいと思う.

Monday Apr 14, 2008

月刊 Computerworld 2008 年 6 月号に OpenID の記事を寄稿

今週金曜 (4/18) 発売の月刊 Computerworld 2008 年 6 月号に, 『コンシューマーからエンタープライズへ ── 本格化する OpenID の明日を探る』 という記事を寄稿した. 内容は, 「IT マネージャー」 向けに

  • OpenID 仕様の概要
  • 最近の動向
  • Web サービス・ベンダの目論見
  • 「ディレクテッド・アイデンティティ」
  • エンタープライズ分野への適用
  • 普及への課題

を概観する, 全 6 ページ. 冒頭 2 ページの PDF が IDG Direct からダウンロードできるようになっているので, よろしければご高覧くださいませ.

Wednesday Mar 12, 2008

SDC の IdM 連載 (10): OpenSSO ではじめる SAML 2.0

アイデンティティ管理の基礎と応用(10):OpenSSO の SAML 機能を試してみる (1/2)

実はまだ続いていた SDC 連載 「アイデンティティ管理の基礎と応用」, 再開一発目は OpenSSO による SAML 2.0 (によるフェデレーテッド SSO) の実習. 先日の OpenID Extension for OpenSSO のときと同様, 今回は設定手順までを紹介. 実行環境の構成が若干ややこしめだけど (ホスト名とポート名のあたりとか), 設定の内容自体は難しくないので, あわてずあせらずじっくりどうぞ. たぶん来月は各 OpenSSO インスタンスの前段に tcpmon をかませて, IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.

ちなみに花木さん

1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog

まとめている通り, OpenSSO V1 Build 3 には 「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると Federation モジュールが設定されない」 という, ちょっと恥ずかしいバグがある (これに気づくまで SAML2 サンプルを動かすことができず, かなりハマった...).

LANG=ja_JP.UTF-8 の場合
(うまく設定できてない)
LANG=C の場合
(期待どおりの設定ができてる)
There are only two, LDAP and DataStore.  Find attached screen shot. After over ten attempts of clean installation, I've finally got the OpenSSO to include Federation entry in module instance table. Find attached.

次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは

env LANG=C ~/glassfish/bin/asadmin start-domain

などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく. なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.

Wednesday Sep 19, 2007

SDC の IdM 連載 (9): 続: OpenID Extension for OpenSSO

lis.example.com

SDC 連載 「アイデンティティ管理の基礎と応用」 の第 9 回は, 前回インストール・設定した OpenID Extension for OpenSSO の動作確認.

今回は、 OpenID Extension for OpenSSO (以下 OpenID Extension) の動作を確認していきます。
アイデンティティ管理の基礎と応用(9):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (2/2)

本連載では OpenID Extension の動作に最低限必要な設定の紹介にとどまっているけど, これを実際の運用にあたってどのように構成していくかは, HubertOpenID.sun.com システムに関してまとめた以下のエントリが参考になると思う.

  • OpenID @ Work - Architecture
    OpenID.sun.com の提供するサービスの構成. ぼくの書いた記事の中ではユーザの登録を OpenSSO 管理者 (amadmin) が手動で行なったり, OpenID Identifier でポイントされる HTML を静的に置いたりしたところを, 一方の OpenID.sun.com ではユーザ登録を OpenSSO の機能を使ってセルフサービス化し, また HTML を動的に生成しているところがポイント.
  • OpenID @ Work - Infrastructure Description
    OpenID.sun.com の機器構成. ぼくの書いた記事の中では全部をひとつの GlassFish インスタンスで実行してるところを, OpenID.sun.com ではユーザ情報をちゃんと Directory Server に格納し, かつ OpenSSO も含めて冗長化. さらに前段にファイアウォール / ロード・バランサを配置して, 負荷分散と SSL の終端処理も行なっている.

なお前回今回の記事をご覧いただくとわかるように, OpenID Extension は OpenSSO とは独立して動作する Web アプリケーションとして実装されている (OpenSSO からみると, OpenID Extension は Policy Agent インスタンスのひとつとして認識される). つまり OpenSSO 側には単に OpenID Extension からの通信を受けつけるための接続情報だけ登録すればよくて, OpenSSO システムになにか特別なモジュールを組み込む必要はない. そしてぼく自身はまだ確認できていないんだけど (すみません), この OpenID Extension は Sun Java System Access Manager システムと組み合わせても動作するはず.

もしすでに Sun Java System Access Manager を導入・運用されているサイトで, さらに OpenID プロバイダの実現可能性を探りたいという野望 (?) をお持ちのかたは, 既存の環境にほとんど影響を与えずに導入することのできる OpenID Extension for OpenSSO を, ぜひおためしください!

Wednesday Aug 22, 2007

SDC の IdM 連載 (8): OpenID Extension for OpenSSO

OpenID Extension for OpenSSO
OpenSSO OpenDS

今月の SDC 連載 「アイデンティティ管理の基礎と応用」 は OpenID Extension for OpenSSO について. はじめは動作確認までまとめようと思ってたんだけど, 設定手順を書くだけでけっこうな分量になってしまったので, 残りはまた来月.

OpenSSO に OpenID Extension for OpenSSO を組み合わせることによって、 OpenSSO のアクセス管理 / シングル・サインオン (SSO) アーキテクチャを最大限に活用した、 高機能な OpenID プロバイダを構築することができます。 今回は、この OpenID Extension for OpenSSO のインストールから設定までをご紹介します。
アイデンティティ管理の基礎と応用(8):OpenID Extension for OpenSSO: OpenSSO の能力を活かした OpenID プロバイダの構築 (1/2)

365 Main が停電したせいで LiveJournal の OpenID サービスがいっとき死んだ ※」 例をひくまでもなく, アイデンティティ・プロバイダは可用性が命 (実際にはそれだけじゃないけど). だからこそ, WAN 越しでマルチマスタ・レプリケーションできる LDAP ディレクトリ各コンポーネントを冗長化できるアクセス管理システムを最大限活かすことのできる, OpenID Extension for OpenSSO をぜひどうぞ.

ちなみにいまチェックしてみたところ, GlassFish v2 は執筆時点の RC1 から現在は RC3 に, OpenSSO も 20070821 版が出ているので, これから OpenSSO を試すにはこれらの最新版を使ったほうがいいと思う. あと OpenID Extension も先週末までひとつバグがあったので, もしこのフィックスが入る前のソースを使ってる場合にはアップデートをよろしくおねがいします.






※ 公平を期すために書いておくと, 弊社の外向けサイトも 365 Main にホストされてた (そして同じくダウンした) んだよね...

Wednesday Jul 18, 2007

SDC の IdM 連載 (7): OpenSSO と OpenDS (と GlassFish)

GlassFish OpenSSO OpenDS

SDC 連載 「アイデンティティ管理の基礎と応用」 も, なんだかんだいって, はや 7 回目. 前回まではどちらかというと established な技術や製品を取り扱ってきたけど, 今回からはちょっと毛色を変えて emerging な方向にいこうかと. まずは OpenSSOOpenDS のインストールから入って, この先 OpenID Extension for OpenSSOOpenDS Atom Server に手を出していくつもり.

Sun は Solaris や Java をはじめとする自社のソフトウェアのオープンソース化を推進していますが、 それはアイデンティティ管理の分野も例外ではありません。 今回はアクセス管理 / シングル・サインオン (SSO) 機能を提供する OpenSSO と、 ディレクトリ・サービスである OpenDS をご紹介します。
アイデンティティ管理の基礎と応用(7):OpenSSO と OpenDS: オープンソースの次世代 SSO / ディレクトリ

それにしても, 最近の Sun のインフラストラクチャ系のソフトウェアの導入のしやすさは驚異的だと思う. たとえば GlassFish v2 のインストールは基本的に

  1. java -Xmx256m -jar glassfish-installer-v2-b50g.jar -console
  2. chmod -R +x lib/ant/bin
  3. ./lib/ant/bin/ant -f setup.xml

の 3 ステップで完了しちゃって, その昔 NetDynamics とか Netscape Application Server (EUC-JP でどうぞ) のプリセールス・エンジニアをやってたころの感覚からすると, まさに極楽 (おおげさでなく). さらに OpenSSO は

  1. GlassFish の autodeploy ディレクトリに opensso.war をコピー
  2. http://host.example.com:8080/opensso にアクセス
  3. パスワードを指定

するだけで動作するし, OpenDS にいたっては, その気になればインストール時にレプリケーション設定までできてしまう! どんだけ〜 (← 使いかた合ってる?)

まー, こういうことは 「百聞は一見にしかず」 なので, この機会にぜひおためしくださいませ.

Thursday Jun 21, 2007

SDC の IdM 連載 (6): アイデンティティ Web サービス

今月の SDC 連載 「アイデンティティ管理の基礎と応用」 は アイデンティティ Web サービス. IdM の基本的なところは, これでひととおりおさえた, かな...

相互に連携する Web サービスを、 最終的にサービスを受ける 「利用者」 を中心に置いて実行させるには、 すべての Web サービスが 「そのサービスをリクエストしている大元は誰か」 を認識することが必要です。 そのためには、 Web サービス間で 「ユーザのアイデンティティ」 を相互に流通させることが必要です。 これを実現するためのアーキテクチャが、 「アイデンティティ Web サービス」 です。
アイデンティティ管理の基礎と応用(6):アイデンティティ Web サービス:エンド・ツー・エンドのアイデンティティ連携

Friday May 18, 2007

SDC の IdM 連載 (5): アイデンティティ・フェデレーション

SDC 連載 「アイデンティティ管理の基礎と応用」, 第 5 回の今月はアイデンティティ・フェデレーション.

アイデンティティの文脈での 「フェデレーション」 の定義についてはいろいろあると思うけど, ここでは以下のようにしてみた.

インテグレーション (統合) やシンクロナイゼーション (同期) ではなくフェデレーション (連携) という言葉を用いていることからもわかるように、 アイデンティティ・フェデレーションとは、 個々のアクセス管理 / SSO システムに存在するアイデンティティ情報を、 ユーザを軸として互いにひもづけることです。
アイデンティティ管理の基礎と応用(5): アイデンティティ・フェデレーション: 別々に管理されたアイデンティティ情報の連携

あくまでもひもづけの対象は 「アイデンティティ情報」 であって, 「認証の状態」 を結びつけているんじゃないんだよー, 「にんしょーれんけー」 じゃないんだよー, ということを表現したつもりなんだけど, どんなもんだろうか.

あと Sun と Hewitt (人事アウトソーシング・サービス) との間で Sun Java System Access ManagerSun Java System Federation Manager を使ったフェデレーションが実際に運用されている事例 (もしかしたら世界初公表なのかも) は, Sun IT の担当アーキテクトの Yvonne Wilson に確認したところ, 現時点では 「アーキテクチャ図とかはまだ描かないで」 とのことだった. ということで残念ながら今回はここまでの内容にとどめざるをえなかったんだけど, そのうちちゃんとした事例紹介として公開されるみたいなので, 乞うご期待あれ.

Thursday Apr 12, 2007

SDC の IdM 連載 (4): アクセス管理 / SSO システム

今月の SDC 連載 「アイデンティティ管理の基礎と応用」 は アクセス管理 / SSO システムについて.

不十分なアクセス制御は利便性とセキュリティの両方を低下させてしまいます。 そこで、 各システムごとに行なっていたアクセス制御を集中的に運用・管理するための基盤が、 今回ご紹介するアクセス管理 / SSO (シングル・サインオン) システムです。
アイデンティティ管理の基礎と応用(4): アクセス管理 / SSO (シングル・サインオン) システム: ユーザの利便性とセキュリティの両立

そういや, 渋谷に sso という居酒屋があるらしい. これは IdM 関係者としては行かざるをえないな...

Wednesday Apr 04, 2007

SOA を技術面から支える「アイデンティティ管理」の重要性 @ Computerworld.jp

月刊 Computerworld 2007 年 3 月号の拙稿 「SOA における IdM」 が, いつのまにか Web のほうにも転載されていた. よろしければご一読くださいませ.

複数のアーキテクチャが混在するSOA(サービス指向アーキテクチャ)システム上で、利用者の職務や権限に応じて適切なサービスを提供するためには、利用者とサービスとの関係の変化に合わせてアイデンティティ情報を継続的に追加・変更・削除する必要がある。そこで、注目されることになるのが、SOA環境におけるアイデンティティ情報を一元的かつ統合的に管理するアイデンティティ管理である。本稿では、SOA対応のアイデンティティ管理基盤の技術概要を紹介するとともに、その導入を検討するにあたってITマネジャーが知っておくべきポイントを明らかにしたい。
SOAを技術面から支える「アイデンティティ管理」の重要性 : 本誌人気記事 - Computerworld.jp

(以下私信: だいぶ間があいてしまいましたが, コメントどーもです > 関谷さん)

Wednesday Feb 07, 2007

SDC の IdM 連載 (3): プロビジョニング・システム

「アイデンティティ管理の基礎と応用」 の第三回目は, いよいよアイデンティティ・プロビジョニングについて. 以下のポイントを理解する一助となれば光栄です.

  • ユーザのアカウントとアクセス権限は、 そのユーザが置かれている立場によって決定されます。
  • ユーザの立場が変化するたびにアカウントとアクセス権限を適切に付与・剥奪することが必要です。
  • それを効率化するのがアイデンティティ・プロビジョニング・システムです。
  • 最新の IDM 7.0 では従来バージョンのアイデンティティ・プロビジョニング機能に加え、 監査機能とサービス・プロバイダ対応機能を統合し、 統合的なアイデンティティ管理ソリューションとしてさらに進化しています。

アイデンティティ管理の基礎と応用 (3): プロビジョニング・システム: アイデンティティ・ライフサイクルの統合管理

今月の SDC SQUARE にはぼくの IdM 連載以外にも下道さんのインタビュー記事が載ってるので, こちらもあわせてどうぞ.

Friday Jan 26, 2007

導入機運高まる 「アイデンティティ管理」, 日本版 SOX 法への対応で需要拡大

昨年の日経ソリューションビジネスの記事が 内部統制.jp に転載されてる. 当該号を見逃したソリューション・プロバイダの方にはぜひご一読いただき, そして 「Sun アイデンティティ・マネージメント ビジネスパートナー プログラム」 への参加をご検討いただければと存じます.

ところでいろんな意味で象徴的なのは, 本記事が出た時点で IdM 製品をリリースしていたベンダのうち, 取材されてるのが Sun (正確には弊部の克哉さん) だけということ. Sun 以外の他のベンダはどうしたんだろ!? 取材されたけど記事からは削られたのか, そもそも取材対象に入ってなかったのか, それとも...

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today