Tuesday Jul 08, 2008

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4 が出てからはや二ヶ月あまり, ようやっと次の安定ビルドがリリースされた. 「なぜに Build 5 じゃなくて Build 4.5?」 については, Pat 曰く 「いま作業してる Early Access (EA) 版を Build 5 として出す予定なんだけど, ちょっとした問題点を直すのにもう少しかかるので, ひとまずそれらの fix 前の版を Build 4 と Build 5 の間に作ったよー」 ということらしい.

リリースノートによれば, Build 4 以降に加わった新機能は以下の通り. 個人的には, アイデンティティ・サービスを人にすすめるときに 「Build 4.5 を使ってください」 と, ビルドを特定することができるようになったのがかなりうれしい. これまでは 「最新のナイトリー・ビルドを使ってください」 と言うしかなかったので...

4. What's New in OpenSSO Build 4.5 from OpenSS V1 Build 4

  • シンプルになった, GlassFish V2 / Application Server 9.1 用 Web Services Security エージェント (JSR 196 SPI ベースのプロバイダ)
  • Fedlet ワークフロー
  • ビルド済みの Fedlet
  • フェデレーション設定の検証機能
  • サービス・タグ
  • 新しい NameID フォーマットのサポート
  • コンソールの SAMLv2 ページの配置見直し
  • FAM への SecurID Java API の統合 (FAM のみ. OpenSSO では提供されない)
  • Agent および IDRepo のアップグレードのサポート
  • アイデンティティ・サービスの機能拡張を実装
  • Metro 1.3 EA の統合 (JSR 196 など)
  • すべての対応 Web コンテナ上で STS を提供
  • SAMLv2 アサーションのフェイルオーバ
  • オンライン・ヘルプの統合
  • SiteMinder の統合
  • Identity Manager の統合を検証

OpenSSO Early Access Release Notes

Monday Jun 23, 2008

第 2 回アイデンティティ・カンファレンス + 第 3 回アイデンティティ飲み会

昨日は表記の集まりに参加してきた. 幹事の水野さん, そして発表者のみなさん, どうもありがとうございました.

  • 基調講演 (=nat さん)
    XRI の基礎 (コンタクト・サービスに mailto: を使ったりもできるんすね) から W3C TAG のネガティブ・キャンペーンの話, ORMS, JAL の OpenID 採用事例, そして @freeXRI の提供するツールの紹介まで, まさにキーノートと呼ぶにふさわしい内容.
  • Apache2::AuthenOpenID (lopnor さん)
    .htaccess に呪文を書けば結構動く」 というのは, たしかに敷居を下げるという意味で有効だよなー, OpenSSO のアイデンティティ・サービスも, .htaccess に
    AuthType OpenSSO
    ...
    みたいに書くだけで使えるようにするといいのかなー, などと個人的にいろいろ刺激をうけた.
  • Attribute Exchange Sucks (ZIGOROu さん)
    SAML はこの手の間接通信では JS で POST してる」 の件, いま思い出したけど, IdP と SP が直接通信できないような場合 (たとえば企業内部にあるアクセス管理 / SSO システム (IdP) を使って Google Apps (SP) にログインする) に対応するというのが, 理由としてあったかもしれない.
  • ID-WSF (伊藤さん)
    実は最近あんま ID-WSF 関連はさわってなかったので, IdP が WSC (Web サービス・コンシューマ) に 「DS (ディスカバリ・サービス) にアクセスするときに提示するアサーション」 を発行したり, さらに DS が WSC に 「WSP (Web サービス・プロバイダ) にアクセスするときに提示するアサーション」 を発行したり, さらにそのアサーションが失効したら再度新しいアサーションを取得したり, といった, なんか基本的なことを自分がわかってないことがわかった... ちょっと OpenSSO でリハビリします.

そして飲み会は二次会まで楽しすぎた! ワインうまかった!

Identity Nomikai #3-2

Wednesday Jun 18, 2008

SDC の IdM 連載 (12): たとえば Ruby on Rails アプリケーションの SSO を OpenSSO にまかせてみる

アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する

再開したと思ったらまた先月落としてしまった SDC 連載 「アイデンティティ管理の基礎と応用」, 今月は OpenSSO の 「アイデンティティ・サービス」.

OpenSSOには、 その認証・認可機能やユーザ属性を外部のアプリケーションから利用するための Web サービス・インタフェースが備わっています。今回はこの 「アイデンティティ・サービス」 を用いて、 Ruby on Rails アプリケーションのログイン処理を OpenSSO と連携して行なう例をご紹介します。
アイデンティティ管理の基礎と応用(12):カスタム Web アプリケーションのログイン処理に OpenSSO を活用する

アイデンティティ・サービスの使いかたとして Ruby on Rails アプリケーションへの組み込み例 (application.rb) を紹介してるんだけど, Rails はおろか Ruby もまったくさわったことのなかった筆者 (くどう) が 「A_quick_and_dirty_homemade_authentication_solution in Ruby on Rails」 や Authenticate As Remote User plugin をみながら半日くらいで書いた全くイケてないコードなので, だれか添削してもらえたり, ついでにプラグイン化してくれたりするとうれしいす... (ずうずうしい)

なお, 本気でアイデンティティ・サービスを活用するのであれば

  • 認証情報だけでなく認可情報も利用 (/identity/authorize)
  • トークンの有効性確認 (/identity/isValidToken) や, 属性を問い合わせた結果 (/identity/attributes) のキャッシング
  • ロギング (/identity/log)
  • クロスドメインへの対応 (OpenSSO のログイン後の後処理をフックして, トークンを Cookie ではなくパラメータとしてブラウザからアプリケーションに POST させる, とか)
  • 負荷分散 (/identity/getCookieNameForToken だけでなく /identity/getCookieNamesToForward も呼び出して, amlbcookie (ユーザのセッションがどの OpenSSO インスタンスに管理されてるかを示す Cookie) を得る)

など, 考慮すべきポイントはいろいろあるんだけど, なにはともあれ, とりあえず OpenSSO を入れて (超簡単), お手元のアプリケーション・フレームワークにてお試しいただければ幸いです.

Tuesday Jun 17, 2008

かくして 「複数フェデレーション・プロトコルの同時サポート」 は必須となる

Salesforce Summer '08 がリリースされたというので, SAML の設定がどうなってるのかみてみたんだけど, どうやら受け入れることのできる SAML のバージョンは 1.1 だけみたい (たぶん. それとも, どこかに別の設定項目がある!?).

最近の主流はやっぱりバージョン 2.0 だと思うんだけど, あえて obsolete になりつつある 1.1 を選択したのにはどういう理由があるんだろうか. もしかして先日書いたように

どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?
【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか - tkudo's weblog about identity management

で, しかもその提案先の使ってた SAML のバージョンが 1.1 だったというオチだったりして.

...妄想はさておき, これからアクセス管理 / SSO 基盤を構築するのなら, 特定のプロトコル (e.g. SAML, OpenID etc.) やバージョンに依存するのではなく, OpenSSO のように 「SAML 1.1 / SAML 2.0 / Liberty ID-FF / WS-Federation などの複数のフェデレーション・プロトコルの同時サポート (いわゆる『フェデレーション・ハブ』)」 の機能を備えたソフトウェアを選んだほうがいいと思う. 「うちのにんしょーきばん, Google Apps には SAML 2.0 で SSO できるんだけど, salesforce.com や WebEx は SAML 1.1 なので連携できないんだよね」 というのでは, ちょっと切ない...

Thursday Apr 24, 2008

OpenSSO の最新ビルドに Fedlet が入ってる

前に言及した Fedlet が, いよいよ最近の OpenSSO で使える状態になってる.

Create Fedlet in Common Tasks Page

試してみた感じでは,

  1. OpenSSO の Common Tasks から Create Hosted Identity Provider を実行し, Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
  2. その流れで Create Fedlet を実行し, Fedlet の配備先となるサービス・プロバイダ (SP) の情報 (URL とか) を指定して, その SP 特有の設定情報が詰まった Fedlet.zip を生成
  3. 産みおとされた Fedlet.zip から fedlet.war を抽出し, SP 側のアプリケーション・サーバに配備
  4. IdP と SP との間での疎通テスト

という具合に, 簡単に SP 側の 「SAML の受け口」 を設定することができて, ちょっと感動. Fedlet 入り OpenSSO のダウンロードは以下からどうぞ.

Wednesday Apr 16, 2008

SDC の IdM 連載 (11): OpenSSO ではじめる SAML 2.0 (後編)

アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

ということで前回予告した通り, 今月の SDC 連載 「アイデンティティ管理の基礎と応用」 では, IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.

前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

書き上げてから言うのもなんだけど, 本稿では SAML の説明自体をかなりはしょってるので, 実際に OpenSSO の 「SAML2 サンプル」 をさわってみる際には, 以下を参考にしながら進めるといいと思う.

Friday Apr 11, 2008

4/16 (水): OpenSSO 紹介 @ 2 時間で学ぶ今月の Java ホットトピック (4 月号)

来週水曜日の夕方に Sun の用賀本社にて行なわれる 「2 時間で学ぶ今月の Java ホットトピック (4 月号)」 で, 岩片さんOpenSSO の紹介をするとのこと. お申し込みは以下からどうぞ.

ぼくも行こうと思ってたんだけど, 当日はどうも別件が入りそう. 残念...

Wednesday Apr 02, 2008

OpenSSO V1 Build 4

Index of /general/opensso/stable/openssov1-build4/

ついさきほど, OpenSSO V1 Build 4 が download.java.net に置かれた模様.

今回の変更点は, リリース・ノートによれば以下の通り:

  • OpenSSO コンフィグレータ (初期設定ウィザード) が新しくなった
  • STS サービスが GlassFish, Sun Java System Application Server, Sun Java System Web Server, Geronimo, Tomcat, そして WebSphere で利用可能になった
  • シンプルな STS クライアントのサンプルが付属するようになった
  • OpenDS を内蔵設定ストアとして使用している場合に, その OpenDS を複数の OpenSSO インスタンス間でレプリケーションさせることが可能になった
  • セキュリティ / SSL 関連の修正が行なわれた
  • そのほかいろいろなバグが修正された (こないだの恥ずかしい I18N バグも直ってる. わーい)

Tuesday Apr 01, 2008

Access Manager / OpenSSO Integration with Shibboleth IdP

I have very little knowledge on both Shibboleth specification and implementation however, It seems easy to integrate Sun Java System Access Manager / OpenSSO with it to centralize user authentication into single access management infrastructure and provide some other strong authentication methods such as client certificate, finger vein etc.

The integration point is REMOTE_USER variable between the Shibboleth IdP and Application Server with Policy Agent, just like what Paul did for Sun Secure Global Desktop / Access Manager integration.

Sets the principal name in the IdP to REMOTE_USER as determined by the web server or container's authentication, similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki

The user ID value is used by the agent to set the value of the REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)

The key step here (doco) in order to get it working is to modify the Tomcat server.xml to look like the following, this ensures that Apache forwards the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat

Here's a simple diagram. Let me know if I missed something.

Access Manager / OpenSSO Integration with Shibboleth IdP

Monday Mar 24, 2008

What is the Fedlet?

って, なぜに The Matrix 風味?

(Via: Daniel)

Wednesday Mar 12, 2008

SDC の IdM 連載 (10): OpenSSO ではじめる SAML 2.0

アイデンティティ管理の基礎と応用(10):OpenSSO の SAML 機能を試してみる (1/2)

実はまだ続いていた SDC 連載 「アイデンティティ管理の基礎と応用」, 再開一発目は OpenSSO による SAML 2.0 (によるフェデレーテッド SSO) の実習. 先日の OpenID Extension for OpenSSO のときと同様, 今回は設定手順までを紹介. 実行環境の構成が若干ややこしめだけど (ホスト名とポート名のあたりとか), 設定の内容自体は難しくないので, あわてずあせらずじっくりどうぞ. たぶん来月は各 OpenSSO インスタンスの前段に tcpmon をかませて, IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.

ちなみに花木さん

1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog

まとめている通り, OpenSSO V1 Build 3 には 「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると Federation モジュールが設定されない」 という, ちょっと恥ずかしいバグがある (これに気づくまで SAML2 サンプルを動かすことができず, かなりハマった...).

LANG=ja_JP.UTF-8 の場合
(うまく設定できてない)
LANG=C の場合
(期待どおりの設定ができてる)
There are only two, LDAP and DataStore.  Find attached screen shot. After over ten attempts of clean installation, I've finally got the OpenSSO to include Federation entry in module instance table. Find attached.

次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは

env LANG=C ~/glassfish/bin/asadmin start-domain

などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく. なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.

Friday Mar 07, 2008

Something Called the Fedlet

詳細は知らないけど, 近々 OpenSSO プロジェクトFedlet というものが登場するらしい. これは気になる...

Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?

来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します. この Fedlet は基本的には軽量版の SAML2 SDK であり, Post プロファイルに対応し (訳注: Artifact には対応しないってことかな), 既存のアプリケーションをフェデレーション対応にするためのものです. 加えて, コンソールから設定タスクが実行できます. この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む, 設定済みの zip ファイルを作成することができるようになります. 今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.

Subject: Ready made SP? - opensso: Mail reader

Friday Feb 22, 2008

OpenSSO V1 Build 3

I've just found that the bits showed up on opensso/stable directory. Release Notes also available.

OpenSSO V1 Build 3 Version Information

Thursday Feb 21, 2008

A tip for deploying the latest build of OpenSSO on GlassFish V2 UR1

For the record - you have to modify domain.xml as follows before configuring the latest nightly build, 20080219.1 of OpenSSO (aka Federated Access Manager 8.0) on GlassFish V2 UR1:

Edit domain.xml and change the
following options to
        <jvm-options>-server</jvm-options>

from
originally it was
       <jvm-options>-client</jvm-options>

Install of opensso on glassfish - opensso: Mail reader

Thanks Sujatha for the follow-up post on users at opensso.dev.java.net.

OpenSSO Build 20080219.1

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today