Wednesday Jul 23, 2008

SAML / Liberty から見た相互運用の可能性

先週金曜の 「第 3 回 Liberty Alliance 技術セミナー」, 開始直前にいきなりものすごい土砂降りになったにもかかわらず 110 人を越える方が参加されたとのことで, パネリストのひとりとして関わった自分としても, なんかうれしい. どうもありがとうございました.

当日ぼくが使ったスライドは以下. 基本的には Infocard Authentication Scenario DetailsOpenID Bootstrapping ID-WSF 2.0 の内容を整理しただけなんだけど, それぞれを読み解くときの参考になれば幸いです.

Tuesday Jul 08, 2008

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4.5

OpenSSO V1 Build 4 が出てからはや二ヶ月あまり, ようやっと次の安定ビルドがリリースされた. 「なぜに Build 5 じゃなくて Build 4.5?」 については, Pat 曰く 「いま作業してる Early Access (EA) 版を Build 5 として出す予定なんだけど, ちょっとした問題点を直すのにもう少しかかるので, ひとまずそれらの fix 前の版を Build 4 と Build 5 の間に作ったよー」 ということらしい.

リリースノートによれば, Build 4 以降に加わった新機能は以下の通り. 個人的には, アイデンティティ・サービスを人にすすめるときに 「Build 4.5 を使ってください」 と, ビルドを特定することができるようになったのがかなりうれしい. これまでは 「最新のナイトリー・ビルドを使ってください」 と言うしかなかったので...

4. What's New in OpenSSO Build 4.5 from OpenSS V1 Build 4

  • シンプルになった, GlassFish V2 / Application Server 9.1 用 Web Services Security エージェント (JSR 196 SPI ベースのプロバイダ)
  • Fedlet ワークフロー
  • ビルド済みの Fedlet
  • フェデレーション設定の検証機能
  • サービス・タグ
  • 新しい NameID フォーマットのサポート
  • コンソールの SAMLv2 ページの配置見直し
  • FAM への SecurID Java API の統合 (FAM のみ. OpenSSO では提供されない)
  • Agent および IDRepo のアップグレードのサポート
  • アイデンティティ・サービスの機能拡張を実装
  • Metro 1.3 EA の統合 (JSR 196 など)
  • すべての対応 Web コンテナ上で STS を提供
  • SAMLv2 アサーションのフェイルオーバ
  • オンライン・ヘルプの統合
  • SiteMinder の統合
  • Identity Manager の統合を検証

OpenSSO Early Access Release Notes

Friday Jul 04, 2008

7/18 (金): 第 3 回 Liberty Alliance 技術セミナー

再来週の金曜日に, リバティ・アライアンスが第 3 回の技術セミナーを開催する. 伊藤さんが SAML を語ったり, 崎村さんが OpenID を語ったりと, かなり興味をそそられるアジェンダなので, ぼくもふつうに聴講者として参加申込した... はずだったんだけど, 気づいたら, セッションのひとつにパネリストとして登壇することになりましたw

  • 「パネル:アイデンティティ管理標準の相互運用の可能性を探る (SAML/Liberty, OpenID, CardSpace)」 (仮題)
    パネリスト
    サン・マイクロシステムズ株式会社 工藤 達雄(くどう たつお)氏
    株式会社野村総合研究所 崎村 夏彦(さきむら なつひこ)氏
    マイクロソフト株式会社 田辺 茂也(たなべ しげや)氏
    モデレータ
    日本電信電話株式会社 高橋 健司(たかはし けんじ)氏

第 3 回 Liberty Alliance 技術セミナー

ということで, 当日ぼくは SAML/Liberty の帽子をかぶって, InfoCard + SAML2 および SAML2 + WS-Federation とか, OpenID Bootstrapping ID-WSF 2.0 とか, あとフェデレーション・ハブ的な話をふられそうな予感.

会場はけっこう人が入れるそうなので (150 人くらいとか), お時間のあるかたはどしどしどーぞ.

Monday Jun 23, 2008

第 2 回アイデンティティ・カンファレンス + 第 3 回アイデンティティ飲み会

昨日は表記の集まりに参加してきた. 幹事の水野さん, そして発表者のみなさん, どうもありがとうございました.

  • 基調講演 (=nat さん)
    XRI の基礎 (コンタクト・サービスに mailto: を使ったりもできるんすね) から W3C TAG のネガティブ・キャンペーンの話, ORMS, JAL の OpenID 採用事例, そして @freeXRI の提供するツールの紹介まで, まさにキーノートと呼ぶにふさわしい内容.
  • Apache2::AuthenOpenID (lopnor さん)
    .htaccess に呪文を書けば結構動く」 というのは, たしかに敷居を下げるという意味で有効だよなー, OpenSSO のアイデンティティ・サービスも, .htaccess に
    AuthType OpenSSO
    ...
    みたいに書くだけで使えるようにするといいのかなー, などと個人的にいろいろ刺激をうけた.
  • Attribute Exchange Sucks (ZIGOROu さん)
    SAML はこの手の間接通信では JS で POST してる」 の件, いま思い出したけど, IdP と SP が直接通信できないような場合 (たとえば企業内部にあるアクセス管理 / SSO システム (IdP) を使って Google Apps (SP) にログインする) に対応するというのが, 理由としてあったかもしれない.
  • ID-WSF (伊藤さん)
    実は最近あんま ID-WSF 関連はさわってなかったので, IdP が WSC (Web サービス・コンシューマ) に 「DS (ディスカバリ・サービス) にアクセスするときに提示するアサーション」 を発行したり, さらに DS が WSC に 「WSP (Web サービス・プロバイダ) にアクセスするときに提示するアサーション」 を発行したり, さらにそのアサーションが失効したら再度新しいアサーションを取得したり, といった, なんか基本的なことを自分がわかってないことがわかった... ちょっと OpenSSO でリハビリします.

そして飲み会は二次会まで楽しすぎた! ワインうまかった!

Identity Nomikai #3-2

Tuesday Jun 17, 2008

かくして 「複数フェデレーション・プロトコルの同時サポート」 は必須となる

Salesforce Summer '08 がリリースされたというので, SAML の設定がどうなってるのかみてみたんだけど, どうやら受け入れることのできる SAML のバージョンは 1.1 だけみたい (たぶん. それとも, どこかに別の設定項目がある!?).

最近の主流はやっぱりバージョン 2.0 だと思うんだけど, あえて obsolete になりつつある 1.1 を選択したのにはどういう理由があるんだろうか. もしかして先日書いたように

どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?
【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか - tkudo's weblog about identity management

で, しかもその提案先の使ってた SAML のバージョンが 1.1 だったというオチだったりして.

...妄想はさておき, これからアクセス管理 / SSO 基盤を構築するのなら, 特定のプロトコル (e.g. SAML, OpenID etc.) やバージョンに依存するのではなく, OpenSSO のように 「SAML 1.1 / SAML 2.0 / Liberty ID-FF / WS-Federation などの複数のフェデレーション・プロトコルの同時サポート (いわゆる『フェデレーション・ハブ』)」 の機能を備えたソフトウェアを選んだほうがいいと思う. 「うちのにんしょーきばん, Google Apps には SAML 2.0 で SSO できるんだけど, salesforce.com や WebEx は SAML 1.1 なので連携できないんだよね」 というのでは, ちょっと切ない...

Monday May 19, 2008

【解説】 OpenID のこれまでとこれから — 企業 IT でも活用できるか

【解説】OpenIDのこれまでとこれから——企業ITでも活用できるか : セキュリティ・マネジメント - Computerworld.jp

先月の Computerworld に寄稿した OpenID の記事が, Computerworld.jp のほうに今朝転載されたみたい.

ちなみに執筆後から最近にかけての 「OpenID in the Enterprise」 を模索する動きとしては, myOpenID for Domains (企業 OpenID プロバイダの外部委託サービス) とか, ClickTime (37signals のように, 企業ユーザの OpenID を受け入れる) とかがあった. あと国内でも 市販のSaaSサービスを組み合わせ、セットで提供 する際の サービス間をつなぐSSO機能「OpenIDにも対応していきたい」 という記事が出てたのも, ちょっと気になるところ.

そういや一方, salesforce.com がいよいよ SAML に対応するそうで. たしか昔は SAML に否定的なことを言ってたような気もするけど, なにがきっかけになったんだろうか. 勝手に推測すると, どこかの大型案件の RFP に 「SAML サービス・プロバイダとしての機能を有すること」 と書いてあった, とかかな!?

Tuesday May 13, 2008

5/30 (金): Sun IdM ソリューション + Adobe LiveCycle Rights Management ES のセミナー

今月末に弊社用賀本社にて開催される表記のセミナーで, ふたコマあるセッションのうちひとつを担当することになった. お題は

システム上の ID 情報と実際の人事情報、きちんとリンクしてますか?
- Sun アイデンティティ管理ソリューションによる確実なアクセス権限管理の実現 -

ということで, LiveCycle Rights Management ES にきちんとドキュメント・コントロール (ご参考) を行なわせるためには, その認証・認可のよりどころとなるユーザ情報 / グループ情報のライフサイクル管理もきちんとできてないとダメですよー, そのためには Sun の Identity ManagerRole Manager が役立ちますよー, というお話をさせていただく予定.

お申し込みは以下のイベント告知ページからどうぞ.

ところで余談だけど, Rights Management ES と Acrobat との間でのユーザ認証状態のやりとりって, SAML アサーションを使ってやってるみたい. なんか, 気づかないところで地味に普及してるんだなあ...

Rights Management ES で Acrobat ユーザーが認証されるときに、 サーバーから Acrobat に SAML 認証のアサーションが返されます。 Acrobat を使用してログインした後に、Web アプリケーションにアクセスするための SSO が SAML アサーションによって実現されます。 Acrobat で Web アプリケーションを開く場合、 ユーザーはアサーションで認証され、 ユーザー名とパスワードを入力するように求められません。
LiveCycleTM ES サービス, 54 ページ

Thursday Apr 24, 2008

OpenSSO の最新ビルドに Fedlet が入ってる

前に言及した Fedlet が, いよいよ最近の OpenSSO で使える状態になってる.

Create Fedlet in Common Tasks Page

試してみた感じでは,

  1. OpenSSO の Common Tasks から Create Hosted Identity Provider を実行し, Fedlet の親となるアイデンティティ・プロバイダ (IdP) を設定
  2. その流れで Create Fedlet を実行し, Fedlet の配備先となるサービス・プロバイダ (SP) の情報 (URL とか) を指定して, その SP 特有の設定情報が詰まった Fedlet.zip を生成
  3. 産みおとされた Fedlet.zip から fedlet.war を抽出し, SP 側のアプリケーション・サーバに配備
  4. IdP と SP との間での疎通テスト

という具合に, 簡単に SP 側の 「SAML の受け口」 を設定することができて, ちょっと感動. Fedlet 入り OpenSSO のダウンロードは以下からどうぞ.

Wednesday Apr 16, 2008

SDC の IdM 連載 (11): OpenSSO ではじめる SAML 2.0 (後編)

アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

ということで前回予告した通り, 今月の SDC 連載 「アイデンティティ管理の基礎と応用」 では, IdP / SP / ブラウザの間に流れる SAML なメッセージを読み解く悦びをお届けします.

前回設定した OpenSSO の 「SAML2 サンプル」 を使って、SAML 2.0 によるアイデンティティ・フェデレーションと、同じくフェデレーテッド・シングル・サインオン (SSO) の動作を確認してみます。
アイデンティティ管理の基礎と応用(11):OpenSSO の SAML 機能を試してみる (2/2)

書き上げてから言うのもなんだけど, 本稿では SAML の説明自体をかなりはしょってるので, 実際に OpenSSO の 「SAML2 サンプル」 をさわってみる際には, 以下を参考にしながら進めるといいと思う.

Tuesday Apr 01, 2008

Access Manager / OpenSSO Integration with Shibboleth IdP

I have very little knowledge on both Shibboleth specification and implementation however, It seems easy to integrate Sun Java System Access Manager / OpenSSO with it to centralize user authentication into single access management infrastructure and provide some other strong authentication methods such as client certificate, finger vein etc.

The integration point is REMOTE_USER variable between the Shibboleth IdP and Application Server with Policy Agent, just like what Paul did for Sun Secure Global Desktop / Access Manager integration.

Sets the principal name in the IdP to REMOTE_USER as determined by the web server or container's authentication, similar to Shibboleth 1.3.
IdPUserAuthn - Shibboleth 2 Documentation - Internet2 Wiki

The user ID value is used by the agent to set the value of the REMOTE_USER server variable.
Setting the REMOTE_USER Server Variable (Sun Java System Access Manager Policy Agent 2.2 Guide for Apache HTTP Server 2.2)

The key step here (doco) in order to get it working is to modify the Tomcat server.xml to look like the following, this ensures that Apache forwards the value of REMOTE_USER to the Tomcat engine: [...]
Sun Grenoble Engineering Identity/Desktop Event : I'll Get My Coat

Here's a simple diagram. Let me know if I missed something.

Access Manager / OpenSSO Integration with Shibboleth IdP

Monday Mar 24, 2008

What is the Fedlet?

って, なぜに The Matrix 風味?

(Via: Daniel)

Tuesday Mar 18, 2008

第 1 回アイデンティティ勉強会 + 第 2 回アイデンティティ飲み会

昨日、サイボウズ・ラボにてIdentity Conference #01を開催しました。
Identity Conference #01を開催しました - Yet Another Hackadelic

ということで, おととい (日曜日) 会社の近くで開催された Identity Conference #01 + 第 2 回アイデンティティ飲み会に行ってきた.

勉強会のほうでひとコマ 30 分ほど 「技術比較: OpenID と SAML」 の紹介をさせていただいたんだけど, なんかグダグダですみませんでした... ZIGOROu さん, きれいにまとめてくださってありがとうございます... そういや, ぼくが言った 「OpenID Provider と Relying Party の総当たりテスト」 って, OSIS のやつです. ご参考まで.

あと,

自分の保有する複数のディジタル・アイデンティティを束ねるという意味では CardSpace とか Clickpass とか, もっと単純に OpenID Authentication 2.0 の Directed Identity なんじゃないかなと思ったけど, Relying Party の特徴とか, いま現在のコンテクストをみて 「このような場ではこのようなアイデンティティが適切でしょう」 と教えてくれるアイデンティティ・プロバイダ (あえて OpenID Provider と限定しない) は, たしかにおもしろそう. 勝手に名づけるなら, Suggested Identity ってとこかな.

Wednesday Mar 12, 2008

SDC の IdM 連載 (10): OpenSSO ではじめる SAML 2.0

アイデンティティ管理の基礎と応用(10):OpenSSO の SAML 機能を試してみる (1/2)

実はまだ続いていた SDC 連載 「アイデンティティ管理の基礎と応用」, 再開一発目は OpenSSO による SAML 2.0 (によるフェデレーテッド SSO) の実習. 先日の OpenID Extension for OpenSSO のときと同様, 今回は設定手順までを紹介. 実行環境の構成が若干ややこしめだけど (ホスト名とポート名のあたりとか), 設定の内容自体は難しくないので, あわてずあせらずじっくりどうぞ. たぶん来月は各 OpenSSO インスタンスの前段に tcpmon をかませて, IdP / SP / ブラウザの間に流れる SAML なメッセージを眺めて愉しむ予定.

ちなみに花木さん

1916: Federation モジュールインスタンスがインスタンステーブルに表示されていない
これは、工藤さんに教えてもらった問題でして、アプリケーションサーバーを英語ロケール以外(たとえば、ja_JP.UTF-8 ロケール)で起動した状態で、OpenSSO を配備すると、コンソールにログインして、レルムを選択し、認証タブをクリックしたときに、デフォルトで表示されるインスタンステーブルに「Federation」モジュールが存在しないという問題です。また、新規認証モジュールを作成するときにも、作成可能なモジュールリストの中に「Federation」が存在しません。この問題は、アプリケーションサーバーを英語ロケール(C ロケール。en_US.UTF-8 がOKかどうかは未確認)で起動すると起こらない問題なので、国際化のバグです。
OpenSSO Build3 でテスト中・・・ - Hanaki's weblog

まとめている通り, OpenSSO V1 Build 3 には 「LANG を C 以外 (たとえば ja_JP.UTF-8 とか ) にして起動した GlassFish へ配備すると Federation モジュールが設定されない」 という, ちょっと恥ずかしいバグがある (これに気づくまで SAML2 サンプルを動かすことができず, かなりハマった...).

LANG=ja_JP.UTF-8 の場合
(うまく設定できてない)
LANG=C の場合
(期待どおりの設定ができてる)
There are only two, LDAP and DataStore.  Find attached screen shot. After over ten attempts of clean installation, I've finally got the OpenSSO to include Federation entry in module instance table. Find attached.

次回のビルド (Build 4) には直るはずだけど, とりあえずいまのところは

env LANG=C ~/glassfish/bin/asadmin start-domain

などのように, 環境変数 LANG を C にして GlassFish を起動することをお忘れなく. なお GlassFish そのものについては, 今号から始まった寺田さんの連載をどうぞ.

Friday Mar 07, 2008

Something Called the Fedlet

詳細は知らないけど, 近々 OpenSSO プロジェクトFedlet というものが登場するらしい. これは気になる...

Date: Thu, 06 Mar 2008 10:56:19 -0800
From: Jamie Nelson <Jamie.Nelson at Sun.COM>
To: dev at opensso.dev.java.net
Subject: Ready made SP?

来月中に, OpenSSO (プロジェクト) に Fedlet というものが登場します. この Fedlet は基本的には軽量版の SAML2 SDK であり, Post プロファイルに対応し (訳注: Artifact には対応しないってことかな), 既存のアプリケーションをフェデレーション対応にするためのものです. 加えて, コンソールから設定タスクが実行できます. この設定タスクによって, SDK とそれに伴う SP メタデータと鍵ストアをも含む, 設定済みの zip ファイルを作成することができるようになります. 今後数週間以内に行なわれるアナウンスや, デモ, タスクフローにご期待ください.

Subject: Ready made SP? - opensso: Mail reader

Thursday Jan 24, 2008

Relying Party に対してユーザを匿名化する OpenID Provider

あ, あと

そのために、SAMLでは各SP<=>IdPのペアごとに異なる中間の識別子を使っている。
SAMLについて自由勝手に紹介 - snippets from shinichitomita’s journal

で思い出したけど (なお 「使っている」 というよりは 「使うこともできる」 のほうが適切かと), OpenID 2.0 を採用した一部の IdP でも, このようなやりかたをしている / しようとしているみたい. 具体的には OpenID.eeYahoo!. それぞれとくに OpenID.ee では自身の管理しているアカウント名とは別の識別子を, RP (Relying Party) ごとにランダムに生成し払い出すらしい.

3. openid.ee/4e1243bd22c66e76c2ba9eddc1f91394e57f9f83 which is a "pseudo-anonymous" or "opaque" per-site identifier. - used for 'partial anonymity', something that consumers very often would like to use.
[OpenID] OpenID 2.0, PAPE and directed identities

Also note that even when you use Yahoo ID to sign in to a site that accepts openid, there is no personal information being shared. By default only an encrypted identifier (e.g. https://me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA) will be shared with the RP.
[OpenID] Opt out of Yahoo OpenID?

Yahoo! JAPAN がやろうとしている OpenID Provider の設定は知らないけど, もし Yahoo! と同じだとすると, Yahoo!IDは微妙にセンシティブだと思っていて、あまり公開したくない ような人からも受け入れてもらえそう.

加えて Yahoo! の場合には,

  1. Flickr の photos URL (例: www.flickr.com/photos/naveen)
  2. Yahoo! の URL (例: me.yahoo.com/naveen)
  3. RP ごとにランダムに自動生成される URL (例: 上記のような me.yahoo.com/a/D.GGRt8BtuO56ICRqYtp287qNA)

いずれかからユーザが選べるようになるそうだ. Yahoo! みたいなところは 「抱えているアイデンティティの量が突き抜けている」 というだけで IdP としてものすごく有利だろうなあ (逆に, その一点だけでも他の IdP と差別化できる) と以前考えたけど, それだけに満足せずいろいろなひねりが入ってそうで, ちょっと楽しみ.

1/28/'08 追記: Yahoo! JAPAN も OpenID 2.0 オンリーの模様.

※お客様の安全を考慮して、Yahoo! JAPANのOpenIDでは、OpenID2.0の仕様に対応したサイトにしかログインできません。
OpenIDとは? - Yahoo! JAPAN

4/14/'08 追記: ちょっと前に気づきつつ訂正しそびれてたけど, Yahoo! の 「encrypted identifier」 は結局 OpenID.ee のとは違って, 「RP ごと」 に払い出されるものではなかったんだった. つまり there is no correlation inhibition てこと. がっかり.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today