Wednesday Jul 23, 2008

SAML / Liberty から見た相互運用の可能性

先週金曜の 「第 3 回 Liberty Alliance 技術セミナー」, 開始直前にいきなりものすごい土砂降りになったにもかかわらず 110 人を越える方が参加されたとのことで, パネリストのひとりとして関わった自分としても, なんかうれしい. どうもありがとうございました.

当日ぼくが使ったスライドは以下. 基本的には Infocard Authentication Scenario DetailsOpenID Bootstrapping ID-WSF 2.0 の内容を整理しただけなんだけど, それぞれを読み解くときの参考になれば幸いです.

Monday Jun 23, 2008

第 2 回アイデンティティ・カンファレンス + 第 3 回アイデンティティ飲み会

昨日は表記の集まりに参加してきた. 幹事の水野さん, そして発表者のみなさん, どうもありがとうございました.

  • 基調講演 (=nat さん)
    XRI の基礎 (コンタクト・サービスに mailto: を使ったりもできるんすね) から W3C TAG のネガティブ・キャンペーンの話, ORMS, JAL の OpenID 採用事例, そして @freeXRI の提供するツールの紹介まで, まさにキーノートと呼ぶにふさわしい内容.
  • Apache2::AuthenOpenID (lopnor さん)
    .htaccess に呪文を書けば結構動く」 というのは, たしかに敷居を下げるという意味で有効だよなー, OpenSSO のアイデンティティ・サービスも, .htaccess に
    AuthType OpenSSO
    ...
    みたいに書くだけで使えるようにするといいのかなー, などと個人的にいろいろ刺激をうけた.
  • Attribute Exchange Sucks (ZIGOROu さん)
    SAML はこの手の間接通信では JS で POST してる」 の件, いま思い出したけど, IdP と SP が直接通信できないような場合 (たとえば企業内部にあるアクセス管理 / SSO システム (IdP) を使って Google Apps (SP) にログインする) に対応するというのが, 理由としてあったかもしれない.
  • ID-WSF (伊藤さん)
    実は最近あんま ID-WSF 関連はさわってなかったので, IdP が WSC (Web サービス・コンシューマ) に 「DS (ディスカバリ・サービス) にアクセスするときに提示するアサーション」 を発行したり, さらに DS が WSC に 「WSP (Web サービス・プロバイダ) にアクセスするときに提示するアサーション」 を発行したり, さらにそのアサーションが失効したら再度新しいアサーションを取得したり, といった, なんか基本的なことを自分がわかってないことがわかった... ちょっと OpenSSO でリハビリします.

そして飲み会は二次会まで楽しすぎた! ワインうまかった!

Identity Nomikai #3-2

Thursday Jun 21, 2007

SDC の IdM 連載 (6): アイデンティティ Web サービス

今月の SDC 連載 「アイデンティティ管理の基礎と応用」 は アイデンティティ Web サービス. IdM の基本的なところは, これでひととおりおさえた, かな...

相互に連携する Web サービスを、 最終的にサービスを受ける 「利用者」 を中心に置いて実行させるには、 すべての Web サービスが 「そのサービスをリクエストしている大元は誰か」 を認識することが必要です。 そのためには、 Web サービス間で 「ユーザのアイデンティティ」 を相互に流通させることが必要です。 これを実現するためのアーキテクチャが、 「アイデンティティ Web サービス」 です。
アイデンティティ管理の基礎と応用(6):アイデンティティ Web サービス:エンド・ツー・エンドのアイデンティティ連携

Saturday Apr 15, 2006

WS-\* (実写版)

P@ Log 経由. WS-\* のスター (アスタリスク) はコレのことだったなんて! 超ベタネタなんだけど LOL.

Tuesday Dec 06, 2005

Liberty ID-WSF ピープル・サービス

Common Social Layer
リバティ・アライアンスピープル・サービスの草稿をリリースした. Paul Madsen 氏曰く, A bit like a SOAP API into a FOAF repository.

People Service allows consumers and enterprise users to manage social applications such as bookmarks, blogging, calendars, photo sharing and instant messaging from a common layer within the ID-WSF 2.0 framework.
Liberty Alliance Releases People Service in Latest Version of Liberty Web Services

これはもう,

Federated Social Identity
連携ソーシャル・アイデンティティ

という言葉を出した段階でもう優勝決定だろう (どこでかはわからないけど).

ホワイトペーパーでは想定される適用例として以下のようなシナリオを挙げている (4 ページ目):

アリスは自分の写真を photos.example.com (というオンライン・ストア) に置いている. 彼女はカリブで過ごした休暇の写真をそのサイトにアップロードし, 「バケーションの写真」 という名前でアルバムを作成する.

アリスは以前友人のボブに, 彼がグランド・キャニオンに遊びに行ったときの写真を延々 3 時間も鑑賞させられたことがあったので, 今度は彼女がボブに同じことをやり返そうと考える.

アリスが自分の写真をボブと共有するためには, 二人がそれぞれ持っている次のようなニーズを満たすシステムが必要となるだろう:

  1. アリスは自分の持っているすべての写真をボブに公開したくはなくて, ただ 「バケーションの写真」 だけを見せたい
  2. ボブは photos.example.com のアカウントを持っていないし, またアカウントを作成したくもない (たとえ, 作成しない限りはアリスの撮りまくったピンぼけ夕焼け写真が見れないとしても)
  3. ボブのメール・アドレスをアリスは知っているけど, 彼女は彼がそのメール・アドレスを photos.example.com に公開してほしくないことを知っている, もしくは予想している
  4. アリスは自分のいろいろなオンライン上のリソースへのアクセス, たとえば自分のプレゼンス情報をボブに通知したり, 自分の連絡先を変更したときにそれをボブのコンタクト・ブックが自動的に同期したりといったかたちのアクセスを, 将来的にはボブに許可してもいいかなと考えている. そこで, 彼女はボブとの実際の 「つながり」 を記録しておき, 将来役立てたいと考える.

で, ここにピープル・サービス (PS) を当てはめるとこうなる (6 ページ目):

  1. アリスは photos.example.com にアクセスし, 友人に写真を公開するためのサービスを選択する.
  2. photos.example.com はアリスの PS がどこにあるかを (Liberty の定義する標準メカニズムにより) 発見し, それが特定されたのちに, アリスの友達リストに載っているメンバ一覧を問い合わせる.
  3. PS は photos.example.com がアリスの代理として問い合わせているのだということを確認した上で, photos.example.com にメンバ一覧を返却する (この一覧がアリスに対し提示される).
  4. メンバ一覧はアリスが過去にオンライン・コネクションを確立したことのある人々により構成されているので, これからコンタクトしようとするボブの情報はこのリストにはまだ入っていない. アリスは photos.example.com に 「ボブ」 をリストに追加するようリクエストする. photos.example.com はアリスの PS に対し, ボブを追加するためのリクエストを送信する.
  5. アリスの PS は (これからボブに送ることになる) 招待状に対しボブが返答するための URL を返却する.
  6. photos.example.com は, アリスが自分の写真を公開したいことをボブへ伝えるべく, 彼への招待状を作成する. この招待状はアリスが利用可能なかたち (例: コピー & ペースト可能な HTML ページ) になっていて, 彼女はこれをボブに直接渡すことが可能となる. アリスはこの招待メッセージをボブにメールする. もしくはアリスがボブのメール・アドレスを photos.example.com に入力することにより, このサイトが直接ボブに送信するということも可能である.
  7. ボブが招待メッセージの本文にある URL をクリックすると photos.example.com へアクセスすることになり, そこで招待内容の詳細を確認することができる. もしここで彼が同意し, 自分とアリスとのオンライン・コネクションを彼女が記録することに対し許可を与えると, 彼は 5. でアリスの PS が返却した URL にアクセスすることになる.
  8. アリスの PS はボブに, 他のアイデンティティ・プロバイダにて管理されている彼のアカウントとのリンクを確立したいかどうかを尋ねる. もしボブが同意した場合 (かつ必要な業務関係が存在していると仮定して), アリスの PS とボブのアイデンティティ・プロバイダはリンクを確立する (Liberty 用語でいうところの 「彼らはボブと連携する」).
  9. アリスの PS はここでようやくボブのアイデンティティ・プロバイダに, photos.example.com でボブを識別するための識別子を問い合わせる. ボブのアイデンティティ・プロバイダは識別子を生成し, これをアリスの PS からは判読できないように暗号化した上で, アリスの PS に返却する.
  10. アリスの PS はその暗号化されたボブの識別子を photos.example.com に送り, photos.example.com は復号化したのちにその識別子に対し適切な権限を与える.
  11. ふたたびボブが photos.example.com へアクセス (まず彼は自分のアイデンティティ・プロバイダへログインした上で) すると, photos.example.com が彼のことをアリスが権限を与えた誰かであると認識し, 彼は目的の写真を見ることができるようになる.

くわしくはホワイトペーパー仕様 ホワイトペーパー仕様 (5/19/2008: リンク切れを修正. ご指摘ありがとうございます)をどうぞ.

Tuesday May 31, 2005

MWS Network Identity Phase 2 Architecture

Open Mobile Alliance (OMA)Mobile Web Services Working Group での活動のひとつにネットワークアイデンティティ関連があって, そこで作成中の文書が以下に公開されている.

ここで挙げられている Liberty Phase 2 仕様のユース・ケース, その中でも 5.4 Flows にまとめられている内容は, 基本的にはモバイルの世界での ID-FF / ID-WSF 適用例だけど, 一般的な Web アプリケーション / Web サービスでのアイデンティティ連携アーキテクチャを考える上でも非常に参考になると思う. とくに 5.4.2 Interconnected Circles of Trust で示唆されているアイデンティティ・プロバイダ (IdP) 間での proxy authentication (IdP-SP ではなく IdP-IdP の認証連携) とか, 5.4.3 Shared Circle of Trust にあるような決済サービス利用時のユーザの同意確認要求 (インタラクション) とか, 個人的にはいろいろ興味深い.

はじめの章 (1. Scope) を簡単に訳してみた. ご参考まで.

本文書では, プライバシー保護を考慮したかたちでプリンシパルの属性を利用・共有する Web サービスを実現するための, 論理アーキテクチャおよびインタフェースについて記述します. OMA Web サービス・イネーブラー・リリース (OWSER) ではこの課題に対しフェーズをわけて取り組んでおり, これまでに [OWSER1.0] Web サービスのための基本インフラストラクチャ ([OWSER Core] 参照) の提供, さらに属性共有・交換基盤を実現する上で連携ネットワークアイデンティティに求められる要件 ([NI-RD] 参照) の策定を行なっています. 今フェーズでは [OWSER 1.0 NI] プライバシー保護を考慮したかたちでの属性利用・共有 (例: ユーザのロケーション, プレゼンスなど) に関する文書にてカバーされていない, 残りの要件について扱います.

プライバシー保護された属性共有・交換を実現するための本アーキテクチャは, リバティ・アライアンス・プロジェクト (LAP) アイデンティティ Web サービス・フレームワーク (ID-WSF) およびアイデンティティ連携フレームワーク (ID-FF) 仕様をベースにしており, [OWSER Core] にて定義されている基本 Web サービス・インフラストラクチャと互換性があります.

MWS Network Identity Phase 2 Architecture

Monday Apr 11, 2005

Products from the Sun-Microsoft Alliance

Greg PapadopoulosSun と Microsoft との相互運用性について書いている. アイデンティティを筆頭に, Web サービス, 管理機能について, 製品の発表がもうそろそろ (Real Soon Now) あるみたい.

So goes our relationship. Just look at the places where we are sitting at the table together, with some real architectural progress having been made in the areas of identity, web services and management. (As examples: WS-Addressing, WS-Management, WS-Eventing, WS-MetadataExchange)

And, we are now to the stage of publicly committing products around these agreements. Real Soon Now.
Greg Matter : Weblog

相互運用のおおよその概要はこないだの CEC のセッションで聞いてるんだけど, それがどのようなかたちで公表されて, どれくらいのインパクトを内外にもたらすのかは興味のあるところ.

Saturday Oct 30, 2004

Digital ID World Conference 2004 and Liberty ID-WSF conformance test

今週米国デンバーで開かれていた Digital ID World Conference 2004 にて, 各社が報道発表した内容の要約が以下に出てる.

Vendors Make News at Digital ID World Conference 2004

で, そのひとつに Liberty Alliance からの Identity Web Services Framework (ID-WSF) 1.0 適合試験に関する発表がある.

Twelve Companies Earn Liberty Alliance Interoperable Logo at First Event to Test Identity Web Services Conformance

具体的なベンダとして 12 社が挙がってる. でもこの文面からは, (``will be released at the end of March in 2005'' と書いている実直な会社も一部にあるけど,) それぞれのベンダが実際に ID-WSF 1.0 を実装した製品をすでに出荷しているかどうかは, ほとんど判別できないんだよなあ :p

  • Alcatel
  • Elios
  • IBM
  • NEC
  • Nokia
  • Novell
  • NTT
  • Oracle
  • Ping Identity
  • Sun Microsystems
  • Symlabs
  • Trustgenix

なお, Sun はすでに ID-WSF 対応の Sun Java System Access Manager を (日本では今夏に) 出荷開始している.

About

tkudo

Search

Archives
« April 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Today