[IDaaS] マイクロソフトの方向性に関する記事の紹介

EIC(European Identity Conference)以降のマイクロソフトのアイデンティティ戦略について良い記事があったのでざっと訳して転載します。


Surprise surprise. For the last few years it looked as if the battling business units and power struggles within Microsoft had all but rendered the company incapable of doing anything innovative or relevant. But clearly something has happened to change this lack of leadership and apparent stumbling in the dark. Microsoft is not only doing something innovative --- but profoundly innovative.


In a dual post by Microsoft's John Shewchuk and Kim Cameron, the announcement was made about what Kim Cameron alluded to at the KuppingerCole EIC in April -- Identity Management as a Service (IDMaaS). This is not trivial, and does not suck. It ROCKS.

マイクロソフトの John Shewchuk および Kim Cameron の2つの投稿の中で、Kim Cameron が4月の KuppingerCole EIC の中で言及した様に、Identity Management as a Service (IDMaaS) がアナウンスされた。これは些細なことでもつまらない物でもなく、すごいことである!

Why is Identity Management as a Service a Big Deal

何故、Identity Management as a Service は重大なのか

From a technical perspective, the place where innovation really makes a difference is the place where the rubber meets the road -- infrastructure. Infrastructure is not only fundamental -- as it provides the technical framework and underpinning to support big change -- but infrastructure is hard.


It's also hard to get funded and hard to sell both outside and inside of companies that make infrastructure.


This is because there is little possibility of showing a direct ROI in core infrastructure investment. It takes vision and guts to invest in infrastructure.


Nobody wants to buy identity infrastructure. In fact no one should have to pay for identity infrastructure. It should be ubiquitous, work, and be free to everyone and controlled by no one. Infrastructure at this level is as fundamental as air. You don’t think about it, you don’t buy it; you just breathe it in and out and get on with the details.


Metaphorically, when it comes to the maturity of identity infrastructure today -- we are all sucking on thin air from teeny tubes of infrastructure veneer connected to identity silos (Facebook Connect, Twitter, Federated Identity and so on.)

今日のアイデンティティ・インフラストラクチャーの成熟度合は例えて言鵜ならば、アイデンティティ・サイロ(Facebook Connect、Twitter、フェデレーテッド・アイデンティティなど)に接続されたインフラストラクチャーの薄板の小さなチューブから薄い空気を吸っているようなものである。

It's much like the other core suite of protocols of the Internet -- like TCP/IP. TCP/IP is free as far as a piece of software goes. No one ever pays for the transport anymore.

それは、インターネットのプロトコルの別のコア・スイートである TCP/IP に非常に似ている。TCP/IP はソフトウェアの部品である限り無料であり、誰も転送の対価を支払わない。

So should be the protocols and infrastructure for doing Identity Management.  With this announcement Microsoft is showing that it understands Identity Infrastructure is fundamental to everything in the hybrid world of social-mobile-cloud networking that we are stumbling towards.


Further, Microsoft is making it clear it understands that the current identity provider-centric world we live in now is broken and simply will not work for the future. Significant movement forward from this wretched state requires massive change -- which is what Microsoft is proposing.


From a political and business perspective, Kim Cameron's vision of a ubiquitous Identity Metasystem has somehow prevailed inside Microsoft and is starting to emerge. This is a big deal. Finally a company with lots of talent that has been wallowing from lack of leadership has stepped up and put a stake in the ground about Identity. Bravo!

政治的かつビジネスの観点からは Kim Cameron のユビキタス・アイデンティティ・メタシステムに関するビジョンはマイクロソフト内部で何とか普及してきており、明らかになってきている。これは重要な事項である。ついにリーダーシップの欠如に悶えていた多くの才能を持つ会社はステップを上りアイデンティティのグラウンドに杭を立てたのだ。万歳!

Everybody else of significance that could be doing something significant with identity infrastructure -- Google, Facebook, and Amazon for starters -- are trapped in their current business models of trafficking your identity for short term profit. For each of them, the little piece they hold captive of your identity is the product by which they are making money. This is both short sighted and unsustainable.


Microsoft's plan is much grander. Invest in the hard stuff, solve the really tough identity infrastructure problems across the board -- simple, private, and scalable. By taking this high road, Microsoft is betting it can take the leadership role by increasing the size of the pie for other SaaS services and apps that organizations and individuals want and are willing to pay for. Much more visionary that continuing to fight over whatever crumb you can get based on the current broken model.

マイクロソフトの計画はとても雄大である。投資を行い本当に困難なアイデンティティ・インフラストラクチャーの課題を横断的(シンプル、個別、スケーラブル)に解決する。この確実な道をとることによりマイクロソフトは、組織や個人が望み対価を支払いたいと思うような SaaS サービスやアプリケーションのパイのサイズを広げることでリーダーシップをとることに賭けている。現在の壊れたモデルの上で得られるかけらを巡って戦い続けるのに比べてはるかにビジョンがあると言うことが出来る。

If Microsoft is allowed to pull this off, it is a good thing.


Stop Gushing and Lay it Out for Me


To understand the significance of IDMaaS, it's useful to take a quick look at how identity management systems have evolved.


Figure 1 shows how identities started out being managed within the boundaries of a domain. Domain-based identity managed need hardly be mentioned here as it can't possibly meet any of the requirements for identity management in today's organizational environments. For its day, it worked and it was a good place to start.

図 1 はどのようにアイデンティティがドメイン境界の中で管理され始められたのかを示している。今日の組織環境の中でアイデンティティ管理に対する要求に対してどうしても適合しない場合があるため、ドメインに基づくアイデンティティにはほとんど言及する必要はありません。在りし日にそれは動作し、それは始めるには良い場所であった。

[図 1. ドメイン内のアイデンティティ]

Figure 2 illustrates the first generation of federated identity management systems. This is a powerful model and was a big step forward from the domain model. In this model there is a service provider that accepts claims from an identity provider. A person can then prove who they are to the identity provider and present claims to the service provider to assure proper access to services and resources. This model works when these a relatively small number of parties involved. But as soon as there a diverse number of parties, it quickly breaks down.


[図 2. アイデンティティ・フェデレーション・モデル]

Figure 3 shows the scenario with diverse people with diverse relationships with different IPs. When you add diverse and numerous types of devices -- cell phones, tablets, laptops and so on -- it even makes the case stronger as to why the current federated identity model is reaching its limits.

図 3 は異なるアイデンティティ・プロバイダとの種々の関係を持つ種々の人々の存在する場合のシナリオを示す。種々・多数のタイプのデバイス(携帯電話、タブレット、ラップトップなど)が存在する場合、何故現在のフェデレーテッド・アイデンティティ・モデルが限界に達しているかについてより理解することが出来る。

[図 3. 多様な人々とデバイス]

So if the Federated Identity model doesn't work, what will? Figure 4 shows one school of thought were a single IP can somehow grow big enough and inclusive enough, it can manage all of the identity claims of all entities. This architecture is both frightening and poorly thought out. People and organizations need to have the freedom of choice of how their identities are managed and not be locked into an identity management silo of a single provider.

フェデレーテッド・アイデンティティー・モデルが使えない場合はどうなるのだろうか?図 4 では単一のアイデンティティ・プロバイダが何とかして十分に大きく、十分に包括的になったとしたら、すべてのエンティティのすべてのアイデンティティ・クレームを管理することが出来る、という考え方を示している。このアーキテクチャは恐ろしく貧弱な案である。人々と組織は、彼らのアイデンティティがどのように管理されるかを選択する自由を持つ必要があり、単一のプロバイダのアイデンティティ管理サイロへロックされる必要はない。

[図 4. 全てのアイデンティティのプロバイダ]

Figure 5 is another -- simpler -- graphic showing how a single organization could have federated relationships with multiple constituents. Again, this approach works to a point, but as soon as you consider the impact of the identity explosion brought on by -- cloud computing, social computing, mobile computing, and the API economy -- this approach simply won't do the job.

図 5 は、単一の組織がどのように多数の構成要素とのフェデレーション関係を持つことができるか示す別の(より単純な)図である。このアプローチもあるポイントについてはうまく行くが、クラウド・コンピューティング、ソーシャル・コンピューティング、モバイル・コンピューティング、そして API エコノミーによってもたらされるアイデンティティの爆発的増大のことを考えるとこのアプローチは単純には動作しない。

[図 5. 多くの構成要素と連携する組織]

Figure 6 then, shows the simplified notion of the IDMaaS architecture. Any number of organizations, constituents or entities can generate and consume claims through the service in the cloud.

図 6 では IDMaaS アーキテクチャーの単純化された概念を示している。どんな数の組織や構成要素やエンティティであってもクラウド上のサービスを経由してクレームを生成し利用することが出来る。

[図 6. 様々な種類と数のエンティティ]

Of course Figure 6 doesn't very effectively illustrate what the three black dots really mean. With the identity explosion we are talking about, the number of entities that are inevitable are several orders of magnitude bigger than anything we have even thought about up to this point.

もちろん、図 6 は、黒い 3 つの点が実際に何を意味するか十分に示していない。アイデンティティの爆発的増加において、エンティティの数はこれまで考えてきたよりも数倍の規模となることは避けられない。

We are in new territory, it is very unclear what is going to happen as a result all of this.


The fact that Microsoft seems to be acknowledging this fact and is working with vision to address the matter is highly encouraging.


We are not seeing this kind of vision -- or anything close to it -- from any other major vendor to date.




The biggest problem I see here is Microsoft itself. It isn't like Microsoft has the reputation of always taking the high road to enhance technology to the benefit of all. To the contrary, Microsoft has the reputation of pretending to take the high road with an "embrace and extend-like" position while executing an exacting and calculating "embrace and execute" practice. Microsoft has become the arrogant elephant to dance with that IBM once was. Microsoft's past is going to be difficult to shed and it will be a significant effort to convince others that the elephant won't trample on everyone when it gets the chance.

ここでの最も大きな問題はマイクロソフト自体である。マイクロソフトは万人の利益のための技術を拡張するために常に確実な道を通る、という評判を得ているようには見えない。反対にマイクロソフトは、「包含して実行する」ということを実行し強要し計算しつつ「包含して拡張しているようにして」確実な道を通るふりをするという評判を得ている。マイクロソフトは IBM が一度はそうであったように傲慢な踊る象になった。マイクロソフトの過去は拭い去ることは困難となってきており、その像が機会があっても他者を踏みつけないということを確信さえるための努力は多大なものとなるであろう。

[図 7. 新しいマイクロソフト?]

So the tough questions are:
  • Can Microsoft really execute on such a brave direction?
  • Will Microsoft follow up on allowing true "Freedom of Choice" for the customer? (Think interoperability. i.e. IDMaaS from any vendor, not just MSFT)
  • Will the RESTful implementation be usable?
  • Can the technology transcend the limitations of Kerberos and LDAP as it moves Active Directory to the cloud?


  • マイクロソフトは本当にそのような勇敢な方向性に進むことが出来るのか?
  • マイクロソフトは顧客の「選択の自由」を許可するのか?(相互運用性。つまりマイクロソフトだけでなく任意のベンダの IDMaaS)
  • RESTful インプリメンテーションは利用可能なのか?
  • クラウド上の Active Directory へ移行するときに Kerberos や LDAP の制限を超えられるのか?



My explanation is a simplified one, but if you study it a bit, you will start to see where Microsoft is going.


In short, the vision of an Identity Metasystem based on Identity Management as a Service is brilliant thinking.

要約すると Identity Management as a Service に基づくアイデンティティ・メタシステムのビジョンは見事な考え方である。

The proof will be found in how Microsoft executes.


There is a lot to work out here to show if this can really work. But I believe it can happen. Microsoft is in a good position to garner the expertise to give us this first implementation so organizations and people can start to vet the idea and see if this can really fly.


I will be anxious to watch carefully at the progress of this direction.



私も著者と同様に最近 Windows Azure Active Directory に関するアナウンスや、しばらく沈黙を守っていた Kim Cameron が活発に blog を更新していたりするのを見ると色々と期待をしてしまいます。


0 件のコメント: