2012年10月31日水曜日

[告知]オラクルセキュリティフォーラムで登壇します

今回はちょっとお仕事の話を。

この blog では流れ上 Forefront Identity Manager ( FIM ) の話をすることが多いのですが、お仕事では FIM に限らず色々なお客様で色々なベンダのソリューションを扱っていたりします。
また、ロールとしては製品やプロトコルなどの技術はあくまで手段なので、プロジェクト管理やアーキテクチャの検討などが実は仕事の中心だったりします。

その意味で、日本ネットワークセキュリティ協会(JNSA)のアイデンティティ管理WGでやっているようなID管理プロジェクトの進め方のベストプラクティスなんていうのが実際のプロジェクトの中でやっていることの実態です。具体的な進め方やノウハウは以下の本の中で紹介しているので、よろしければどうぞ。

 - クラウド環境におけるアイデンティティ管理ガイドブック


と、少し話がそれましたが、11月26日に大阪、28日に東京で開催されるセミナで私が実際に担当したプロジェクトの事例を紹介することになりました。(東京開催分のサイトはまだ完成していない様なので、できたらまた紹介します)
東京分は諸事情で先送りになりました。年が明けたらやる可能性がありますので、その時はまた告知すると思います。

 - オラクルセキュリティフォーラム in 大阪
  http://www.sbbit.jp/eventinfo/14998?ref=rss
  http://www.oracle.com/goto/jpm121126
  
GSユアサのID管理・シングルサインオン導入事例 

株式会社GSユアサ
情報システム部 活用推進グループ
グループマネージャー
小川 敏宏 氏

伊藤忠テクノソリューションズ株式会社
西日本システム技術部 システム技術第2課
課長
富士榮 尚寛 氏
講演内容 : 導入の背景やOracle Identity Management 製品を使用した実際のシステム化による効果を様々な視点から紹介し、本システムを利用した今後の展開を紹介します。 また、今回導入したシステムの概要や、ID管理・シングルサインオン プロジェクトを円滑に進めていくためのポイントをご紹介します。


プロジェクトでは Oracle Identity Manager 及び Oracle Enterprise Single Sign On を使っているのですが、セミナで話をするのは主にID管理プロジェクトの円滑な遂行方法のノウハウ、という話になると思います。

エンタープライズID管理を検討している企業情報システム部門の方やSIerの方向けですが、お近くの方は宜しければどうぞ。




2012年10月17日水曜日

[FIM2010]Google Apps MA 1.1.0 をリリースしました

先日リリースした ECMA2.0 用の Google Apps MA をバージョンアップしました。

ダウンロードURL:
 http://fim2010gapps.codeplex.com/


改修内容は以下の通りです。

  • PCNSを使ったパスワード同期をサポート
  • プロキシサーバ配下の環境での動作をサポート
  • プロキシ認証をサポート
  • 属性の更新が値によって失敗するバグを修正


是非使っていただきフィードバックを!

2012年10月15日月曜日

[FIM2010] XMA/ECMA1.0 から ECMA2.0 へ


MIIS や ILM、無印 FIM 2010 時代からのユーザにとっては対応の検討が必要となる情報です。

これまで独自に管理エージェント(MA)を作成する場合に利用されてきたXMA(Extensible Management Agent)/ECMA1.0(Extensible Connectibity Management Agent 1.0)が今後は使われなくなり、最新のフレームワークである ECMA2.0 のみが使われていくことになりました。

With the release of ECMA 2.0, this feature has been depricated and will be removed in future versions. You should use the Extensible Connectivity 2.0 Management Agent Reference for Connector development going forward.
- http://msdn.microsoft.com/en-us/library/ms698807(v=vs.100).aspx

製品から機能が実際に削除されたりサポートが終了するのは少し先になるとは思われますが、以前のフレームワークで開発をしたモジュールを今のうちに ECMA2.0 に対応させていく計画の立案、および可能な限り早い段階での着手をしておく必要がありそうです。

ちなみに私の作成している FIM 用 GoogleApps 管理エージェントは以前の ECMA1.0 版から ECMA 2.0 版へ作り変えが完了しています。
一緒にソースコードも公開しているので、これから ECMA2.0 を使う人は参考にしてみてください。

 FIM 2010 GoogleApps MA
 - http://fim2010gapps.codeplex.com/

尚、現在バグフィックスおよび機能追加(プロキシ環境での動作、PCNSでのパスワード同期)をしている最中なので、もうすぐ更新版をリリースできると思いますので、ぜひ使ってみてください。

2012年10月14日日曜日

OAuth 2.0 が RFC に!!


最後は draft 31 までになり、出る出る詐欺とか言われ続けてきた OAuth 2.0 ですが、Core と Bearer がようやく RFC になりました。

 RFC 6749 - The OAuth 2.0 Authorization Framework
 - http://tools.ietf.org/html/rfc6749

 RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
 - http://tools.ietf.org/html/rfc6750


振り返ると OpenID Foundation Japan で翻訳した約1年前にはまだ draft 22 でしたから1年でかなりリビジョンアップされてきたことになります。

 参考)OpenID Foundation Japan 翻訳・教育 Working Group での翻訳
  OAuth 2.0 core draft 22
  - http://openid-foundation-japan.github.com/draft-ietf-oauth-v2-draft22.ja.html
  OAuth 2.0 Bearer Token
  - http://openid-foundation-japan.github.com/draft-ietf-oauth-v2-bearer-draft11.ja.html


また、途中で Eran Hammer が仕様策定から外れたり、

 OAuth 2.0 and the Road to Hell
 - http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/

OAuth 3.0 なんていうことを言い始める人が出てきたり、

 OAuth 3.0: The Sane and Simple Way To Do It
 - http://tav.espians.com/oauth-3.0-the-sane-and-simple-way-to-do-it.html

今はOpenIDなどセキュリティを外付けにすることが多いが、これは危ない。特にツイッターやFacebookは外部アプリが多いので、変なのがまぎれこんでもわからない。セキュリティだけは内部でやってほしい。」なんて言い始める人が出てきたり(違)と、、、紆余曲折がありましたがようやくの RFC 化、ということで各サービスもようやく重い腰を上げる時が来たかな?と思います。

Windows Azure Active Directory も、、、WRAP 0.9 とか draft-13 を使ってる場合じゃないですね。早くちゃんと対応をしてもらえると。。
まぁ、WAAD 自体は JWT なのでまだこれからなところもありますが、 Mike Jones も書いているように今回の RFC 化が関連仕様を加速すると思われるので、ちゃんとしたものになるのもそれほど遠い先ではないのかもしれません。