2009年9月1日火曜日

7 Laws of Identity

久しぶりの投稿になってしまいました。

マイクロソフトのアイデンティティ管理に関する基盤となる考え方であるアイデンティティの原則(The Laws of Identity)のポスターが同社のアイデンティティ&アクセスアーキテクトのKim Cameron氏のblogで紹介されています。
改めて見てみると初出が2005年であるにも関わらず錆ついていない内容になっています。(「原則」なのでそんなに簡単に変わってしまうと困りますが)

7 Laws of Identity
http://www.identityblog.com/?p=1065
















Genevaの実装が見えてきて、ようやく同社のアイデンティティ&アクセスのVisionであったIdentity Metasystem構想が現実のものになってきた、ということもあり今改めて基盤となっているこの原則を掲載しなおしたのだと思います。

構成要素現状実装次期実装
"InfoCard" identity selectorCardSpaceWindows Cardspace
("Geneva" Cardspace)
"InfoCard" simple self-issued identity provider
Active Directory identity providerADFSActive Directory Federation Services
("Geneva" Server)
"Indigo"WCFWindows Identity Foundation
("Geneva" Framework)



Identity Metasystemとは簡単に言うと、IdPが発行するセキュリティトークンの種類、RPとの間の受け渡し方法などの技術的な要素をユーザやディベロッパーが意識しなくても利用/開発ができるようにするための考え方(アーキテクチャ)です。
たとえば、IdP(STS)が発行するトークンの種類がSAMLトークンであろうがNTトークンであろうがアプリケーション側は意識をすることなく同じIClaimsIdentityクラスでトークンに含まれるクレーム(属性情報)にアクセスすることができます。

このあたりはカンターラ(Liberty Alliance)がやっている相互運用性の取り組みにもつながる話です。
















ちなみに初出はこれです。↓(2006年1月8日/PDFは2005年5月13日)

The Laws of Identity
(http://www.identityblog.com/?p=352)


以下、概要です。

1. User Control and Consent
Technical identity systems must only reveal information identifying a user with the user’s consent.

ユーザーによる制御と同意
個々のアイデンティティ システムでは、ユーザーの同意がなければ、ユーザーの識別情報を開示することはできない。

2. Minimal Disclosure for a Constrained Use
The solution that discloses the least amount of identifying information and best limits its use is the most stable long-term solution.

制限付きアクセスでの最小限の開示
最も安定し、長期にわたって使用できるソリューションとは、開示するアイデンティティ情報を最小限にし、情報へのアクセスを適切に制限するソリューションである。

3. Justifiable Parties
Digital identity systems must be designed so the disclosure of identifying information is limited to parties having a necessary and justifiable place in a given identity relationship.

正当と認められる当事者
デジタル アイデンティティ システムは、特定の状況において識別情報を必要とし、かつ入手できる正当な権利を持つ当事者のみに対して識別情報を開示するように設計されなければならない。

4. Directed Identity
A universal identity system must support both “omni-directional” identifiers for use by public entities and “unidirectional” identifiers for use by private entities, thus facilitating discovery while preventing unnecessary release of correlation handles.

方向付けられた アイデンティティ
普遍的なアイデンティティ システムは、公共のエンティティが使用する“全方位的”な識別子と、プライベートなエンティティが使用する“特定の方向性”を持った識別子の両方をサポートしなければならない。このようにして、公共性を維持しながら、不要な相互関係までサポートすることを回避すべきである。

5. Pluralism of Operators and Technologies
A universal identity system must channel and enable the inter-working of multiple identity technologies run by multiple identity providers.

複数の運用者/テクノロジの共存
普遍的なアイデンティティ システムは、複数のアイデンティティ プロバイダーによって実行される複数のアイデンティティ テクノロジの相互作用を橋渡しし、有効にしなければならない。

6. Human Integration
The universal identity metasystem must define the human user to be a component of the distributed system integrated through unambiguous human-machine communication mechanisms offering protection against identity attacks.

ユーザーの統合
普遍的なアイデンティティ メタ システムは、利用者たるユーザーを分散システムの 1 つのコンポーネントとして定義しなければならない。ユーザー - マシン間の明確なコミュニケーション メカニズムを策定してユーザーを分散システムに統合し、アイデンティティを保護しなければならない。

7. Consistent Experience Across Contexts
The unifying identity metasystem must guarantee its users a simple, consistent experience while enabling separation of contexts through multiple operators and technologies.

特定のコンテキストに依存しない一貫したエクスペリエンス
アイデンティティの統一的なメタ システムは、運用者やテクノロジごとにコンテキストを分離することを可能にしつつも、シンプルで一貫したエクスペリエンスを確保できるものでなければならない。

0 件のコメント:

コメントを投稿