AD FS2.0やWIF ExtensionのSAMLプロトコルへの対応度合

ちょっと真面目にAD FS2.0やWIF Extension for SAML2.0がSAML2.0プロトコルにどこまで対応しているのか？を検証してみようと思います。
今回は手始めにSAML2.0プロトコルのおさらいです。

参考資料
・Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0
　http://docs.oasis-open.org/security/saml/v2.0/saml-conformance-2.0-os.pdf
・SAML 2.0 アイデンティティ連携技術
　http://wiki.projectliberty.org/images/9/94/080215_JapanSIG_Technical_Seminar.pdf


■SAML2.0の構成
まずはSAMLの構成要素を簡単に紹介します。

構成要素	概要
アサーション	IdPが発行するトークンでありユーザ情報が記載されたもの
プロトコル	アサーションを要求する方法
バインディング	プロトコルを通信に乗せる方法（HTTPやSOAP）
プロファイル	プロトコルとバインディングとアサーションを組み合わせる方法
メタデータ	プロトコルやサービスエンドポイントが記載されたもの

この中でSAML2.0に対応したコンポーネントが実際に何ができるか、を決めるのがどのプロファイルに対応しているか？となります。
抜粋すると以下の様なものが規定されています。
・Web SSO
・Enhanced Client/Proxy SSO
・Identity Provider Discovery
・Single Logout
・Name Identifier Management
・Artifact Resolution

また、SAML2.0に対応した各コンポーネントの動作を規定するオペレーショナルモードというものも定義されています。
同じく抜粋すると以下の様なものが規定されています。
・IdP - Identity Provider
・IdP Lite - Identity Provider Lite
・SP - Service Provider
・SP Lite - Service Provider Lite
・ECP - Enhanced Client/Proxy


■SAML2.0プロファイルとオペレーショナルモード
先のプロファイルとオペレーショナルモードの対応をまとめてみます。
この表を見ることでAD FS2.0やWIF Extensionは何ができるのか？がわかります。

プロファイル	内容	プロトコル（メッセージ）	バインディング	IdP	IdP Lite	SP	SP Lite	ECP
Web SSO	ブラウザを利用してシングルサインオンを実現するプロファイル	AuthNRequest	HTTP Redirect	○	○	○	○	－
		Response	HTTP POST	○	○	○	○	－
			HTTP Artifact	○	○	○	○	－
Enhanced Client/Proxy SSO	携帯端末等、Cookieを利用できない端末でシングルサインオンを実現するプロファイル	ECP to SP,SP to ECP to IdP,IdP to ECP to SP,SP to ECP	PAOS	○	○	○	○	○
Identity Provider Discovery	SPがAuthNRequestを送付するIdPを決定するためのプロファイル	Cookie setter/getter	HTTP	○	○	△	△	－
Single Logout	Single Logoutプロトコルを実現するプロファイル	LogoutRequest,LogoutResponse	HTTP Redirect	○	○	○	○	－
			SOAP	○	△	○	△	－
Name Identifier Management	NameIDを変更するためのプロファイル	ManageNameIDRequest,ManageNameIDResponse	HTTP Redirect	○	×	○	×	－
			SOAP	○	×	△	×	－
Artifact Resolution	SI/IdP間でのArtifactを用いてアサーションを安全にやり取りするためのプロファイル	ArtifactResolve,ArtifactResponse	SOAP	○	○	○	○	－

AD FS2.0やWIF ExtensionはオペレーショナルモードとしてIdP Lite、SP Liteをサポートしていますので、基本的には
・Web SSO
・Enhanced Client/Proxy SSO
・Identity Provider Discovery
・Single Logout
・Artifact Resolution
のプロファイルに対応しているはずです。

逆に言うとName Identifier Managementプロファイルには対応していないので、一旦IdPとSPで紐付けてしまったName Identifierを変更することはできない、という話になります。

次回（いつになるかは未定）はSAML2.0の仮名の機能を試してみようと思います。MSDNフォーラムを見ていると若干AD FS2.0のマッピングルールを作るところで工夫が必要な様なので。

Kantara Initiative Seminar 2011 に参加しました

先日お知らせした通り、本日 Kantara Initiative Seminar 2011 が開催されました。

私は Microsoft のアイデンティティ関連技術のオーバービューを話させていただきました。

スライド

Microsoft Identity Technology / Kantara Initiative Seminar 2011

View more presentations from Naohiro Fujie

他の方の資料も合わせてイベントサイトに既にアップロードされているので見逃した方はダウンロードしてみてください。

また、@hirokiさんが Togetter で一連のつぶやきをまとめてくれたので、現場の雰囲気は以下より参照できるかと思います。
http://togetter.com/li/143786


今回のセミナでは標準仕様に関するコアな技術の話から、実際の事例の話まで非常に幅広いテーマで話が聞けたため、とても役に立つものでした。
次回にも期待していきたいと思いますので、まだ参加したことのない方は是非とも参加してみてください。

カンターラ・イニシアティブ技術セミナー2010に参加してきました（12/19更新）

【12/19更新：資料が公開されました】

12/14にカンターラ・イニシアティブ技術セミナー2010が新宿であったので参加してきました。

今回は

・SAML標準技術を活用した学術認証連携基盤の構築

　国立情報学研究所 学術ネットワーク研究開発センター 教授 中村 素典さん

・バックオフィス連携実験におけるID連携技術の適用

　株式会社NTTデータ リージョナルビジネス事業本部 永田 敏之さん

の2本立てでした。

話の流れはいずれ資料が公開されると思いますし、それまでは@hirokiさんがtogetterしてくれたのでそちらを見ていただければある程度流れはわかると思いますが、ざっくりおさらいをしておきます。

メインテーマに入る前にJapan Workgroupの坂本さんから最近のKantara Initiativeの活動を紹介してくださいました。これまで各WGの活動と他のWGとの関連性をまとめた資料は見たことがなかったのでとても貴重な話でした。

前回のシンポジウムのメインテーマだったことからもわかりますが、最近Kantara Initiativeが一番注力しているのがIAF(Identity Assurance Framework)で、IAF WG以外のいくつかのWGの活動もIAFに絡んでいる、という話もありました。

資料はこちら：http://kantarainitiative.org/confluence/download/attachments/45057108/KantaraJapanWGseminar20101214.pdf

次にメインの1本目、NIIの中村教授のShibbolethの話ですが、これはUSTで見ていた人にはわからないと思いますが、「学認ベスト(笑)」をまず最初に披露していました。（どこに売っているんだろう？？）※学認（GakuNin）＝学術認証ネットワーク

普段は基本的にエンタープライズを相手にお仕事をしているのでShibbolethは全くの門外漢なのですが、非常に基本的なところからShibbolethを解説していただき非常に役に立ちました。

基本的な考え方はSAML対応のWebSSOとDS（Discovery Service）がセットになった仕組みなので、他のWeb SSOとあんまり変わりませんが特徴としては以下の様な所であると感じました。

・スキーマ（eduPersonなど）が標準化されておりSPでの認可が共通化されている

　この辺りは共通基盤の強みです。

・DSとセットになっている

　複数IdP（各大学）と連携することを前提に作られているのでIdPを選択させる仕組みが必要になります。

・Federation Metadataを学認が取りまとめている

　通常はIdPとSPの間の信頼とFederation情報のやり取りは個別にやりますが、ここも共通基盤の強みですが、学術認証ネットワークに参加しているIdP（大学）と対応するSP（アプリケーション）の情報を一元管理しています。

・UPKIとの連携

　基本モデルはSPとIdPの間の信頼関係にある点は当然他のSAMLの仕組みと何ら変わらないので証明書のやり取りが発生しますが、事前に学認に参加する大学を審査しておくことにより使用するサーバ証明書の発行を簡素化する、という仕組みも構築されているそうです。

次にバックオフィス連携の実証実験の話ですが、これは電子行政（住民票の電子申請とか）を推進するために裏側（バックオフィス）で各自治体などとセキュアに情報をやり取りするための取り組みに関する話でした。

今後このバックオフィス連携の仕組みが自治体や各省庁の間の情報連携を行うための情報ハブ・プラットフォームとなるということでした。

現段階では実証実験ですが、SAML2.0 / ID-WSF2.0を採用しフェデレーションやプライバシー情報の連携を行っており、かつそれらの要素技術を何故選択したのか？などについても解説があったので非常に参考になりました。

また、行政関連ということで特徴的だったのが例えば障害等級の情報など非常にセンシティブな情報を扱うことが前提となる仕組みなのでID-WSFなど本人の同意の元で最低限の情報を連携する仕組みが必要になってくるということでした。他にも自治体職員が本人の代わりに過去に本人が在住していた自治体から情報を取得する時にいかにプライバシーを保護するのか？というテーマでのユースケースが紹介されたりと興味深い点が数多くありました。

とりあえずメインセッションの資料の公開を期待して待っておきましょう。

すみません、字ばっかりで。

IDaaSに関して考えてみる

たまには製品の実装の話以外も、ということでIDaaS（Identity as a Service）について考えてみます。

クラウドの潮流の中でXaaSというキーワードで「何でもサービス化」というのが流行って？いますが、アイデンティティをサービス提供する形態として「IDaaS」というのもしばしば耳にする様になってきました。

■IDaaSとは何か？

IDaaSとは平たく言うとアイデンティティプロバイダ機能のクラウドサービスなので、
・セキュリティトークンサービス（STS）
　認証機能
　セキュリティトークンの発行、変換機能
・アイデンティティストア
　アイデンティティ情報の保持
　ライフサイクル管理機能（セルフサービスポータル等）
といった機能が提供されることになります。

また、場合によっては他のクラウドサービスへのプロビジョニングを行ったりすることもあり得ると考えられます。

■IDaaSのメリット
IDaaSのメリットとして主に以下の事項が挙げられます。
サービスプロバイダにとって
・認証機能やアイデンティティ管理機を自前で開発しなくてよい
・アイデンティティ情報などのセンシティブな情報を自前で保持しなくてよい

利用者／利用企業にとって
・（サービスが対応していれば）複数のサービスで横断的に利用できる認証基盤となり、シングルサインオンが出来る
・複数のサービスと個別に信頼関係を結ぶ必要がなくなる（フェデレーション・ゲートウェイとしての利用）
・STSのトークン変換機能を使うことで自前（オンプレミス）のIdPを使うことができる（クラウド上にアイデンティティ情報をおく必要が必ずしもなくなる）

もちろん使い方や利用するサービスによってすべてのメリットを享受できるわけではありませんが、特にフェデレーション・ゲートウェイとしての機能はクラウド・オンプレミスのアイデンティティ連携を行う上では非常に有用な機能となりえると思われます。

■現在のプレイヤー
現在のプレイヤーとしては、GoogleやYahoo!、Windows LiveIDなどOpenIDプロバイダとしてサービスを提供しているものや、FacebookやTwitterなどOAuth対応という形で一部の認証や認可の機能をサービスプロバイダに提供しているものなどが挙げられます。
ただ、先述のクラウド・オンプレミス連携を行う上で重要となるフェデレーション・ゲートウェイ機能を提供しているサービスはまだ少なく、PingIdentityや対応するサービスが限定的ですがマイクロソフト（Microsoft Federation Gateway）くらいがメジャーどころだと思います。

■IDaaSを立ち上げるには？
これはIDaaSに限りませんがGoogleやAmazonの様に自前でサービスを提供するためにシステムを開発するプロバイダやマイクロソフトの様に元々製品を持っていたものをベースにサービスを提供するプロバイダと違って、OSS以外の既製品を組み合わせてサービス化していくのは採算的に中々厳しいと思われます。
（AmazonやGoogleの実装を元としてEucalyptusやHadoopが出てきていますが、あくまでリファレンス実装ですし、AmazonやGoogle自身が販売してるモノではありません。仮に彼らが自身のサービスに使っているツールを製品として販売したら相当な価格になるんじゃないかと思います）

例えばIDaaSを立ち上げるのに、市販のシングルサインオン系の製品を使ってしまうと、それらの殆どはユーザ数でライセンス課金なので、1ユーザあたり数千円～数万円の値付けをしないと採算が合わないでしょうが、ユーザが単なる認証機能にそれだけの金額を払うことはないでしょう。（Novell製品で米VerizonなどはIDaaSをやっているといいますから、それなりにベンダの値引きがあるんでしょうが・・・）

となると、自前でIdPを実装するかWSO2やOpenSSO/OpenAMなどのOSSをベースとして独自のサービスを実装するという覚悟が必要になるのかも知れません。

また、価格面以外にも認証や認可などセキュリティの根幹を担う機能を外部に委託する事になるので、ユーザからも提携するサービスプロバイダからも信頼される必要があります。ユーザに対してはOpenID CXやID-WSFの様に利用者自身の責任において属性の公開範囲等をコントロールする様な仕組みもありますし、この辺りになるともっと公的な機関との連携が必要になると思いますがKantara/LibertyのIdentity Assurance Framework(IAF)やGSA(米国調達庁)とICAMの例の様に第3者による認定制度の様な仕組みも必要になってくるでしょう。

IAFの認定アセスメントのイメージ

GSA/ICAM/OIXによる認定のイメージ


このように色々とハードルが高い世界ではありますが、出来れば日本でもPingIdentityの様にIDaaSプロバイダが出てくると面白いと思っています。

日本クラウドセキュリティアライアンス キックオフシンポジウムに参加してきました

といっても途中までしか聴けなかったのですが、以前紹介したCSA（Cloud Security Alliance）の日本支部のキックオフシンポジウムが開催されたので行ってきました。（大盛況でした）

国内においてもクラウドサービスプロバイダが増えてくるに当たり、CSAのガイダンスを適用・実装するための指針を出したり、国内市場特有のニーズに対応したり、ということを目的として今後活動していくということなのでクラウドサービスを提供するプロバイダも利用する企業やユーザにとっても目の離せない存在になるのではないでしょうか？

ちなみにそもそもこのCSAをはじめとするクラウドコンピューティングにおけるセキュリティのガイドラインは、良く「クラウド」の定義で引き合いに出されるNIST（アメリカ国立標準技術研究所）がクラウドの効果的で安全に利用についてレポートを出していたものの、実際にクラウドサービスを調達する際のセキュリティ上の要求事項が具体的にまとまらなかった、というところから整備が進んで来たものだったようです。

日本においては特に契約条項や品質に対する要求レベル、情報の取り扱いに関連する法規も当然米国とは異なりますので、このような団体によって地域にあったガイドライン化が進むと良いのでは、と思います。


アイデンティティ管理に関しては今日はISACAの顔をした下道さんが「クラウドコンピューティングとeID」というテーマで講演をしてくださいました。
印象に残ったのは、改めて「ID=アイデンティティ」ということを強調していた点です。これは何年も前からアイデンティティ管理界隈では話がされてきていることですが、今でもID=Identifier（識別子）という認識が根強いということでした。

本シンポジウムの内容から少し横道にそれますが、、、

「アイデンティティ」とは個人を特徴づけるものであり、単なる識別番号やメールアドレスなどといったものだけではなく、趣味や身体的特徴や宗教などといったその人を特徴づける属性情報を含んでいます。
そのような意味でアイデンティティとは個人の尊厳そのものとも言うことが出来、それは実世界であろうがデジタルワールドであろうが適切に取り扱われるべきである、という考えはそのあたりに起因しています。

そのような意味でアイデンティティ管理とは広義で言うと単なるプロビジョニングやシングルサインオンといった技術や運用に関することだけでなく、各国（日本、米国、EUなど）のそれぞれの個人情報保護に関連する法規と深く関連してきます。
特にクラウドをはじめとするインターネット上のサービスでアイデンティティ情報が適切に（関連法規に従い）扱われるかどうかは管理（コントロール）されるべきである、というところから色々な技術や製品などが着目／実装されてきています。

機能	関連技術等
サービス側から必要となる情報を要求する	クレイムベースのセキュリティモデル、InfoCard
必要最低限の情報のみを開示する	U-Prove
本人の同意を持って情報を開示する	ID-WSF、OpenID-CX

と、少しそれてしまいましたが、参加メンバを見ても今後の活動がとても楽しみです。


尚、他にも下道さんも監訳に参加されているオライリージャパンさんより「クラウドセキュリティ＆プライバシー」の日本語版が先行販売されていました。

その他関連リソース
・ASPIC Japan（ASP・SaaSインダストリ・コンソーシアム）によるCSAクラウド・セキュリティ・ガイダンス ver.1.0 日本語版
　http://www.aspicjapan.org/pdf/20100324-csa.pdf
・日本クラウドセキュリティアライアンス
　http://www.cloudsecurityalliance.jp/
・CSA Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
　http://www.cloudsecurityalliance.org/csaguide.pdf
・CSA Guidance for Identity & Access Management V2.1
　http://www.cloudsecurityalliance.org/guidance/csaguide-dom12-v2.10.pdf
　※CSAガイダンスの中でアイデンティティ＆アクセス管理に関する部分に特化したもの

ツアー終了

先週から始まったエクスジェン・ネットワークス東名阪ツアーが本日終了しました。

様々な方々に来て頂き、「ブログ見てます！」というお言葉を頂き、非常に勇気づけられた1週間でした。皆さまにはとても感謝しております。

内容ですが、メインテーマは「IdM製品の傾向」でしたが、アイデンティティ管理自体に関するトレンドの推移やアイデンティティ情報の管理および利用モデルの移り変わりについて簡単ではありますが紹介させていただきました。

簡単に概要ですが、アイデンティティ管理を行う目的として、

• 運用の効率化
• セキュリティの強化
• 利便性の向上
• 法令対応／内部統制

といったキーワードが絡み合ってプロジェクトが複雑化しがちですが、それらのキーワードがここ10年程度を振り返ってどのような経緯で持ち上がってきたか、各製品ベンダはどのような機能でそれらのキーワードに追従してきたか、を紹介しました。

また、クラウド（主にSaaS）をイメージした際に、アイデンティティ情報を提供する側、サービスを提供する側それぞれの間を結ぶのは「信頼」であること、USガバメント（ICAM、OIX）やIAFの例をベースに保証のフレームワークを簡単に紹介しました。

全体に少々企業内のプロビジョニングとは離れた世界の話になりましたが、今後考えなければいけない事柄ばかりだと思うので、非常にざっくりですが紹介出来て良かったと思います。

いづれにしても、上記のような複雑な要件が絡み合うが故にややこしいプロジェクトになってしまいがちなアイデンティティ管理ですが、今後もしばらくはややこしさが付いて回りそうです。。。。

ADFS2.0 RCリリース

12/18にリリースされていました。


アップデート内容ですが、"Geneva" Team Blogによると、下記の通りです。

・SAML 2.0 protocol support for Identity Provider Lite, Service Provider Lite and the eGov 1.5 Profile verified by Liberty Interoperable SAML 2.0 interoperability testing

→以前お知らせしたようにLibertyのSAML2.0相互運用性にパスしています。

・Simplified user experience for configuring high availability federation server farm and proxy deployments

→冗長構成のフェデレーションサーバファームとProxyのデプロイが簡単に。

・Automatic encryption and signing certificate distribution and rollover across a farm of multiple federation servers, enabling zero touch management of trust relationships

→自動暗号化、証明書配布署名、複数のフェデレーションサーバから構成されるファーム間のロールオーバー、操作なしでの信頼関係構成

・Choice of deploying without SQL Server for storing AD FS 2.0 configuration data

→ADFS2.0の構成データストア用のSQL Serverなしでのデプロイが可能に

・Claims based authorization rules for restricting security token issuance

→制限されたセキュリティトークン発行の為のクレイムベース認可ルール

・Improved events, audits, and tracing for diagnostics

→診断のためのイベント、監査、トレースの増強

・Complete PowerShell support for end to end AD FS 2.0 management

→ADFS2.0の管理をするためのPowerShellの完全サポート

・Lots of other fixes and UI improvements!

→その他多数の修正とUIの改善


また、同時に以下のモジュールもリリースされています。
・Microsoft Federation Extensions for SharePoint 3.0 RC
・Windows CardSpace 2.0 Beta 2 Refresh

例によってVMイメージ（VHD）もあわせてダウンロード可能なので、環境をお持ちの方はそちらが手軽かも知れません。（私はHyper-V環境を持っていないのでゼロからの構築になりますが・・・）

[終了]カンターラ・イニシアティブ・シンポジウム2009

以前ご紹介したカンターラ・イニシアティブ・シンポジウム2009が終わりました。

想像以上の動員で130～150人くらいは来場していたのではないでしょうか？

さて、内容です。

14:05～15:05 基調講演 "Why Kantara matters to ISOC and the Internet" （同時通訳）
Lucy Lynch
Trustee, Kantara Initiative
Director of Trust and Identity Initiatives, Internet Society

まずはLucyさんの基調講演ですが、こちらは非常にジェネラルというかインターネットとセキュリティや標準化の歴史的な話が中心だったのですが、おさらいの意味でとても役に立ちました。


15:10～15:30 一般講演 「アイデンティティ管理の『現在・過去・未来』」
金子以澄
日本CA株式会社 マーケティング部 マーケティングマネージャー

次にCA金子さんのセッションです。こちらは特にエンタープライズにおける課題とアイデンティティ管理関連技術の移り変わりがとてもきれいにまとめられていて、ある意味これまで技術仕様の解説中心だったLiberty/Kantaraの中ではかつてないほどわかりやすいセッションだったと思います。


15:30～16:00 一般講演 「カンターラ・イニシアティブにおける分科会の取組み事例」
伊藤宏樹
日本電信電話株式会社 NTT情報流通プラットフォーム研究所

伊藤さんのセッションでは各分科会の活動内容概要が紹介されました。IAFやUMAなど今後のID連携システムが普及する上でキーとなりそうなものについて簡単にまとめられていました。
ちなみにIAF（Identity Assurance Framework）では
・認証行為の保証レベルの規定
・各保障レベルに応じて必要となる実装／管理運用体制に関する規定
が定められます。
これにより、扱うID情報の種類のレベル付けや管理体制の定義、およびそれらを外部から監査するという枠組みが規定され信頼性を担保します。（ISMSなどと同じイメージ）
監査を通過すれば対象となるプロバイダにKantaraがお墨付きを与える、というようなことも検討しているようです。

また、UMA（User Management Access）ですが、こちらはユーザセントリックな環境においてユーザが複数のサービス（IdP、SP）を使う際に個別にID情報の伝搬の可否を判断することになり、利便性／確実性が低下することを防ぐための取り組みです。具体的には個々で行っていたアクセスコントロールをAuthorization Managerというコンポーネントを介在させることで用語やインターフェイスを統一させて混乱を防ぐことを考えているようです。


16:15～17:00 特別講演 「健康情報活用基盤 （日本版EHR） の全体構想について」
山本隆一
東京大学情報学環・学際情報学府 准教授 医学博士

山本先生の話は話し方、内容ともに非常に刺激的な内容で非常に面白かったです。
つかみは医療におけるITの活用の歴史から始まり、「保健医療情報は本来個人に帰属すべきである」という考え方に基づく基盤構想の紹介（ユーザセントリックですね）、浦添市における実証実験の内容の紹介、と生活に密着しているが故に興味深い内容でした。
この構想ではキーとして社会保障カードを使い、ID登録／カード発行は行政サービスとして自治体が行い、ID情報の取り扱いにはSAML2.0/ID-WSF2.0が使われていました。また、ポイントは扱う情報の中に「関係」という属性を持たせており、例えばフィットネスクラブで計測した体重などの情報についても主治医として関係付けがされた機関（SP）からは情報の参照が出来たり、という属性ベースのアクセスコントロール的なことが行われていました。


17:00～17:30 事例研究 「事例でみるID管理技術の使い分け(仮) 」
澤井 真二
日本オラクル株式会社 Fusion Middleware事業統括本部 Security SC部

こちらはオラクルさんによる事例紹介です。
澤井さんの組織の名前を見てもわかるようにオラクルではIdM製品群をセキュリティ製品の中心に置いているのでIdM導入のゴールはセキュリティ・コントロールというところに置いているのが印象的でした。


17:30～18:00 事例研究 「J-SaaS における SAML2.0 の適用」
永野 一郎
NTTソフトウェア株式会社 モバイル＆セキュリティ・ソリューション
事業グループ セキュリティソリューションチーフエキスパート


こちらも事例ベースの話です。
特に印象深かったのはSSOした後に別のIDへの切り替えをしなければならない、という要件への対応です。これは企業で兼務対応などをする際には実際にあり得る話だなぁと思います。（例えばログインはA部の部長としてするが、特定のシステムにおいては出向先の本部長としてのアクセスが必要、、とか）
この事例ではSAML2.0のForceAuthnを使っていました。



と、ざっと感想めいたことを書いてみましたが、おいおい資料なども公開されるようですので、本日参加できなかった方も是非参考にしていただければ、と思います。

クラウド時代のID管理へ？ ～ADFS2.0がSAML2.0相互運用性テストにパス～

先のポストにも一部書きましたが、カンターラ・イニシアティブとLiberty AllianceのSAML2.0相互運用性テストにマイクロソフトのADFS2.0（Geneva Server）がパスしています。

http://www.projectliberty.org/news_events/press_releases/entrust_ibm_microsoft_novell_ping_identity_sap_and_siemens_pass_liberty_alliance_saml_2_0_interoperability_testing



















結果をみると、ADFS2.0が今回パスしたのは、
・IDP Lite
・SP Lite
・eGov 1.5
です。

企業内のAD/ADFSをIdPとしてクラウドのサービスの認証を行う、ということができるということになれば、クラウドサービスの利用の障壁が少しでも下がるのではないでしょうか？
また、SAMLという標準的なプロトコルに対応した、ということでオンプレミスの世界でもこれまでWindows統合認証ができないために利便性が悪かった様々なIIS以外のアプリケーションサーバの認証が別途SSOツールを導入しなくてもできる、となるとADFS2.0は非常に強力なソリューションということができると思います。



ちなみに、ひそかに2010年の第2四半期にリリースされる予定のSAP NetWeaver Identity Management 7.2もパスしてます。
こちらは
・IDP Lite
・SP Lite
が対象です。

MaXware時代後期にもMFS（MaXware Federation Server）が出てきてはいたものの、結局SAPに買収されたときに立ち消えになっていましたが、ここにきてリリースされるということになったようです。
GUIクライアントとのEnterpriseSSOとかも合わせて実装されればな～とも思います。

カンターラ・イニシアティブ発足記念セミナー

昨日、オラクル青山センターで開催されたので参加してきました。

アジェンダおよび内容は以下の通り。

1.カンターラ・イニシアティブ概要説明　／　NTT情報流通プラットフォーム研究所　高橋氏

　アイデンティティのベン図（The Venn of Identity）を紹介し、カンターラ・イニシアティブとしてはアイデンティティ管理に関連する3つの技術分野（SAML、OpenID、Infomation Card）の「ハーモナイズ」を目指すという話でした。
　※ちなみにカンターラとはスワヒリ語で「橋」という意味で、語源にアラビア語の「調和」を持つとのことです。語源とよりアラビア語では3つの子音で意味をあらわすので今回のケースだと「نطر」（n t r）がベースとなっている「قنطرة（カンタラトゥン）＝アラビア語でも橋の意」がそのままスワヒリ語になっているんだと思いますが。

　活動の特徴としては、技術仕様の検討は行うが、実際の策定は各団体（OIDFやLibertyなど）が行うことになる、ということでした。
　ちなみにConcordia、Liberty Alliance、Open Libertyは今後カンターラ・イニシアティブの配下にはいるようです。

2.分科会における取組事例～SAML-OpenID連携～　／　NTT情報流通プラットフォーム研究所　岡本氏

　RSAカンファレンス2009で紹介したデモンストレーションが紹介されました。
　OpenIDのIdPで認証してSAML対応のサービスを利用したり、決済をする場合は追加でSAML IdPでも認証を要求して多要素認証としたり、という内容でした。

3.カンターラ・パートナーセッション
　OpenID最新動向、OpenIDファウンデーションジャパン活動　／　野村総合研究所　崎村氏

　OpenIDそのものの簡単な紹介と、OpenIDファウンデーションの活動内容（技術セミナや崎村氏自身が関与している各種仕様策定の活動）の紹介がありました。

　また、関連するニュースとしてGoogle AppsがOpenIDに対応する、という話がありました。（意図せぬ情報のリークだった様でしたが）

4.カンターラに集う技術事例（１）Liberty/SAML事例紹介
　SAML認証によるGoogleAppsの認証連携事例の紹介　／　サイオステクノロジー　中田氏

　「コスト削減」という企業における命題に対してクラウドが選択されてきていますが、エンタープライズ利用に必要な「セキュリティ」と、クラウドの特徴である「どこからでも使える」の相反をどう解決するか、という点への取り組みが紹介されました。

　例えば、GMailを社内からOutlookやThunderbirdといったメールクライアントでpop/imap利用をしたいが、GoogleAppsの特徴からして自宅でも同じ設定をすればそのまま使えてしまうのでなんとかしたい、というセキュリティ上の課題を社内プロキシ経由でないとGMailが使えないようにした、という話がありました。

5.カンターラに集う技術事例（２）OpenID事例紹介
　NTTComにおけるOpenID活用の取り組み　／　NTTコミュニケーションズ　北村氏

　現在取り組みつつある「マスタID」のOpenID対応について紹介されました。
　以前はLiberty仕様で構築されていたものをOpenIDに対応させようとしているとのことです。

　取組みとしては、OpenID対応のIdPプロキシのようなものを構築してNTTコミュニケーションズ提供のIdP、NTTドコモのIdP、gooのIdPをユーザが選択できるような仕組みづくりや、決済などを含むアプリケーションを含めたサービス対応を考えているようです。

　参加者からの質問も出ていたのですが、例えば決済する際にgooのIDとドコモのIDを同列に信頼してよいのか？という課題への取り組みが重要になってくると思います。

6.カンターラに集う技術事例（３）Infomation Card事例紹介　／　マイクロソフト　田辺氏

　SAMLやOpenIDとは少し違った点としてCardSpaceではユーザビリティを中心に取組んでいるという話が紹介されました。
　Geneva STSを使った別ドメインのSharePointサイトへのログオン／属性交換のデモも行われました。



まぁとりあえずは発足したばかり、ということでカンターラ・イニシアティブとしての具体的な取組みはこれから、ということだと思いますので、今後の動きを要ウォッチだと思います。

第4回Liberty Alliance技術セミナー

先週3/6（金）に開催された第4回Liberty Alliance技術セミナーの資料が公開されています。
http://wiki.projectliberty.org/index.php/JapanSIG/Seminars/TechSeminar

残念ながら参加はできなかったので、早速資料をチェックしてみました。

・SAML2.0の仕様詳細とデモ実演

　SAMLって何？というところから、ProfileやBinding、Assertion、Protocolの定義内容などがわかりやすく解説されています。
　日本語の資料であまりわかりやすい資料がないので、貴重です。

・SAML2.0とOpenIDの相互運用デモ

　SAML、OpenID、CardSpaceの相互運用の取り組み、Concordia Projectの紹介などのオーバービューから具体的なデモシナリオ、デモ実演という流れです。デモが見たかったです・・・。


最近この手の相互運用のネタが結構流行っていますが、まだSAMLやOpenIDなどのキーワードが浸透しきっていないせいか、「相互運用」の意味が理解しづらいものとなっているのでは？と感じています。
Libertyなどで話題に上っている「相互運用」はあくまで利用者の視点でSAML対応のIdPで認証されたユーザがシームレスにOpenID対応のRPのサービスを利用できる、ということを指しています。（SUICAとICOCAの相互運用とイメージ的には近いかも知れません）

ただ、それぞれのキーワードの定義をものすごく乱暴に解説すると、
・SAML：認証の仕組みではなく、認証情報の連携や属性交換の仕組み。認証状態（認証されたIdP情報）や属性をXMLベースのAssertionで受け渡す
・OpenID：認証の仕組みではなく、認証情報の連携や属性交換の仕組み。IdP（OP）のURI自体がIDとなっている
・CardSpace：InfoCardというメタファを利用して認証プロバイダをユーザ自身に選択させる仕組み
となります。
こうやってみると、SAMLとOpenIDやCardSpaceを同列に並べてしまうことにちょっと違和感を感じてしまいます。

全体的に言葉遊びになってしまいがちですが、うまくマッチする日本語がないのが最大の原因なのかも知れませんね。

Liberty Alliance Day 2008 @ Tokyo

今日（といっても深夜をまわってしまったので、昨日）、ベルサーレ九段で開催された「Liberty Alliance Day 2008」に参加してきました。

テーマは「Trust and Harmony for the Emerging Identity Ecosystem」ということで、アイデンティティ管理に関連する信頼性確保やプライバシー保護に関する話がメインでした。
基調講演ではOracleのRoger Sullivan氏がLiberty Allianceが注力するポイントの一つとしてIAF（Identity Assurance Framework」の話をしたり、相互運用性に関するパネルではLiberty、OpenID、CardSpaceについて、セキュリティ、プライバシー保護という観点での取り組みを紹介したりと盛りだくさんでした。

ポイントはそれぞれこんな感じ。
・信頼性確保
　Liberty AllianceではIAF、OpenIDではReputation、PAPEのようにIdP/OPの信頼性を保証するための枠組みの策定に注力している（実際に商用利用するにはまだまだ、といったところですが）
・プライバシー保護
　SPへ提供する属性情報をユーザに選択/確認させる、という仕組みが実装されてきつつある。Geneva CardSpaceのデモもあり、InfoCardの中のどんな属性が実際にSPに提供されるかをユーザがあらかじめ確認する様子がみれました。

後は、こういうイベント恒例の新技術、プロジェクトの発表。
今回は、
・OpenSSO 8.0 Enterprise Edition ： 11/14リリース
・Genevaの（おそらく）国内初の発表（LibertyだけにSAML2.0サポート※がポイント）
　※どこまでサポートするかは未定とのことですが。
でした。

まぁ400人くらいの参加があったようなので、それなりに盛況だったんではないでしょうか？