ID管理三国志時代 - OpenID、SAML、CardSpaceが一堂に会したセミナー

By kenia on 2008年8月11日 09:11 | No Comments | No TrackBacks

OpenID、リバティ陣営が共同セミナーを開催 - @IT

ID管理三国志時代の幕開けか
OpenID、リバティ陣営が共同セミナーを開催

 OpenID、SAML、CardSpace、3つのアイデンティティ管理の技術仕様が互いにデファクト・スタンダードの地位を争い、今後10年は"アイデンティティ三国志"の時代となってしまうのだろうか――。この問いかけに対して、それぞれ立場から専門家が意見を述べる珍しいイベントが行われた。

 7月18日、リバティ「アライアンス日本SIG主催による「第3回 Liberty Alliance 技術セミナー」がNTT武蔵野研究開発センタで開かれた。
 
(OpenID)

「日本人は平均して20個のIDとパスワードを使っているが、覚えられるパスワードはせいぜい2、3個だ」。自社調査の結果を引用して、アイデンティティ管理の問題をこう指摘するのは、野村総合研究所 情報技術本部 上級研究員の崎村夏彦氏だ。

。「残念ながら、今のネットの世界はベンダセントリック。OpenIDはネット上の"私"を取り戻してユーザーセントリックにしていくためのもの」(崎村氏)。


(CardSpace)
マイクロソフトの田辺茂也氏は、こう述べる。「マイクロソフトはかつて1度失敗している。CardSpaceはさまざまなアイデンティティ管理のフレームワークを使ったメタフレームワークだ」。

個々のカードは"Information Card"と呼び、CardSpaceは正確にはInformation CardをローカルPCで管理するためにマイクロソフトが実装したIDセレクタでしかない。まだCardSpaceの採用例は少ないが、IDセレクタの実装はHiggins、Digital Me、OpenCardSpace、Infocard Selector for Safariなどがあるという。また、認証フレームワークにはSAML、X.509、Kerberos、LDAPを利用可能にしていくほか、通信に"WS-*"で総称されるWebサービスを利用するなどオープンな技術仕様となっている。また、2008年6月にはマイクロソフトのほか、ノベル、オラクル、グーグル、PayPal、Equifaxをボードメンバとする業界団体「Information Card Foundation」が立ち上がっている。


(SAML)
 SAMLも.NET Passportの中央集権的なシステムへの反発から登場した分散型の認証フレームワークだ。米サン・マイクロシステムズらが2001年9月に立ち上げたリバティ・アライアンスで規格が開発され、最終的にXML関連の業界団体OASISで2003年にSAML 1.0が、2005年にSAML 2.0が2005年に策定されている。

 Webサービスでの利用を想定してHTTPだけを利用する簡易なOpenIDと異なり、サーバ間通信を想定したSOAP利用が可能な点や、XML電子署名を用いた高度なセキュリティもSAMLの特徴だ。各種Webサービス間でシングルサインオンを実現するためにも使えるが、既存の2つ以上の組織・サービス間でユーザー情報を連携させるフレームワークとして利用されることが多い。例えば、企業内のIDを使ってGmailやSalesforce.comを利用する際にはSAMLが利用できる。


(OpenID今後の拡張)
 1つはOpenID 2.0の拡張仕様として定義されているAX(Attribute Exchange)やSREG(Simple Registration Extention)に代わるもので、安全に住所や氏名、クレジットカード番号などIDに付属する属性情報を交換する仕組みとして「TX」(Trusted Data Exchange)が提唱されているという。AXではさまざまな属性情報をやり取りできるが、暗号化をHTTPSに依存している。このためセッション単位での認証・暗号化となり、"非否認性"がない。非否認性とは、いったん署名した署名者が、後からその署名が自分のものではないと否認することを防げることで、TXではXML暗号やXML電子署名を用いて実現する。
 
認証強度をメッセージに載せるためのプロトコル「PAPE」(Provider Assertion Policy Extension」が策定間近だという。PAPEを使うとバイオメトリクスやハードウェアトークンを用いたセキュアな認証をID提供者に求めることができる。現在崎村氏はPAPEを使ったOpenIDとSAMLの連携を提案中だという。

(SAMLのシンプル化)
NTT情報流通プラットフォーム研究所の伊藤宏樹氏は、HTTP POSTを利用したSAMLアサーションで、XML電子署名の生成コストを低減する「SimpleSign Binding拡張」や、SOAP Bidingと並ぶ「RESTful Binding拡張」の提供可能性について検討中であることなどを紹介した。

新たな展開として認証コンテキスト拡張の必要性を議論しているという。認証手段はIDとパスワードという仕組みだけでなく、X.509を使ったデジタル証明書、携帯電話であればサブスクライバID、PCであればIPアドレスなど、さまざまなものがある。
 


(仕様統一)
 NewOrgはまだ設立構想が議論されている仮名の団体で、アイデンティティ管理の問題に取り組む個人や組織所属の専門家がグローバルに集う組織だ。





 

Categories:



No TrackBacks

TrackBack URL: http://www.matsuyuku.com/cgi-bin/MT/mt-tb.cgi/760

Leave a comment

ロックバンドぐわし
ロックバンドぐわしのホームページ
ライブ写真;ビデオ公開中

Adam-Sites
ロックバンドAdam Sitesのホームページ
ライブ写真;ビデオ公開中
次回ライブは2011/07/03(日)
新宿URGA

Search

About this Entry

This page contains a single entry by kenia published on 2008年8月11日 09:11.

緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威 was the previous entry in this blog.

クラウド・ストレージのThe Linkup閉鎖 - ストレージ移行失敗でデータ消失 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Categories

月別 Archives

Powered by Movable Type 4.21-ja

管理人への連絡は、
こちらからどうぞ
問い合わせフォーム