OpenIDとエンタープライズソリューション IBM Software Group 2009年 2月20日 日本アイ・ビー・エム株式会社
by user
Comments
Transcript
OpenIDとエンタープライズソリューション IBM Software Group 2009年 2月20日 日本アイ・ビー・エム株式会社
IBM Software Group OpenIDとエンタープライズソリューション 2009年 2月20日 日本アイ・ビー・エム株式会社 ソフトウェア事業・Tivoliテクニカルセールス 竹日正弘 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト 目次 OpenID概要 •OpenIDの仕組みと特徴 •ログインサービス例 •プロトコルフロー •OpenIDの展開状況 •OpenIDファウンデーション・ジャパン •主な活動 •OpenIDの背景 •コンシューマーとエンタープライズ認証連携環境 •OpenIDの位置付けと方向性 Federated Identity Manager ご紹介 WebSphere sMash ご紹介 製品デモ(WebSphere sMash) © 2009 IBM Corporation 渋谷テクニカルナイト IBM Software Group OpenIDの仕組みと特徴 任意の第三者での認証を自社のサービスの認証として取り入れる仕組み。OpenIDに準拠した認 証提供側は任意のサービス提供側へオープンに認証サービスを提供できる。 UID PW UID PW UID PW UID PW UID PW Before…それぞれのサイトで After…任意のサイトで 9 9 9 9 9 ID情報を登録 ⇒それぞれのポリシーに対応しるために複雑化し膨 張するID管理労力 個別ユーザーID/パスワードでログイン ⇒負担の増加する個別のID/パスワード管理 ID情報を更新 ⇒困難な情報鮮度の管理 ID情報の削除 ⇒削除漏れなどで高まる個人情報漏洩のリスク 9 9 9 ID情報を登録 ⇒情報登録を限定することで個人情報の管理性を 向上 ログインサービスを依存 ⇒ID/パスワード数を管理可能、証跡管理も容易 ID情報を更新 ⇒情報鮮度の確保 ID情報の削除 ⇒情報漏洩リスクの低減 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト OpenIDのプロトコルフロー例 End User Relying Party OpenID Provider サービスへのアクセス ID要求 Diffie-Hellman鍵交 換によるセキュアな セッションを確立 User-Supplied IDの送信 discovery association OPへリダイレクト要求 OPへのアクセス 認証要求 認証情報提示 verify 認証確認・RPへリダイレクト要求 Login成功 4 3/9/2009 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト OpenIDの展開状況 【OP (OpenID Provider:OpenID発行サイト】 Yahoo!Japan、Google、ミクシィ、NECビッグローブ、Livedoor、エキサイト、 はてな 等 がOpenIDを発行。 z Windows Live IDは、現在試験運用中 【RP (Relying Party:OpenID対応サイト)】 続々と増加中。 クレジットカード情報の提供等を伴うサービスでの採用も徐々に拡大中。 z 無料語学学習サイト iKnow!は、Yahoo!Japan、ミクシィにとって最大のRPに 【その他OpenID関連トピックス】 日本アイ・ビーエム、日本電気(NEC)、野村総合研究所、日本ヒューレット・パッカード、 シックス・アパート等がOpenID対応製品を発売。 楽天が、外部から利用できる楽天の決済システムの一部にOpenIDを活用。 非IT企業である日本航空が、提携ホテル予約サイトとのID連携にOpenIDを活用、 JALマイレージクラブ会員向けサービスを充実。 Copyrightⓒ 2009 OpenID ファウンデーション・ジャパンAll Rights Reserved. ※このチャートはOpenIDファウンデーション・ジャパンよりご提供いただいています © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト OpenIDファウンデーション・ジャパン ◆ 国内におけるOpenID技術の普及・啓蒙 ◆ OpenID技術の国際化の支援ならびに仕様の日本語化 を促進すべく、 2008年10月1日に正式発足。会員の皆様と協議しつつ、活動をしています。 幅広い業種の44企業様(09年2月10日現在)が会員として参加されています。 株式会社朝日ネット 株式会社イマーディオ インディゴ株式会社 インフォテリア株式会社 エキサイト株式会社 SBIホールディングス株式会社 NECビッグローブ株式会社 株式会社NTTデータ 株式会社オートメーションリサーチアソシエイツ 沖電気工業株式会社 学校法人河合塾 株式会社ケイ・オプティコム KDDI株式会社 サイバートラスト株式会社 株式会社ザクラ 株式会社ジェーシービー シックス・アパート株式会社 3Di株式会社 セコムトラストシステムズ株式会社 株式会社セブン銀行 セレゴ・ジャパン株式会社 株式会社千趣会 ソフトバンクBB株式会社 株式会社損保ジャパン・システムソリューション タイヘイコンピューター株式会社 株式会社テクノラティジャパン デジタルガレージ イーコンテクストカンパニー ニフティ株式会社 日本アイ・ビー・エム株式会社 株式会社日本航空インターナショナル アドバイザー 東京大学 大学院情報学環・学際情報学府 須藤修教授 慶應義塾大学 総合政策学部 國領二郎教授 中央大学 大学院戦略経営研究科 杉浦宣彦教授 日本電気株式会社 日本認証サービス株式会社 日本ヒューレット・パッカード株式会社 日本ベリサイン株式会社 株式会社野村総合研究所 株式会社日立製作所 株式会社ミクシィ 三井住友海上火災保険株式会社 株式会社三菱東京UFJ銀行 ヤフー株式会社 株式会社ライブドア 楽天株式会社 株式会社凛 パートナー リバティ・アライアンス 日本SIG Copyrightⓒ 2009 OpenID ファウンデーション・ジャパンAll Rights Reserved. ※このチャートはOpenIDファウンデーション・ジャパンよりご提供いただいています © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト 主な活動 10月30日 設立記者発表 最近の主な活動 OpenID BizDay #1 「次世代電子行政サービスとセキュリティ ~データベース疎結合と官民連携」 東京大学 須藤修 教授(OIDF-Jアドバイザー) 「Yahoo!JAPANとOpenID」 ヤフー株式会社 CTO 西牧哲也 様 OpenID BizDay #2 「先進的機能活用の企画と実践 ~JALホームページ国際線事例~」 日本航空インターナショナル WEB販売室 マネージャー 伊沢 美昭 様 OpenID TechNight vol.4 「ID技術 最新動向2009」 by tkudo 「OpenID 認証 2.0 入門」 by ZIGOROu お問い合わせはこちらまで 一般社団法人 OpenIDファウンデーション・ジャパン Tel : 03-6267-9122 Email: contact@openid.or.jp URL : http://www.openid.or.jp/ Copyrightⓒ 2009 OpenID ファウンデーション・ジャパンAll Rights Reserved. ※このチャートはOpenIDファウンデーション・ジャパンよりご提供いただいています © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト OpenIDの背景 現在のアプリケーションサービス基盤の認証には、ユーザー・サービス提供それぞれの視点で以 下のような課題が存在し、OpenIDがこれらの解決手段の一つとして注目を集めることとなる。 ユーザー側視点 サービス提供側視点 サービス ユーザー 9複数登録・保守の負担 9マルチポリシーへの対応 9証跡の分散/困難な統合証跡の確保 9認証システムの維持・保守 9サービス(可用性、ヘルプデスク、情報保護) 9情報鮮度の維持(休眠アカウント) 認証サービスの切り出し・外部依存 (求められる信頼度を持った認証サービスの結果を信頼する) 8 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト コンシューマーとエンタープライズ認証連携環境 IT基盤を統一して整備できるエンタープライズ環境では、ID管理基盤やミドルウエアレベルでの認 証連携基盤の整備が進んでいる。一方、それらの統一した整備が困難なコンシューマー環境では、 信頼関係の事前設定を条件としない自由度の高いOpenIDのような認証連携の仕組みが歓迎さ れる背景となる。 IT基盤 ID管理 認証連携 エンタープライズ/ IT部門などがユーザーに使用さ せるべきシステムを定義する ・様々なシステムへの対応 ・業務に特化した運用要件への対応 ユーザーレベル:デスクトップSSO、 イントラ・VPN基盤 コンシューマー/ インターネット基盤 システムレベル:ミドルウエアWebSSO、 Windows統合認証との連携、他 ⇒ID管理基盤整備 ⇒業務効率とのバランスで既に整 備の進んでいる状態 ユーザーが使いたいシステムを 選択する ・使用されるサービスプロバイダーが多様 ・サービスプロバイダー側のメリットが不明 ユーザーレベル:デスクトップSSO 瞭 ⇒個別レジストリー管理 9 Windows統合認証 システムレベル:一部フェデレーション SSO (SAML/ Liberty/ etc) ⇒自由度の高い認証連携の仕組 み(OpenID)への期待 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト OpenIDの位置付けと方向性 OpenIDはITインフラのID・アクセス管理分野で、以下のような位置付けと方向性を持つ。 InfoCard Liberty Alliance Shibboleth (CardSpaceなど) OpenID 認証連携 SAML 独自Cookie/ WS-Federation URL Encoding対応 それぞれの仕組みの相互連携 認証方式 UID/PW ClientCert (PKI) Biometrics デスクトップSSO エージェント型(代理認証) リバースプロキシ型 アプリ実装 代理認証(認証サービスの他者依存) 統合Directory ID基盤 個別レジストリー管理 サービス提供側のID管理からの解放 10 RiskBased Matrix 多様な認証方式への対応 認証機構 OTP 統合ID管理システム 分散レジストリー連携 © 2009 IBM Corporation IBM Software Group 渋谷テクニカルナイト © IBM Corporation 2009. All Rights Reserved. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報提供の目 的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またそのような結果を生むものでもありませ ん。本プレゼンテーションに含まれている情報については、完全性と正確性を帰するよう努力しましたが、「現状のまま」提供され、明示または暗示にかかわら ずいかなる保証も伴わないものとします。本プレゼンテーションまたはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた 場合も、IBMは責任を負わないものとします。 本プレゼンテーションに含まれている内容は、IBMまたはそのサプライヤーやライセンス交付者からいかなる保 証または表明を引きだすことを意図したものでも、IBMソフトウェアの使用を規定する適用ライセンス契約の条項を変更することを意図したものでもなく、また そのような結果を生むものでもありません。 本プレゼンテーションでIBM製品、プログラム、またはサービスに言及していても、IBMが営業活動を行っているすべての国でそれらが使用可能であることを 暗示するものではありません。本プレゼンテーションで言及している製品リリース日付や製品機能は、市場機会またはその他の要因に基づいてIBM独自の決 定権をもっていつでも変更できるものとし、いかなる方法においても将来の製品または機能が使用可能になると確約することを意図したものではありません。 本資料に含まれている内容は、参加者が開始する活動によって特定の販売、売上高の向上、またはその他の結果が生じると述べる、または暗示することを 意図したものでも、またそのような結果を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザーが経験する実際のスループットや パフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、および処理されるワークロードなどの考慮 事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと同様の結果を得られると確約するものではありま せん。 記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、またそれらのお客様が達成した結果の実例として示されたもの です。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 以下は、International Business Machines Corporationの米国およびその他の国における商標。IBMの全商標のリストについては、 www.ibm.com/legal/copytrade.shtmlをご覧ください。 AIX, CICS, CICSPlex, DB2, DB2 Universal Database, i5/OS, IBM, the IBM logo, IMS, iSeries, Lotus, OMEGAMON, OS/390, Parallel Sysplex, pureXML, Rational, RCAF, Redbooks, Sametime, Smart SOA, System i, System i5, System z , Tivoli, WebSphere, z/OS. JavaおよびすべてのJava関連の商標およびロゴは Sun Microsystems, Inc.の米国およびその他の国における商標。 Microsoft, Windows, Windows NT および Windowsロゴは Microsoft Corporationの米国およびその他の国における商標。 Intel, Intelロゴ, Intel Inside, Intel Insideロゴ, Intel Centrino, Intel Centrinoロゴ, Celeron, Intel Xeon, Intel SpeedStep, Itanium, Pentium は Intel Corporationまたは子会社の米国およびその他の国における商標または登録商標。 UNIXはThe Open Groupの米国およびその他の国における登録商標。 Linuxは、Linus Torvaldsの米国およびその他の国における商標。 その他の会社名、製品名およびサービス名等はそれぞれ各社の商標。 11 © 2009 IBM Corporation