ニュース
2004/02/26 22:45:00 更新


SAML 1.1の相互接続、11社が参加してデモ

米RSA Conference 2004の会場で、GSA E-Authentication Initiativeおよびベンダー11社が参加して、SAML 1.1を用いての相互接続性デモが行われている。

 米RSA Conference 2004の会場で、業界標準団体OASISの定めたWebサービスのセキュリティに関する標準、「SAML(Secure Assertion Markup Language)」を用いての製品相互接続性デモが行われている。

 このデモは、米一般調達局(GSA)のE-Authentication Initiativeが主導し、ベンダー11社が参加して行われているもの。Sun Microsystemsの「Sun Java System Identity Management Service」やRSA Securityの「ClearTrust」など、異なるベンダーが提供するアイデンティティ管理システム/シングルサインオン製品を用いて、協調型アイデンティティモデルを実現した。

ブース

SAML相互接続性のデモ

 SAMLは、Webサービスなど、複数の組織や企業が互いに乗り入れた形のサービスを展開する際に、ユーザーのID情報や属性情報などを安全にやり取りするための仕様だ。ユーザーにとってはシングルサインオンとカスタマイズされたサービスというメリットが生まれる。現在の仕様はバージョン1.1だが、この夏には2.0が策定される見込みだ。

 今回のデモではSAML 1.1に基づき、1つのポータルサイトからさまざまなベンダーのWebサイトにシームレスに移動したり、あるサイトにログインしないままアクセスしていたユーザーが、いったんポータルに移動し、そこで認証を受けた上で適切なWebサイトに移動するなど、いくつかのシナリオに沿って、シングルサインオンと認証情報/属性情報の移動が可能であることがデモされた。

デモ

デモで利用されたポータル画面

 これらのデモのバックエンドでは、SAML Assertionによってユーザーのプロファイル情報がやり取りされており、ユーザーがサイトごとにログイン作業を行わなくてもパーソナライズされたWebページが表示される。しかもその情報は、XML SignatureとXML Encryptionによって保護される仕組みだ。

 OpenConnectの担当者は、今回のデモについて「もちろん大変なところもあったが、わずか3日間で11社の相互接続を実現できた」という。短期間で相互接続が可能だった理由としては、シナリオが明確になっている上、SAMLという仕様自体が数年前から練られてきたものであり、各社の間で実装に関する合意が進んでいることが挙げられるという。

 既にSAML 1.0に基づいた相互接続性検証を行っていたというGSA E-Authentication Initiativeの担当者は、「たとえば政府と金融機関の間でこういった協調型アイデンティティの仕組みを作り上げておくことにより、ユーザーは、銀行のWebサイトから政府のWebサイトにシームレスにアクセスできる。これはサービスプロバイダーでも何でも同じことだ。このように信頼の輪を広げることによって、いっそう利便性の高いサービスを提供できる」と述べ、その意味で今回の公開デモの意味は大きいと語った。ちなみにGSA E-Authentication Initiativeでは、他にLiberty仕様やWeb Services Federation Language(WS-Federation)についても、テストを行っている。

 Sun Microsystemsの担当者は、「SAMLは、どこか1社が主導する形ではなく、複数の企業が協調して作り上げた規格」と指摘。Microsoftも含めたより多くの企業の参加に期待している、と述べている。

SAML相互接続性デモ参加企業

Computer Associates、DataPower Technology、Entrust、ENTEGRITY Solutions、Hewlett-Packard、Oblix、OpenNetwork、PingIdentity、RSA Security、Sun Microsystems、Trustgenix

関連記事
▼WS-I、Webサービスセキュリティの課題を解説
▼RSA Conference 2004開催――セキュリティ企業と政府が共同戦線
▼OASISがウェブサービスのプロビジョニング標準としてSPMLを承認
▼Follow Up:Liberty Allianceを支えるSAML

関連リンク
▼OASIS
▼GSA eAuthentication Program
▼RSA Conference 2004

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.