| エンタープライズ:トピックス | 2002年5月31日更新 |
Follow Up:Liberty Allianceを支えるSAML
 |
|
|
|
Liberty Allianceプロジェクトは,共通のオンラインIDシステムの確立を通じて,マルチドメイン環境でのシングルサインオン(SSO)の実現を目指している業界団体だ。このセッションが行われた30日には,新たにNTTのほかi2テクノロジーズ,SAPなどが加わったことを発表。プロジェクトへの加盟企業は40社以上に上っている。
同プロジェクトではSSOの実現に,中央集権型の単一のレポジトリではなく,フェデレーション(協調)モデルと呼ばれる手法を採用している。個々のユーザーID情報を管理して認証を行うIdentity Provider(識別プロバイダー:IDP)と,実際にサービスを提供するプロバイダーが,1つの「信頼の輪」の下で協調し,ユーザーの許可に基づいてSSOを実現していくというものだ。
「(フェデレーション型に比べて),マイクロソフトのPassportで採用されているようなグローバルで一意なIDは,管理が難しい。実際,マイクロソフトも,フェデレーションモデルへと移行していくことを発表済みだ」(カフザン氏)
基盤技術はSAML
Liberty Allianceの認証およびSSOモデルの基盤となる技術が,XMLをベースとし,OASISによって標準化が進められているSAML(Secure Assertion Markup Language)である。
同プロジェクトのモデルでは,ユーザーのログイン作業は1回でも,裏では複数の認証機構が動作している。まず認証,次が属性認証,その次にポリシー決定認証というステップを,それぞれアサーション(表明)を経て踏んだ上で,認証・認可のポリシーに基づいて実行が許可される。この際に「SAML Authentication Assertion」,いわばチケットが発行され,これが複数のドメインをまたいでSSOを実現するベースになる。
Liberty Allianceでは上記の流れを,大きく2つに分けた。1つは,ユーザーから示されたクレデンシャルを基に,認証と属性認証,そのアサーションまでを行う「Liberty Identity Provider」。もう1つは,その結果に基づき,ポリシーに沿ってリクエストを実行する「Liberty Service Provider」だ。先に触れた分類で言えば,前者がIDP,後者がサービスプロバイダーということになる。
ここで重要なのは,やり取りされるメッセージやトランザクションのセキュリティを確保することだ。Liberty Allianceでは,ユーザーとIDP間,およびIDPとサービスプロバイダー間それぞれについて,適切なセキュリティ対策を取るように仕様を作成している。たとえば,TLS/SSLを利用したり,電子証明書を用いたサーバ認証/クライアント認証を併用したりといった具合だ。
そしてカフザン氏によると,次の課題となっているのは拡張性だという。つまり,この枠組みでつながれる「信頼の輪」をどうやって広げていくかだ。「このための仕様は,今まさに作業中」(同氏)
カフザン氏はさらに,Liberty Allianceのフェーズ2では,プライバシーの分野にも踏み込む計画だと語った。ここではユーザー自身が,自分に関する情報の交換をどこまで定義できるか,それもできるだけ使いやすく,簡単な形で行えるかが鍵になる。
最初の導入はB2Bから
「Liberty Allianceの仕様や技術は,コンシューマー向けのサービスだけでなく,B2Bや細分化されたエンタープライズにも適用できる。むしろ適合は,B2Bなどの分野のほうが先になり,その後,コンシューマーの世界に踏み込んでいくことになるだろう」(カフザン氏)
この目標達成に向け,同プロジェクトでは鋭意作業を進めている。6月には,当初の予定通りLiberty Allianceの仕様とSAMLの相互運用性を確認するためのトライアルを行い,7月にはデモンストレーションを行う予定だ。また,仕様も早くて7月には公開できる見込みという。
カフザン氏はまた,「Liberty AllianceとPassportは,いずれもXMLやSOAPに対応しており,フェデレーションモデルを採用していく。いつのことになるか,具体的に予測することはできないが,いずれは両者の統合が実現されるだろう」とコメントしている。
関連リンク
[高橋睦美 ,ITmedia]
