なぜID管理が脚光を浴びるのか？ 業界と標準化の動向：今、見直されるアイデンティティ管理（2/3 ページ）

[下道高志，ITmedia]

ID管理技術関連の標準仕様

　前述したように、ID管理がカバーする範囲は広く、さまざまな技術が開発されているが、ここでは試みとして「管理」と「サービス」に分けて主だった仕様を紹介する。

管理のための技術

（1）ディレクトリ：LDAP（Light Weight Directory Access Protocol）。ITU勧告X.500モデルをサポートするディレクトリに対するアクセスを提供するために設計され、その後IETFで標準化された。現在はLDAP version3が規定されている。

（2）アクセスコントロール：XACML（eXtensible Access Control Markup Language）。XMLで記述された、アクセス／ポリシー制御のための技術仕様。OASISで標準化されており、最新バージョンは2.0。

（3）プロビジョニング：ID管理の中でも特にアカウント管理、およびそれに関連した認証・認可のための属性情報の管理を複数ノード間で行う。「IDのライフサイクル管理」とも表現されているが、アカウント情報の作成・追加・修正・停止・削除を行うことがその目的だ。OASISでは標準化仕様として「SPML（Simple Provisioning Markup Language）」を規定している。最新バージョンは2.0。

（4）ワークフロー：上記のプロビジョニングを複数ノード間で特定のルールに基づいて行う場合、業務のフローが発生する。例えば図2のように、システムAにはアクセスポリシーを即時変更するが、システムBでは上級管理者の許可が出て、翌週よりその変更が反映される、といったフローである。ID関連技術に特化したワークフローの標準化は、まだこれからといったところだ。

図2●プロビジョニングとワークフロー

サービスのための技術

（5）ディレクトリサービス：DSML（Directory Service Markup Language）。XMLで（LDAPのような）ディレクトリへのサービス内容を記述する。OASISによる標準化が行われており、最新はDSML version2。

（6）認証・認可サービス：マルチドメインを含む分散環境下の複数サイト間で、認証情報を含む属性情報をSOAP/XMLメッセージで安全に交換する。OASISで規定された「SAML（Security Assertion Markup Language）」を中心に、Libertyで仕様策定する「ID-FF（Identity Federation Framework）」、Internet2（次世代インターネットに関する米国研究開発プロジェクト）で標準化しているShibboleth（シボリス）の「OpenSAML」がある。これらの仕様で可能なサービスの1つがSSO（シングルサインオン）であり、そのほかに実現可能なサービスとしては属性情報交換などがある。

（7）アイデンティティ連携／サービス連携：上記ID-FFにおいて、各サイト間で個々（ユーザー）のIDを保持しながらサイト間でIDを相互参照し、結果としてSSOを可能にする仕組みを「アイデンティティ連携」（フェデレーション）と呼ぶ。また、ID連携の環境下で、個人情報すなわちID情報をベースに複数のサイト間でのサービスを実現する仕組みを「連携アイデンティティサービス」と呼ぶ。この思想はLibertyの根幹にあり、後述のID-WSF仕様として具現化されている。

（8）次世代リソース識別：XRI（Extensible Resource Identifier）。分散ディレクトリサービスなどで利用できるURIスキーマとURNに関する仕様であり、OASISにおいて標準化が進んでいる。

Libertyにみる連携ID仕様の標準化

　前述したように、Libertyは連携IDサービスのための仕様を策定しており、単なるSSO仕様策定を目的とはしていない。消費者はSSOではなく、安全で信頼のおけるサービスを使うことが目的なのである。Libertyはこの要求を満たすために結成されたといっても過言ではなく、関連するさまざまな仕様やガイドラインを出している。また、世界的な個人情報保護法や米SOX法などのコンプライアンス強化の流れに応じて、広義のID管理技術仕様の標準化の対象領域を広げている。