シングルサインオンのSAMLライブラリに脆弱性、認証かわされる恐れ

SAMLをつかったシングルサインオンの脆弱性。
発見したDuo Securityのほか、OneLogin、Shibbolethなどのサービスが影響を受ける。

CERT/CCによると、この脆弱性を悪用された場合、リモートの攻撃者によってSAMLコンテンツが改ざんされ、SAMLサービスプロバイダーの認証をかわされてしまう恐れがある。

情報源: ITmedia NEWS

“シングルサインオンのSAMLライブラリに脆弱性、認証かわされる恐れ” の続きを読む

クラウドの認証はMS ADFS 2.0で

今週開催されているニューオーリンズのTechEdで、ADFS 2.0がクラウド・コンピューティングにおける認証の基盤としてプッシュされているらしい。
Microsoft pushes ADFS 2.0, federated identity for cloud security
ADFSはSAML 2.0でADといろんなアプリケーションの間で認証情報を連携する。
SharePointサポートが例で挙げられている。
Burton GroupからMSの認証に関する調査レポートが出ているそうで。
http://www.burtongroup.com/Research/PublicDocument.aspx?cid=1991
システムをクレームベースの認証方式に移行することが重要、MSはID管理関連は取り組みが遅い、と言っているらしい。
Burtonの人は、ADFSはポリシーの枠組みが欠けている、と言っている。またアクセス制御のためにTivoliはXACMLを使っているが、MSはどうするかよく分からない。

SAML 2.0の相互運用性テスト

Liberty AllianceのSAML 2.0相互運用性テストに7社が合格
Seven Big-Name Vendors Pass Liberty Alliance SAML 2.0 Interoperability Testing – DarkReading
合格したのは7社。Entrust, IBM, Microsoft, Novell, Ping Identity, SAP and Siemens
SAML 2.0の相互運用性テストは今回で3回目。
初めて電子政府向けの仕様SAML 2.0 eGov profile v1.5 (Liberty Alliance策定)に対するテストも行われた。
結果のマトリクス:SAML 2.0 (test procedure v3.2.2) full matrix Implementation Table Q309 / Implementations / Liberty Interoperable? / Home – Liberty Alliance
第1回は2007/10/13に結果発表、合格企業はHewlett-Packard, IBM, RSA, Sun Microsystems and Symlabs。
SAML 2.0 (test procedure v3.0) full matrix Implementation Table Q407 / Implementations / Liberty Interoperable^(TM) / Home – Liberty Alliance
第2回は2008/09/24に結果発表、合格企業はCA; NTT Software; Ping Identity; RSA; and Ubisecure。
SAML 2.0 (test procedure v3.1) full matrix Implementation Table Q308 / Implementations / Liberty Interoperable^(TM) / Home – Liberty Alliance
今回は新たにMicrosoftが加わっている。製品はActive Directory Federationと書いてある。
Libertyはまだ団体として活動しているんだなあ。

Microsoft GenevaがSAML 2.0相互運用性テストに参加

Microsoftが Geneva 2.0をSAML 2.0相互運用性テストに参加させる。
Microsoft to test interoperability of identity protocol | Hardware – InfoWorld
Geneva 2.0はベータ2の段階で参加。年内にリリース予定。
今までSAMLのトークンはIdentity MetaSystemでサポートしていたが、通信プロトコルはサポートしていなかった。

SAMLとWS-Federationに対応するMS「Geneva β2」

クラウド向け認証機能:MS、オープン認証プラットフォーム「Geneva β2」を公開 – ITmedia News 

米Microsoftは5月11日、オープン認証プラットフォーム「Geneva」(コードネーム)のβ2を公開したと発表した。Microsoftのサイトからダウンロードできる。
 Genevaは同社のBusiness Ready Security戦略の一環として開発されているクレームベースのユーザー認証プラットフォームで、クラウドサービスでのActive Directory認証とシングルサインオン機能を提供する。
 β2では、認証連携の仕様「SAML 2.0」と「WS-Federation」に対応したことにより、CAの「Federation Manager」と「SiteMinder」、Novellの「Access Manager」、SAPの「NetWeaver 」、Sun Microsystemsの「OpenSSO Enterprise」などのアクセス管理ソリューションとの相互互換性が追加された。

Microsoft introduces new Geneva beta – ZDNet.co.uk
4月にはワシントン州の学校でテスト中と公表されていた。
http://news.zdnet.co.uk/security/0,1000000189,39643171,00.htm

SAML対応製品 – セシオスのSSO、ネットスプリングのLDAPサーバー

認証系の製品がSAML対応したというニュース2種。
セシオスは、SSO製品にSAMLとOpenIDを追加。
AXIOLEは、LDAPサーバーで、パートナーのサイオスが「Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供」。
いろんなものが出てきたなあ。
セシオスのシングルサインオン・ソリューションSecioss Access Manager EnterpriseがSAML、O – ZDNet Japan

株式会社セシオス(本社:東京都文京区、代表取締役:関口 薫)は本日、オープンソースベースのシングルサインオン・ソリューション「Secioss Access Manager Enterprise」がSAML、OpenIDに対応
今回、オープンソース・ソフトウェアの「simpleSAMLphp」を利用して、SAML、OpenIDに対応いたしました。SAML、OpenIDに対応したことで、SaaSサービスと企業内の認証システムを連携したシングルサインオンなど、サイト間でのシングルサインオンが可能となりました。

Secioss Access Manager Enterprise/Secioss Identity Manager Enterpriseのセット価格は300ユーザ57万6千円から

ネットスプリングの認証サーバアプライアンス「AXIOLE」、Google Appsと連携可能に:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2009/01/27

ネットスプリングは27日、サイオステクノロジーと提携し、ネットワーク認証サーバアプライアンス「AXIOLE」(アクシオレ)をGoogle Appsと連携可能にしたことを発表した。
 サイオスが提供するGoogle Apps連携システム構築サービス「SIOS Integration for Google Apps」を用いて、LDAP系アプライアンス型の認証サーバAXIOLEをGoogle Appsと容易に連携可能とした。サイオスは、AXIOLEに登録されているユーザをGoogle Appsに自動登録するシステムや、Google Appsの認証にAXIOLEを使用するSAML認証システムを有しており、システム管理者は、AXIOLEでのアカウント管理を行うだけで、Google Appsをユーザーに容易に提供することが可能となる。この連携システムにより、運用管理者は、ローカルシステムのみならずクラウドコンピューティングシステムを含めたアカウント管理を一元化することが可能となる。
 AXIOLEは日本語Web画面から簡単に設定・管理を行うことができるLDAP認証サーバ。LDAPサーバ構築に必要なディレクトリやスキーマの設計といった煩雑な作業はあらかじめAXIOLEで用意してあり、LDIF、CSV、UNIX Password形式でのユーザーデータのインポートも可能。標準販売価格は税別990,000円より(AXIOLE 1000ユーザー版)。
(冨岡晶@RBB 2009年1月27日 11:34)

SAMLサポートのオープンソースのIDアクセス管理「AccesStream」

IDアクセス管理って言うのか。 報道発表原文だと、Identity Access Managementと書いてある。IdentityとAccessの管理って言うことかな。
会社はAtlantaにあり、4月予定のGAまでにPHPクライアントを含めた機能拡張を行っていく。
http://www.accesstream.com/
オープンソースのIDアクセス管理「AccesStream」が登場 – SourceForge.JP Magazine
オープンソースのIDアクセス管理「AccesStream」が登場
2009年01月05日 11:53AM

 米AccesStreamは1月2日(米国時間)、ID・アクセス管理ソリューション「AccesStream」のベータ版をオープンソースとして公開した。同社Webサイトよりダウンロードが可能。エンタープライズ級のIDアクセス管理技術を目指す。
 AccesStreamは、Javaベースのエンタープライズ向けIDアクセス管理技術プロジェクト。認証、監査、レポーティング、ユーザープロファイル管理、セキュリティポリシー、シングルサインオン、ディレクトリのサポートなどの機能開発を目指す。
 今回のリリースはベータ1となり、SAML HTTP POSTバインディングを利用したシングルサインオン、JAAS(Java Authentication and Authorization Service)サポートなどを特徴とする。ライセンスはLGPL(GNU Library or Lesser General Public License)。今後、エンタープライズ向けに機能を拡充し、4月に正式バージョンをリリースする予定だ。
 同社によると、現在エンタープライズ向けのID管理技術はプロプライエタリベンダーが独占している状態で、AccesStreamによりコスト効果の高い代替ソリューションの提供を目指す、としている。
米AcessStream
http://www.accesstream.com
末岡洋子
* 認証
* 末岡洋子
* エンタープライズ
* オープンソース
* セキュリティ
* ニュース
2009年01月05日 12:00PM 更新

オープンソースのLibertyツールがリリースされた

OpenLiberty.orgがID-WSF 2.0のクライアント機能を提供するライブラリをリリース。
IdP機能は提供しない。
別のオープンソースSAMLツールZXIDとの互換性を確認してある由。
ZXIDもSP側のツールで、C、Java、PHP、Perlのモジュールが提供されている。
OpenLiberty.org Releases Open Source Code for Driving Security and Privacy Into Web Services and Web 2.0 Applications / Press Releases / News & Events / Home – Liberty Alliance
OpenLiberty.org, the global open source community working to provide developers with resources and support for building interoperable, secure and privacy-respecting identity services, today announced the release of OpenLiberty-J, an open source Liberty Web Services (ID-WSF 2.0) client library designed to ease the development and accelerate the deployment of secure, standards-compliant Web 2.0 Applications. OpenLiberty.org will hold a public webcast to review OpenLiberty-J on April 2 at 8 am US PT.
OpenLiberty-J is based on J2SE, and open source XML, SAML, and web services libraries from the Apache Software Foundation and Internet2, including OpenSAML

Liberty Alliance の総当り式 SSO 相互運用性試験

Japan.internet.com Webビジネス – Liberty Alliance の総当り式 SSO 相互運用性試験に5社が合格
今回、Drummond Group (DGI) が開発した総当り式の相互運用性試験方法のおかげで、Hewlett-Packard、IBM、RSA Security、Sun Microsystems および Symlabs は、この5社間で完全な相互運用が可能だと主張できるようになった。

NECが“グループ署名”を実装したWebシングル・サインオン・システム

グループ署名、ってものを実用化されようとしているんでしょうか。
なんだか、余計ややこしい側面もあるようだけど。
SAMLを「Webシングル・サインオンの仕様」と説明してしまうのも、割り切ってて良いかも。
【iEXPO2007】 NECが“グループ署名”を実装したWebシングル・サインオン・システムを披露:ITpro

 NECは12月6日,個人情報を隠したまま身元保証による認証を受けられるようにする“グループ署名”を実装したWebシングル・サインオン・システム「プライバシ保護型ID連携技術」を,NECグループの展示会「iEXPO 2007」の会場でデモした。
 今回デモしたのは,Webシングル・サインオンの仕様であるSAML(Security Assertion Markup Language)で用いるID認証部分に,従来のディジタル証明書に代わってグループ署名の証明書を適用したもの。このライブラリはNEC欧州研究所がスクラッチで開発したもので,一般には公開していない。

“NECが“グループ署名”を実装したWebシングル・サインオン・システム” の続きを読む