ID管理三国志時代 - OpenID、SAML、CardSpaceが一堂に会したセミナー

OpenID、リバティ陣営が共同セミナーを開催 - @IT
ID管理三国志時代の幕開けか
OpenID、リバティ陣営が共同セミナーを開催
 OpenID、SAML、CardSpace、3つのアイデンティティ管理の技術仕様が互いにデファクト・スタンダードの地位を争い、今後10年は”アイデンティティ三国志”の時代となってしまうのだろうか――。この問いかけに対して、それぞれ立場から専門家が意見を述べる珍しいイベントが行われた。
 7月18日、リバティ「アライアンス日本SIG主催による「第3回 Liberty Alliance 技術セミナー」がNTT武蔵野研究開発センタで開かれた。
 
(OpenID)

「日本人は平均して20個のIDとパスワードを使っているが、覚えられるパスワードはせいぜい2、3個だ」。自社調査の結果を引用して、アイデンティティ管理の問題をこう指摘するのは、野村総合研究所 情報技術本部 上級研究員の崎村夏彦氏だ。
。「残念ながら、今のネットの世界はベンダセントリック。OpenIDはネット上の”私”を取り戻してユーザーセントリックにしていくためのもの」(崎村氏)。

(CardSpace)

マイクロソフトの田辺茂也氏は、こう述べる。「マイクロソフトはかつて1度失敗している。CardSpaceはさまざまなアイデンティティ管理のフレームワークを使ったメタフレームワークだ」。
個々のカードは”Information Card”と呼び、CardSpaceは正確にはInformation CardをローカルPCで管理するためにマイクロソフトが実装したIDセレクタでしかない。まだCardSpaceの採用例は少ないが、IDセレクタの実装はHiggins、Digital Me、OpenCardSpace、Infocard Selector for Safariなどがあるという。また、認証フレームワークにはSAML、X.509、Kerberos、LDAPを利用可能にしていくほか、通信に”WS-*”で総称されるWebサービスを利用するなどオープンな技術仕様となっている。また、2008年6月にはマイクロソフトのほか、ノベル、オラクル、グーグル、PayPal、Equifaxをボードメンバとする業界団体「Information Card Foundation」が立ち上がっている。

(SAML)

 SAMLも.NET Passportの中央集権的なシステムへの反発から登場した分散型の認証フレームワークだ。米サン・マイクロシステムズらが2001年9月に立ち上げたリバティ・アライアンスで規格が開発され、最終的にXML関連の業界団体OASISで2003年にSAML 1.0が、2005年にSAML 2.0が2005年に策定されている。
 Webサービスでの利用を想定してHTTPだけを利用する簡易なOpenIDと異なり、サーバ間通信を想定したSOAP利用が可能な点や、XML電子署名を用いた高度なセキュリティもSAMLの特徴だ。各種Webサービス間でシングルサインオンを実現するためにも使えるが、既存の2つ以上の組織・サービス間でユーザー情報を連携させるフレームワークとして利用されることが多い。例えば、企業内のIDを使ってGmailやSalesforce.comを利用する際にはSAMLが利用できる。

(OpenID今後の拡張)

 1つはOpenID 2.0の拡張仕様として定義されているAX(Attribute Exchange)やSREG(Simple Registration Extention)に代わるもので、安全に住所や氏名、クレジットカード番号などIDに付属する属性情報を交換する仕組みとして「TX」(Trusted Data Exchange)が提唱されているという。AXではさまざまな属性情報をやり取りできるが、暗号化をHTTPSに依存している。このためセッション単位での認証・暗号化となり、”非否認性”がない。非否認性とは、いったん署名した署名者が、後からその署名が自分のものではないと否認することを防げることで、TXではXML暗号やXML電子署名を用いて実現する。
 
認証強度をメッセージに載せるためのプロトコル「PAPE」(Provider Assertion Policy Extension」が策定間近だという。PAPEを使うとバイオメトリクスやハードウェアトークンを用いたセキュアな認証をID提供者に求めることができる。現在崎村氏はPAPEを使ったOpenIDとSAMLの連携を提案中だという。

(SAMLのシンプル化)

NTT情報流通プラットフォーム研究所の伊藤宏樹氏は、HTTP POSTを利用したSAMLアサーションで、XML電子署名の生成コストを低減する「SimpleSign Binding拡張」や、SOAP Bidingと並ぶ「RESTful Binding拡張」の提供可能性について検討中であることなどを紹介した。
新たな展開として認証コンテキスト拡張の必要性を議論しているという。認証手段はIDとパスワードという仕組みだけでなく、X.509を使ったデジタル証明書、携帯電話であればサブスクライバID、PCであればIPアドレスなど、さまざまなものがある。
 

(仕様統一)

 NewOrgはまだ設立構想が議論されている仮名の団体で、アイデンティティ管理の問題に取り組む個人や組織所属の専門家がグローバルに集う組織だ。

コメントを残す

メールアドレスが公開されることはありません。