Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Liberty Alliance Project :
Webサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャ
へ与えるインパクトへ与えるインパクトへ与えるインパクトへ与えるインパクト
Jason Rouault/Hewlett-PackardChairman, Liberty Alliance Technology Expert Group
本日の議題本日の議題本日の議題本日の議題
� アーキテクトが直面しているビジネスの課題
� アプローチ方法
� Liberty Allianceの問題への取り組み
� 事例: 連携認証およびwebサービスの実際
� ベネフィット
WebWebWebWebサービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証
Webサービスは統合アプリケーション向けに新しい仕様を提供企業にWebサービスのセキュリティについて全く新しい考え方を提案
XML-DSIG
SOAP
SSL/TLSWAP
XML
SAMLHTTP XML Enc
WSDL
WSS
UDDI
アプリケーション1
アプリケーション2
アプリケーション3
ドメイン 1 ドメイン 2ユーザ認証
Invoker(発動者)の認証
仲介者の認証
信頼できるサードパーティ認証
WebWebWebWebサービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証
企業が革新的な 企業が革新的な 企業が革新的な 企業が革新的なWebWebWebWebサービスを計画する際にサービスを計画する際にサービスを計画する際にサービスを計画する際に
直面する問題 直面する問題 直面する問題 直面する問題 :– 認証管理技術製品の間で相互運用性がない
– 企業が個人情報および多様なWebサービスに関わる機密事項の管理に対する標準技術およびベストプラクティスがない
– 企業が個人情報を消費者および他のエンドユーザから守る、認証管理モデルがない(集中モデル型のセキュリティの危険性を軽減する)
– 大切な顧客のプライバシーを守り、多種多様なプライバシー規則に対応するベスト・プラクティスを確立した産業がない
Liberty Allianceは、安全かつ相互運用可能な認証に基づくWebサービスを運営できる革新的なフレームワークにより問題を解決します。
いくつのパスワードといくつのパスワードといくつのパスワードといくつのパスワードとEEEEメールメールメールメールアドレスをお持ちですか?アドレスをお持ちですか?アドレスをお持ちですか?アドレスをお持ちですか?
1
様々な個人情報が分離し様々な個人情報が分離し様々な個人情報が分離し様々な個人情報が分離したインターネット・サイトにたインターネット・サイトにたインターネット・サイトにたインターネット・サイトに
散在している散在している散在している散在している
• ユーザーネーム: Jason Rouault• Email: [email protected]• PIN: [email protected]
• クレジットカード番号• 社会保険番号• 運転免許書• パスポート番号
• 娯楽趣味• 興味• 従業員 認証
• ビジネスカレンダー• レストラン情報• 学歴• 病歴• 資産…
問題問題問題問題 例えば
すべての認証情報を維持するにはすべての認証情報を維持するにはすべての認証情報を維持するにはすべての認証情報を維持するにはコストが発生コストが発生コストが発生コストが発生
1
様々な個人情報は分離し様々な個人情報は分離し様々な個人情報は分離し様々な個人情報は分離したインターネット・サイトのたインターネット・サイトのたインターネット・サイトのたインターネット・サイトの中に散在中に散在中に散在中に散在
• ユーザにとって不便で面倒ユーザにとって不便で面倒ユーザにとって不便で面倒ユーザにとって不便で面倒
• 市販の認証サービスは、市販の認証サービスは、市販の認証サービスは、市販の認証サービスは、• 開発および導入が難しい開発および導入が難しい開発および導入が難しい開発および導入が難しい
• 異種システムへの連続的な再異種システムへの連続的な再異種システムへの連続的な再異種システムへの連続的な再認証認証認証認証
従業員を管理しているすべての企業でも同じ
ユーザ承認
ビジネスごとに異なる
維持費が高い
連邦型認証にアプローチする連邦型認証にアプローチする連邦型認証にアプローチする連邦型認証にアプローチするLiberty Project
ProviderProvider
Provider
Provider
Provider
Provider
Central Provider
集中型モデル集中型モデル集中型モデル集中型モデル
• 単一リポジトリの中のネットワーク・アイデンティティおよびユーザ情報
• コントロールが集中• 単一の障害がシステム全体に影響• 同種システムへのリンク
オープンな連邦型モデルオープンな連邦型モデルオープンな連邦型モデルオープンな連邦型モデル
• 様々な場所のネットワーク・アイデンティティおよびユーザ情報
• 分散したコントロール• 単一の障害の影響がない• 同種および異種システムへのリンク
Linkage of Trust Domains
.com .com.com.com
.com.com
.com .com.com.com
.com.com.com .com
.com.com
.com.com
Bank ATMNetwork A
Bank ATMNetwork B
Bank ATMNetwork C
Bank AATM Card
Bank BATM Card
Bank CATM Card
Individual Accounts withMany Web Sites
.com
.com
.com
Bank AATM Card
Bank BATM Card
Bank CATM Card
Federated Accounts withinTrust Domain
.com
.com
.com
.com
.com
.com
Bank ATMNetwork A
Bank ATMNetwork B
Bank ATMNetwork C
A Lesson in Value- ATM Networks
Separate Cards withEach Bank
Linked Cards within BankNetworks
Seamless Access Across allNetworks
There are a number of approaches inuse today
Treasury Debt
EquityCommercialBanking
CreditClearingHouse
B2B – Financial Services
Suppliers Dealers
TransportAgenciesManufacturers
FinancingFleet
B2B - Automotive
Car Rental Hotel
PartnerAirlinesAirline
LiveryCruiseLine
B2C – Travel Industry
401k 3d PartyProviders
EmployeePurchase
Plans
DentalInsurance
Health Insurance
CompanyIntranet
B2E – EmployeeIntranet
There is Business Value in Network Identity
Libertyのソリューションのソリューションのソリューションのソリューション-フェィズごとのアプローチ-フェィズごとのアプローチ-フェィズごとのアプローチ-フェィズごとのアプローチ
� 迅速な受信および配信をサポート迅速な受信および配信をサポート迅速な受信および配信をサポート迅速な受信および配信をサポート
� 相互に組み込まれるフェイズ相互に組み込まれるフェイズ相互に組み込まれるフェイズ相互に組み込まれるフェイズ• 拡張・拡大が可能拡張・拡大が可能拡張・拡大が可能拡張・拡大が可能
• 認証に基づいた属性共有
• コア・アイデンティティ・プロフィール・サービス向けのスキーマ/プロトコル
• 事業協定によってバージョン1.0で
作られた認証ドメインに対応できる
簡素化されたサインオン
• 個人情報/アカウントを連携する
権限の委任
Phase 2(2003年年年年4月月月月15日 ドラフト発表日 ドラフト発表日 ドラフト発表日 ドラフト発表)
Phase 1(2002年年年年7月月月月15日 発表日 発表日 発表日 発表)
• 連邦型ネットワーク認証
• 事業協定によって作られた認証領域
内の自由に選択できるアカウント・リ
ンクおよび簡素化されたサインオン
• すべての機能および仕様に対応でき
るセキュリティ
Liberty は予定通りに進行は予定通りに進行は予定通りに進行は予定通りに進行 www.projectliberty.org
Liberty Solution- Modular Architecture
The Liberty architecture is composed of modules that can be implementedindependent of each other and is based on a foundation of open industrystandards foundation of open
XML-DSIGSOAPSSL/TLSWAP XML
Liberty Identity Services Interface Specifications (ID-SIS)
Liberty IdentityFederation
Framework (ID-FF)
Liberty Identity Web Services Framework (ID-WSF)
Enables identity federationand management through
features such asidentity/account linkage,simplified sign on, and
simple sessionmanagement
The schema, and instantiation of the technical implementation asdefined by ID-WSF, to provide for interoperable identity servicessuch as personal identity profile service, alert service, calendarservice, wallet service, contacts service, geo-location service,
presence service and so on.
This module will provide the framework for buildinginteroperable identity services, permission basedattribute sharing, identity service description anddiscovery, and the associated security profiles
SAML HTTP XML EncWSDLWSS
Liberty ソリューションソリューションソリューションソリューション- アーキテクチャ・コンポーネントアーキテクチャ・コンポーネントアーキテクチャ・コンポーネントアーキテクチャ・コンポーネント
Meta data 1.2AuthN Context 1.2SAML
XML-DSIGSOAP
HTTP
SSL/TLSWAP
ID-FF 1.2
XML
Standards
ID-FF Protocols and Schemas 1.2
XML Enc WSDL …
IdentityServicesTemplates
Web ServicesBindings &Profiles
Reverse HTTPBinding 1.0WSS SOAP AuthN
Service 1.0
ID-WSF 1.0 ID-SIS
ID-FF Bindings and Profiles 1.2
ID-P
erso
nal
Prof
ile …
Future
Core IdentityServicesProtocols
Liberty Identity Services Interface Specifications (ID-SIS)Liberty Identity Federation
Framework (ID-FF)
ID-WSF Discovery Service 1.0
ID-WSF Security Profiles 1.0
ID-WSF SOAP Binding 1.0
…
ID-WSF ClientProfiles 1.0
ID-WSF Data Services Template 1.0
ID-WSF InteractionService 1.0
…
…
Liberty Identity Web Services Framework (ID-WSF)
… …
稼動中の稼動中の稼動中の稼動中のLiberty- B2C シナリオシナリオシナリオシナリオ
MyPortal.com個人情報認証プロバイダ
個人情報サービス個人情報サービス個人情報サービス個人情報サービス
1. ユーザ・アクセス・サイト
2. ユーザが確認される
4. サービスプロバイダ がSMS認証を行なう
AuctionWatch.comサービス・プロバイダ
MyProfile.com個人情報認証プロバイダ
PacBell.comサービス・プロバイダ
3. ユーザ・アクセス・サイト
6. サービス・プロバイダがモバイル利用者へSMS信号を送信
5. サービスプロバ
イダが
モバイル
利用者の操作を
得る
6. オペレータがユーザにSMS信号を送信
Webサービス
稼動中の稼動中の稼動中の稼動中のLiberty- B2B シナリオシナリオシナリオシナリオ
manufacturer.com識別プロバイダ
発送
OrderMgt.comサービス・プロバイダ
買掛金管理
在庫
5. 在庫レベルへのクエリ、
製品の割り当て
6. オーダーの通知およ
び処理
7. 発注の登録、 納品開始
partner.comサービス・プロバイダ
従業員認証サー従業員認証サー従業員認証サー従業員認証サービスビスビスビス
1. マネージメント・ポータルからの注文l
2. ユーザが認証され
る
3.役割情報が検索される
4. 発注
Webサービス
産業界における産業界における産業界における産業界におけるLibertyLibertyLibertyLibertyの役割の役割の役割の役割
オープンな技術仕様で、フェデレーション型ネットワーク認証でオープンスタンダードを確立 :
– 広範囲な認証製品・サービスをサポート
– アカウントフェデレーションを通じて、消費者が個人情報提供者およびアカウントへのリンクを選択できる
– あらゆるネットワーク・サービスの接続およびデバイスから簡単なサインオンを実現
– 企業の新しい収入およびコスト節約の機会を提供
– 企業が経済的に顧客、ビジネス・パートナー、従業員との関係を築ける
– Eコマース(電子商取引)の容易な改善
アライアンス・メンバーアライアンス・メンバーアライアンス・メンバーアライアンス・メンバー
現在、計現在、計現在、計現在、計10101010億人の顧客を持つ億人の顧客を持つ億人の顧客を持つ億人の顧客を持つ160160160160以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織が、アライアンス・が、アライアンス・が、アライアンス・が、アライアンス・メンバーですメンバーですメンバーですメンバーです
* アライアンス・メンバーの一部
Liberty Alliance Project Liberty Alliance Project Liberty Alliance Project Liberty Alliance Project 組織図組織図組織図組織図
取締役会取締役会取締役会取締役会
パブリック・ポリシーパブリック・ポリシーパブリック・ポリシーパブリック・ポリシー専門グループ専門グループ専門グループ専門グループ
マーケティングマーケティングマーケティングマーケティング専門グループ専門グループ専門グループ専門グループ
テクノロジーテクノロジーテクノロジーテクノロジー専門グループ専門グループ専門グループ専門グループ
• プライバシー、セキュリプライバシー、セキュリプライバシー、セキュリプライバシー、セキュリティ、その他のパブリッティ、その他のパブリッティ、その他のパブリッティ、その他のパブリック・ポリシーへの助言ク・ポリシーへの助言ク・ポリシーへの助言ク・ポリシーへの助言
• 民間グループと政府機民間グループと政府機民間グループと政府機民間グループと政府機
関へのリエゾン(連絡)関へのリエゾン(連絡)関へのリエゾン(連絡)関へのリエゾン(連絡)
• 技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエンジニアリング必要条件ンジニアリング必要条件ンジニアリング必要条件ンジニアリング必要条件を開発を開発を開発を開発
• 技術仕様を開発技術仕様を開発技術仕様を開発技術仕様を開発
• 相互運用相互運用相互運用相互運用
• 市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件と事例を開発と事例を開発と事例を開発と事例を開発
• メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関係、マーケティング・コミ係、マーケティング・コミ係、マーケティング・コミ係、マーケティング・コミュニケーションを担当ュニケーションを担当ュニケーションを担当ュニケーションを担当
• 導入導入導入導入
• 16161616の創設スポンサーから成るの創設スポンサーから成るの創設スポンサーから成るの創設スポンサーから成る• 全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ
• 仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限
HPががががLibertyに投資する理由に投資する理由に投資する理由に投資する理由
� 主要顧客の多くと協力し、共通したアプローチで市場の標準化を推進– ボーダフォン、ノキア、GM、アメリカン・エキスプレス、その他
– HP IceWall SSO: 顧客の要求に直接応じる
� クライアントにガイダンスを提供– 世界で展開するHP Consulting のWorldwide Security Consulting
Practice
� 多くの大規模セキュリティ・ベンダと協力し、パートナーシップを拡大– ベリサイン、RSA、 Netegrity、 他
– 例: Mobile Services Delivery Platformに組み込む
リバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘い
� リバティ・アライアンスはセキュアに個人情報を守り、Webサービスのユーザ情報管理を実現するデファクト技術ソリューションです。
� すべてのWebサービスアプリケーションは、このリバティ・アライアンス・アイデンティティ管理を必要としています。
� Webサービスのユーザ情報管理でリードするため、リバティ・アライアンスへの参画をお待ちしております。
www.projectliberty.org
日本日本日本日本HPが提供するが提供するが提供するが提供する
リバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューション
※hp IceWall SSO はリバティ・アライアンス技術仕様バージョン1.1に完全対応したソリューションです。
※hp IceWall SSOは、そのセキュリティ、スケーラビ
リティ、信頼性から多くのお客様のご支持を頂き、国内で通信、金融機関を中心に1000万以上のユー
ザーライセンス販売実績を持っています。特に損保業界においては、ほぼデファクト・スタンダードとして使用されているシングル・サインオン(SSO)製品です。
※hp IceWall SSOはhp社のリバティ・アライアンス対
応製品として、世界に発表しております。(右図)
http://www.jpn.hp.com/go/icewallhttp://www.hp.com/jpjpjpjp/libertylibertylibertyliberty