Liberty Alliance Project :

Webサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャサービス・アプリケーション・アーキテクチャ

へ与えるインパクトへ与えるインパクトへ与えるインパクトへ与えるインパクト

Jason Rouault/Hewlett-PackardChairman, Liberty Alliance Technology Expert Group

本日の議題本日の議題本日の議題本日の議題

� アーキテクトが直面しているビジネスの課題

� アプローチ方法

� Liberty Allianceの問題への取り組み

� 事例: 連携認証およびwebサービスの実際

� ベネフィット

WebWebWebWebサービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証

Webサービスは統合アプリケーション向けに新しい仕様を提供企業にWebサービスのセキュリティについて全く新しい考え方を提案

XML-DSIG

SOAP

SSL/TLSWAP

XML

SAMLHTTP XML Enc

WSDL

WSS

UDDI

アプリケーション1

アプリケーション2

アプリケーション3

ドメイン 1 ドメイン 2ユーザ認証

Invoker（発動者）の認証

仲介者の認証

信頼できるサードパーティ認証

WebWebWebWebサービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証サービス、セキュリティ、認証

　企業が革新的な　企業が革新的な　企業が革新的な　企業が革新的なWebWebWebWebサービスを計画する際にサービスを計画する際にサービスを計画する際にサービスを計画する際に

　直面する問題　直面する問題　直面する問題　直面する問題 :– 認証管理技術製品の間で相互運用性がない

– 企業が個人情報および多様なWebサービスに関わる機密事項の管理に対する標準技術およびベストプラクティスがない

– 企業が個人情報を消費者および他のエンドユーザから守る、認証管理モデルがない(集中モデル型のセキュリティの危険性を軽減する)

– 大切な顧客のプライバシーを守り、多種多様なプライバシー規則に対応するベスト・プラクティスを確立した産業がない

Liberty Allianceは、安全かつ相互運用可能な認証に基づくWebサービスを運営できる革新的なフレームワークにより問題を解決します。

いくつのパスワードといくつのパスワードといくつのパスワードといくつのパスワードとEEEEメールメールメールメールアドレスをお持ちですか？アドレスをお持ちですか？アドレスをお持ちですか？アドレスをお持ちですか？

1

様々な個人情報が分離し様々な個人情報が分離し様々な個人情報が分離し様々な個人情報が分離したインターネット・サイトにたインターネット・サイトにたインターネット・サイトにたインターネット・サイトに

散在している散在している散在している散在している

• ユーザーネーム: Jason Rouault• Email: jrouault48@freemail.com• PIN: wcs@foobar.com

• クレジットカード番号• 社会保険番号• 運転免許書• パスポート番号

• 娯楽趣味• 興味• 従業員 認証

• ビジネスカレンダー• レストラン情報• 学歴• 病歴• 資産…

問題問題問題問題 例えば

すべての認証情報を維持するにはすべての認証情報を維持するにはすべての認証情報を維持するにはすべての認証情報を維持するにはコストが発生コストが発生コストが発生コストが発生

1

様々な個人情報は分離し様々な個人情報は分離し様々な個人情報は分離し様々な個人情報は分離したインターネット・サイトのたインターネット・サイトのたインターネット・サイトのたインターネット・サイトの中に散在中に散在中に散在中に散在

• ユーザにとって不便で面倒ユーザにとって不便で面倒ユーザにとって不便で面倒ユーザにとって不便で面倒

• 市販の認証サービスは、市販の認証サービスは、市販の認証サービスは、市販の認証サービスは、• 開発および導入が難しい開発および導入が難しい開発および導入が難しい開発および導入が難しい

• 異種システムへの連続的な再異種システムへの連続的な再異種システムへの連続的な再異種システムへの連続的な再認証認証認証認証

従業員を管理しているすべての企業でも同じ

ユーザ承認

ビジネスごとに異なる

維持費が高い

連邦型認証にアプローチする連邦型認証にアプローチする連邦型認証にアプローチする連邦型認証にアプローチするLiberty Project

ProviderProvider

Provider

Provider

Provider

Provider

Central Provider

集中型モデル集中型モデル集中型モデル集中型モデル

• 単一リポジトリの中のネットワーク・アイデンティティおよびユーザ情報

• コントロールが集中• 単一の障害がシステム全体に影響• 同種システムへのリンク

オープンな連邦型モデルオープンな連邦型モデルオープンな連邦型モデルオープンな連邦型モデル

• 様々な場所のネットワーク・アイデンティティおよびユーザ情報

• 分散したコントロール• 単一の障害の影響がない• 同種および異種システムへのリンク

Linkage of Trust Domains

.com .com.com.com

.com.com

.com .com.com.com

.com.com.com .com

.com.com

.com.com

Bank ATMNetwork A

Bank ATMNetwork B

Bank ATMNetwork C

Bank AATM Card

Bank BATM Card

Bank CATM Card

Individual Accounts withMany Web Sites

.com

.com

.com

Bank AATM Card

Bank BATM Card

Bank CATM Card

Federated Accounts withinTrust Domain

.com

.com

.com

.com

.com

.com

Bank ATMNetwork A

Bank ATMNetwork B

Bank ATMNetwork C

A Lesson in Value- ATM Networks

Separate Cards withEach Bank

Linked Cards within BankNetworks

Seamless Access Across allNetworks

There are a number of approaches inuse today

Treasury Debt

EquityCommercialBanking

CreditClearingHouse

B2B – Financial Services

Suppliers Dealers

TransportAgenciesManufacturers

FinancingFleet

B2B - Automotive

Car Rental Hotel

PartnerAirlinesAirline

LiveryCruiseLine

B2C – Travel Industry

401k 3d PartyProviders

EmployeePurchase

Plans

DentalInsurance

Health Insurance

CompanyIntranet

B2E – EmployeeIntranet

There is Business Value in Network Identity

Libertyのソリューションのソリューションのソリューションのソリューション－フェィズごとのアプローチ－フェィズごとのアプローチ－フェィズごとのアプローチ－フェィズごとのアプローチ

� 迅速な受信および配信をサポート迅速な受信および配信をサポート迅速な受信および配信をサポート迅速な受信および配信をサポート

� 相互に組み込まれるフェイズ相互に組み込まれるフェイズ相互に組み込まれるフェイズ相互に組み込まれるフェイズ• 拡張・拡大が可能拡張・拡大が可能拡張・拡大が可能拡張・拡大が可能

• 認証に基づいた属性共有

• コア・アイデンティティ・プロフィール・サービス向けのスキーマ/プロトコル

• 事業協定によってバージョン1.0で

作られた認証ドメインに対応できる

簡素化されたサインオン

• 個人情報／アカウントを連携する

権限の委任

Phase 2(2003年年年年4月月月月15日　ドラフト発表日　ドラフト発表日　ドラフト発表日　ドラフト発表)

Phase 1(2002年年年年7月月月月15日　発表日　発表日　発表日　発表)

• 連邦型ネットワーク認証

• 事業協定によって作られた認証領域

内の自由に選択できるアカウント・リ

ンクおよび簡素化されたサインオン

• すべての機能および仕様に対応でき

るセキュリティ

Liberty は予定通りに進行は予定通りに進行は予定通りに進行は予定通りに進行 www.projectliberty.org

Liberty Solution- Modular Architecture

The Liberty architecture is composed of modules that can be implementedindependent of each other and is based on a foundation of open industrystandards foundation of open

XML-DSIGSOAPSSL/TLSWAP XML

Liberty Identity Services Interface Specifications (ID-SIS)

Liberty IdentityFederation

Framework (ID-FF)

Liberty Identity Web Services Framework (ID-WSF)

Enables identity federationand management through

features such asidentity/account linkage,simplified sign on, and

simple sessionmanagement

The schema, and instantiation of the technical implementation asdefined by ID-WSF, to provide for interoperable identity servicessuch as personal identity profile service, alert service, calendarservice, wallet service, contacts service, geo-location service,

presence service and so on.

This module will provide the framework for buildinginteroperable identity services, permission basedattribute sharing, identity service description anddiscovery, and the associated security profiles

SAML HTTP XML EncWSDLWSS

Liberty ソリューションソリューションソリューションソリューション- アーキテクチャ・コンポーネントアーキテクチャ・コンポーネントアーキテクチャ・コンポーネントアーキテクチャ・コンポーネント

Meta data 1.2AuthN Context 1.2SAML

XML-DSIGSOAP

HTTP

SSL/TLSWAP

ID-FF 1.2

XML

Standards

ID-FF Protocols and Schemas 1.2

XML Enc WSDL …

IdentityServicesTemplates

Web ServicesBindings &Profiles

Reverse HTTPBinding 1.0WSS SOAP AuthN

Service 1.0

ID-WSF 1.0 ID-SIS

ID-FF Bindings and Profiles 1.2

ID-P

erso

nal

Prof

ile …

Future

Core IdentityServicesProtocols

Liberty Identity Services Interface Specifications (ID-SIS)Liberty Identity Federation

Framework (ID-FF)

ID-WSF Discovery Service 1.0

ID-WSF Security Profiles 1.0

ID-WSF SOAP Binding 1.0

…

ID-WSF ClientProfiles 1.0

ID-WSF Data Services Template 1.0

ID-WSF InteractionService 1.0

…

…

Liberty Identity Web Services Framework (ID-WSF)

… …

稼動中の稼動中の稼動中の稼動中のLiberty- B2C シナリオシナリオシナリオシナリオ

MyPortal.com個人情報認証プロバイダ

個人情報サービス個人情報サービス個人情報サービス個人情報サービス

1. ユーザ・アクセス・サイト

2. ユーザが確認される

4. サービスプロバイダ がSMS認証を行なう

AuctionWatch.comサービス・プロバイダ

MyProfile.com個人情報認証プロバイダ

PacBell.comサービス・プロバイダ

3. ユーザ・アクセス・サイト

6. サービス・プロバイダがモバイル利用者へSMS信号を送信

5. サービスプロバ

イダが

モバイル

利用者の操作を

得る

6. オペレータがユーザにSMS信号を送信

Webサービス

稼動中の稼動中の稼動中の稼動中のLiberty- B2B シナリオシナリオシナリオシナリオ

manufacturer.com識別プロバイダ

発送

OrderMgt.comサービス・プロバイダ

買掛金管理

在庫

5. 在庫レベルへのクエリ、

製品の割り当て

6. オーダーの通知およ

び処理

7. 発注の登録、 納品開始

partner.comサービス・プロバイダ

従業員認証サー従業員認証サー従業員認証サー従業員認証サービスビスビスビス

1. マネージメント・ポータルからの注文l

2. ユーザが認証され

る

3.役割情報が検索される

4. 発注

Webサービス

産業界における産業界における産業界における産業界におけるLibertyLibertyLibertyLibertyの役割の役割の役割の役割

オープンな技術仕様で、フェデレーション型ネットワーク認証でオープンスタンダードを確立 :

– 広範囲な認証製品・サービスをサポート

– アカウントフェデレーションを通じて、消費者が個人情報提供者およびアカウントへのリンクを選択できる

– あらゆるネットワーク・サービスの接続およびデバイスから簡単なサインオンを実現

– 企業の新しい収入およびコスト節約の機会を提供

– 企業が経済的に顧客、ビジネス・パートナー、従業員との関係を築ける

– Eコマース（電子商取引）の容易な改善

アライアンス・メンバーアライアンス・メンバーアライアンス・メンバーアライアンス・メンバー

現在、計現在、計現在、計現在、計10101010億人の顧客を持つ億人の顧客を持つ億人の顧客を持つ億人の顧客を持つ160160160160以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織以上の営利団体、非営利団体、政府組織が、アライアンス・が、アライアンス・が、アライアンス・が、アライアンス・メンバーですメンバーですメンバーですメンバーです

* アライアンス・メンバーの一部

Liberty Alliance Project Liberty Alliance Project Liberty Alliance Project Liberty Alliance Project 組織図組織図組織図組織図

取締役会取締役会取締役会取締役会

パブリック・ポリシーパブリック・ポリシーパブリック・ポリシーパブリック・ポリシー専門グループ専門グループ専門グループ専門グループ

マーケティングマーケティングマーケティングマーケティング専門グループ専門グループ専門グループ専門グループ

テクノロジーテクノロジーテクノロジーテクノロジー専門グループ専門グループ専門グループ専門グループ

• プライバシー、セキュリプライバシー、セキュリプライバシー、セキュリプライバシー、セキュリティ、その他のパブリッティ、その他のパブリッティ、その他のパブリッティ、その他のパブリック・ポリシーへの助言ク・ポリシーへの助言ク・ポリシーへの助言ク・ポリシーへの助言

• 民間グループと政府機民間グループと政府機民間グループと政府機民間グループと政府機

関へのリエゾン（連絡）関へのリエゾン（連絡）関へのリエゾン（連絡）関へのリエゾン（連絡）

• 技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエンジニアリング必要条件ンジニアリング必要条件ンジニアリング必要条件ンジニアリング必要条件を開発を開発を開発を開発

• 技術仕様を開発技術仕様を開発技術仕様を開発技術仕様を開発

• 相互運用相互運用相互運用相互運用

• 市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件と事例を開発と事例を開発と事例を開発と事例を開発

• メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関係、マーケティング・コミ係、マーケティング・コミ係、マーケティング・コミ係、マーケティング・コミュニケーションを担当ュニケーションを担当ュニケーションを担当ュニケーションを担当

• 導入導入導入導入

• 16161616の創設スポンサーから成るの創設スポンサーから成るの創設スポンサーから成るの創設スポンサーから成る• 全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ

• 仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限

HPががががLibertyに投資する理由に投資する理由に投資する理由に投資する理由

� 主要顧客の多くと協力し、共通したアプローチで市場の標準化を推進– ボーダフォン、ノキア、GM、アメリカン・エキスプレス、その他

– HP IceWall SSO: 顧客の要求に直接応じる

� クライアントにガイダンスを提供– 世界で展開するHP Consulting のWorldwide Security Consulting

Practice

� 多くの大規模セキュリティ・ベンダと協力し、パートナーシップを拡大– ベリサイン、RSA、 Netegrity、 他

– 例: Mobile Services Delivery Platformに組み込む

リバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘いリバティ・アライアンスへのお誘い

� リバティ・アライアンスはセキュアに個人情報を守り、Webサービスのユーザ情報管理を実現するデファクト技術ソリューションです。

� すべてのWebサービスアプリケーションは、このリバティ・アライアンス・アイデンティティ管理を必要としています。

� Webサービスのユーザ情報管理でリードするため、リバティ・アライアンスへの参画をお待ちしております。

www.projectliberty.org

Q&A

For more information:

jason.rouault@hp.com

www.projectliberty.org

日本日本日本日本HPが提供するが提供するが提供するが提供する

リバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューションリバティ・アライアンス対応ソリューション

※hp IceWall SSO はリバティ・アライアンス技術仕様バージョン1.1に完全対応したソリューションです。

※hp IceWall SSOは、そのセキュリティ、スケーラビ

リティ、信頼性から多くのお客様のご支持を頂き、国内で通信、金融機関を中心に1000万以上のユー

ザーライセンス販売実績を持っています。特に損保業界においては、ほぼデファクト・スタンダードとして使用されているシングル・サインオン(SSO)製品です。

※hp IceWall SSOはhp社のリバティ・アライアンス対

応製品として、世界に発表しております。（右図）

http://www.jpn.hp.com/go/icewallhttp://www.hp.com/ｊｐｊｐｊｐｊｐ/ｌｉｂｅｒｔｙｌｉｂｅｒｔｙｌｉｂｅｒｔｙｌｉｂｅｒｔｙ