アイデンティティ管理の新しい教科書


第1回 「アイデンティティ管理」の周辺事情を整理しよう


日本電信電話株式会社
NTT情報流通プラットフォーム研究所
伊藤 宏樹

2009/11/5


 主要なシングルサインオン方式

 さて、ここからしばらくの間、ID管理技術の中でも特に、Webサービス間でユーザーの認証結果を共有する「シングルサインオン」について議論を深めていきたいと思います。これから「相互運用」の事例を説明する、3つの仕様群について簡単におさらいしておきます。

 
 
OpenID 個々のユーザーが持つURI、XRIをグローバルにユーザーを特定する値(ユーザーID)として利用する、オープンな認証方式。
SAMLおよび Liberty Alliance ID-WSF ●SAML
事前に信頼関係を築いたサービス間で、ID情報をセキュアに配布する、認証トークンの記述方式およびその配布方式。

●Liberty Alliance ID-WSF
事前に信頼関係を築いたサービス間でID情報を相互利用に必要な、サービス探索方式およびID情報の流通方式。
Information Card ユーザーのID情報を「カード」として可視化し、ユーザー端末上のカードセレクタと連携して動作することでユーザーによるID管理を簡素化する方式、およびサービス間でID情報をセキュアに配布する方式。
表3 主要ID管理技術

 これらの技術標準は細かい部分で多少の差はありますが、基本的には「認証を依頼するサービス」と「認証を実施するサービス」との間で、ユーザーのアイデンティティを通知する方式(図2)であることに変わりはありません。

図2 シングルサインオンの基本的な手順

 ID管理「技術標準」の普及

 皆さんご存じの通り、コンシューマ向けのシングルサインオン方式としてOpenIDが一般的になりつつあります。また、エンタープライズ向けには Google AppsやSalesforce.comなど、SAMLが浸透してきています。また、Information Card のマイクロソフトによるWindows向け実装であるWindows CardSpaceはこれまで“Geneva”のコードネームで開発が進められてきましたが、2009年7月13日に正式名称が公開され、今後の動向が注目されています。

 これら、ID管理に関する技術標準の普及以前にはブラウザベースの認証APIが乱立していた時期もありましたが、現在はOpenID、SAMLのいずれかの方式に収束する方向で推移しています。特に、グローバルな動きではFacebookがOpenIDを採用したことで、「独自認証API vs. ID連携技術標準」の構図に終止符が打たれた感はあります。

 ところで、ID管理の導入に際して各ウェブサイトはOpenIDか、SAMLかの選択を迫られているわけではありません。例えば、ライブドアはOpenID の認証サーバ(OpenID Provider)機能を提供している一方で、livedoor MailをホストするGoogle AppsとのシングルサインオンにはSAMLを使っているため、SAMLの認証サーバ(SAML Identity Provider)機能も提供しています。このように、複数のシングルサインオン方式に対応したウェブサイトも少なくありません。今後、ほかのウェブサイトのユーザー・アイデンティティを活用したサービスの高度化するに従い、さまざまなID管理技術に対応したアプリケーションが必要となることが想定されます。

2/3

Index
「アイデンティティ管理」の周辺事情を整理しよう
  Page1
ID管理って何だったっけ?
“identity”と“identifier”の違いから知るID管理
ID管理の3要素
Page2
主要なシングルサインオン方式
ID管理「技術標準」の普及
  Page3
仕様の一本化か、相互運用か


アイデンティティ管理の新しい教科書 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間