第2回 ID管理技術をつなぐ女神、コンコーディア

日本電信電話株式会社
NTT情報流通プラットフォーム研究所
伊藤 宏樹
2009/12/22

　1．同じ目的を満たす2方式を相互運用させる場合

●構成1-1．

　サーバAがサーバBに対し、ある要求（例えば認証）を方式Aで行った際に、（サーバBではサーバAの要求を満たせない等の理由で）サーバBはサーバCに対し、同種の要求を方式Bで行う。サーバBはサーバCの応答をもとにサーバAに応答する（図2）。

図2　サーバ間の依存関係例（構成1-1）

　2．異なる目的を満たす2方式を相互運用させる場合

●構成2-1．

　サーバAがサーバBに対し、複数のサービス（例えば方式Aによる認証、方式Bによる認可）を同時に要求する（図3）。

図3　サーバ間の依存関係例（構成2-1）

●構成2-2．

　サーバAがサーバBに対しあるサービス（例えば方式Aによる認証）を要求するとともに、サーバBはサーバAに対し、別のサービス（例えば方式Bによる認可）を同時に要求する（図4）。

図4　サーバ間の依存関係例（構成2-2）

　「プロキシモデル」と「ハイブリッドモデル」

　構成1-1（図2）は3つのサーバのうち、1個のサーバが異なる方式を接続する際の要求／応答メッセージを相互変換する役割を担うことから「プロキシモデル」、構成2-1（図3）および構成2-2（図4）はサーバ間で交換されるメッセージ上で複数の仕様の要求／応答メッセージがまとめられることから「ハイブリッドモデル」と呼びます。

　プロキシモデルは「不足するリソースをほかのサービスから取得する」ことを前提に、同じ目的を達成する、複数のID連携方式の相互接続が必要となるケースで主に用いられます。また、ハイブリッドモデルは「各サービスの重複するトランザクションを1つにまとめる」ことを前提に、異なる目的を達成する、複数のID連携方式の相互接続が必要となるケースで主に用いられます。

　これらの取り組みは、コンコーディア以外でもなされています。前者の例はSAMLにおいて複数の認証サーバ間で認証結果を中継する“Proxying Processing Rules”が、後者の例はOpenIDとOAuthとを連携させた拡張仕様、”OpenID and OAuth Hybrid Extension” が該当します。

　次回は、コンコーディアにおける検討の一例として、OpenIDとSAMLとの相互接続方式とその課題について解説します。

3/3

Index
ID管理技術をつなぐ女神、コンコーディア
	Page1 コンコーディアとカンターラ・イニシアティブ
	Page2 すべての出発点“The Venn of Identity” ID管理方式の「相互運用」という考え方
	Page3 1．同じ目的を満たす2方式を相互運用させる場合 2．異なる目的を満たす2方式を相互運用させる場合 「プロキシモデル」と「ハイブリッドモデル」

Profile

伊藤 宏樹（いとう ひろき） 日本電信電話株式会社 NTT情報流通プラットフォーム研究所 技術経営修士 (MOT) Liberty Alliance、Kantara Initiative などを通じてアイデンティティ管理技術の標準化、普及活動に従事。Webサービス仕様を発端に、セキュリティ、プライバシ、相互運用条件など技術仕様のボリュームが増える度に右往左往、勉強会などを通じて地道に普及活動中。

アイデンティティ管理の新しい教科書 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）