アイデンティティ管理の新しい教科書


第2回 ID管理技術をつなぐ女神、コンコーディア


日本電信電話株式会社
NTT情報流通プラットフォーム研究所
伊藤 宏樹

2009/12/22


 1.同じ目的を満たす2方式を相互運用させる場合

●構成1-1.

 サーバAがサーバBに対し、ある要求(例えば認証)を方式Aで行った際に、(サーバBではサーバAの要求を満たせない等の理由で)サーバBはサーバCに対し、同種の要求を方式Bで行う。サーバBはサーバCの応答をもとにサーバAに応答する(図2)。

図2 サーバ間の依存関係例(構成1-1)

 2.異なる目的を満たす2方式を相互運用させる場合

●構成2-1.

 サーバAがサーバBに対し、複数のサービス(例えば方式Aによる認証、方式Bによる認可)を同時に要求する(図3)。

図3 サーバ間の依存関係例(構成2-1)

●構成2-2.

 サーバAがサーバBに対しあるサービス(例えば方式Aによる認証)を要求するとともに、サーバBはサーバAに対し、別のサービス(例えば方式Bによる認可)を同時に要求する(図4)。

図4 サーバ間の依存関係例(構成2-2)

 「プロキシモデル」と「ハイブリッドモデル」

 構成1-1(図2)は3つのサーバのうち、1個のサーバが異なる方式を接続する際の要求/応答メッセージを相互変換する役割を担うことから「プロキシモデル」、構成2-1(図3)および構成2-2(図4)はサーバ間で交換されるメッセージ上で複数の仕様の要求/応答メッセージがまとめられることから「ハイブリッドモデル」と呼びます。

 プロキシモデルは「不足するリソースをほかのサービスから取得する」ことを前提に、同じ目的を達成する、複数のID連携方式の相互接続が必要となるケースで主に用いられます。また、ハイブリッドモデルは「各サービスの重複するトランザクションを1つにまとめる」ことを前提に、異なる目的を達成する、複数のID連携方式の相互接続が必要となるケースで主に用いられます。

 これらの取り組みは、コンコーディア以外でもなされています。前者の例はSAMLにおいて複数の認証サーバ間で認証結果を中継する“Proxying Processing Rules”が、後者の例はOpenIDとOAuthとを連携させた拡張仕様、”OpenID and OAuth Hybrid Extension” が該当します。

 次回は、コンコーディアにおける検討の一例として、OpenIDとSAMLとの相互接続方式とその課題について解説します。

3/3

Index
ID管理技術をつなぐ女神、コンコーディア
  Page1
コンコーディアとカンターラ・イニシアティブ
  Page2
すべての出発点“The Venn of Identity”
ID管理方式の「相互運用」という考え方
Page3
1.同じ目的を満たす2方式を相互運用させる場合
2.異なる目的を満たす2方式を相互運用させる場合
「プロキシモデル」と「ハイブリッドモデル」

Profile
伊藤 宏樹(いとう ひろき)

日本電信電話株式会社
NTT情報流通プラットフォーム研究所
技術経営修士 (MOT)

Liberty Alliance、Kantara Initiative などを通じてアイデンティティ管理技術の標準化、普及活動に従事。Webサービス仕様を発端に、セキュリティ、プライバシ、相互運用条件など技術仕様のボリュームが増える度に右往左往、勉強会などを通じて地道に普及活動中。


アイデンティティ管理の新しい教科書 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間