第3回 OpenID/SAMLのつなぎ方とその課題
日本電信電話株式会社
NTT情報流通プラットフォーム研究所
伊藤 宏樹
2010/1/22
相互運用を考える上でのポイント
今回は、OpenIDとSAMLとを相互連携させるユースケースを2例紹介しました。このユースケースを実現するために、どのような点が課題となるでしょうか。
●異なる認証コンテキストをどう変換するか?
各項で述べたように、OpenIDとSAMLとでは認証結果の記述ポリシーが異なります。
OpenID PAPEでは「多要素認証を行うこと」「フィッシング対策を施すこと」といったことは定義されていますが、厳密にどの認証手段を使うかは規定しません。しかし、OpenID OPから通知される認証結果の信頼度を、これらの必要な手段をOPが講じているか否かの結果を通知することをRPは要求できます。また、認証結果の保障レベルを記述した外部の技術標準を参照、要求できます。これは例えば、サイト内でユーザーの住所、氏名などの情報を閲覧、変更するために必要なレベルの認証、といった要件をOPに要求できます。
これに対し、SAMLでは「ID、パスワードで行う」「クライアント証明書で行う」「OTPで行う」など、厳密に認証手段(あるいはその組み合わせ)を要求できます。SAML SPが運営ポリシー上、特定の方式による認証結果を必要としている際に有効でしょう。また、SAMLでも認証結果の保障レベルの記述方式を拡張仕様として規定するよう、現在、策定作業が続けられています。
「認証結果の保障レベル」という観点では、OpenIDによる認証結果と、SAMLによる認証結果の間で、読み替えによる相互運用を可能にするよう、取り組みが行われていますが、それ以外の認証コンテキストに関しては、今後の課題です。
●「ユーザーID」に対するポリシーの差異
OpenIDとSAMLとでは、ユーザーを特定するID(Identifier)に対する考え方が異なります。OpenIDではOPが発行するユーザーIDをグローバルに利用する前提で、URL形式で記述し、基本的にはそのIDを提供させたい(そのOPを使って認証させたい)すべてのサイトで同じユーザーIDを利用します。
これに対し、SAMLではユーザーIDは認証連携を行うIdPとSPとの間でのみ利用されるのが前提です。そのユーザーIDは、IdPが発行した値でも、SPが発行した値でも、あるいは第三者が発行した値でもよいでしょう。その値が、SAMLで連携する各サービスに共通な値でもよく、IdP、SPで利用されるユーザーIDと容易にひも付けできない匿名性を持った値でもよい、としています。余談ですが、この「匿名性を持った値」を用いることで複数アカウントの「名寄せ」防止に一定の効果があるとされています。
このようなポリシーの異なるユーザーIDを中間的なサーバが読み替えた場合、IdPやOPが予期しないサービス事業者に対し、ユーザーのアイデンティティが開示されてしまうこと、あるいはSPやRPが予期しないユーザーのアイデンティティを受け入れてしまうことが起こり得ます。方式検討においては、このようなサービス間のポリシーの整合が非常に重要になってくると考えています。
●相互運用が万能の解ではない
そう言ってしまってはおしまいですが、コンコーディアには「解けない問題」が存在しています。コンコーディアにおける議論では、そのような事柄の多くは実装で解決すべき、としています。
例えば、「グローバルでオープンなユーザーID」であるはずのOpenIDですが、サービス事業者の要件により、特定のOPのみの認証結果を受け入れる、特定のRPのみに認証結果を提供するというサービスの事例が数多く見られます。これらの事例は決して否定されるべきではないでしょう。ことID管理技術の分野においては、いまある技術仕様をいかに「使える」技術仕様としてサービスに取り込んでいくか、そして標準化に携わる者として、技術仕様が「使える」ようになるために必要な情報、アイデアを広めていくかが直近の課題だと考えています。
次回以降、このような運用上の課題を解決するためのカンターラ・イニシアティブでの取り組みについて解説します。
 |
3/3 |
| Index | |
| OpenID/SAMLのつなぎ方とその課題 | |
| Page1 OpenIDとSAMLとをつなぐ OpenID RP向けの認証をSAML IdPで行う |
|
| Page2 SAML SP向け認証をOpenID OPで行う |
|
 |
Page3 相互運用を考える上でのポイント |
| Profile |
| 伊藤 宏樹(いとう ひろき) 日本電信電話株式会社 NTT情報流通プラットフォーム研究所 技術経営修士 (MOT) Liberty Alliance、Kantara Initiative などを通じてアイデンティティ管理技術の標準化、普及活動に従事。Webサービス仕様を発端に、セキュリティ、プライバシ、相互運用条件など技術仕様のボリュームが増える度に右往左往、勉強会などを通じて地道に普及活動中。 |
 |
アイデンティティ管理の新しい教科書 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
