Identity Technology Trend Overview, February 2009

Transcript

1. ID技術 最新動向2009 OpenID Tech Night Vol.4 Tatsuo Kudo http://tkudo.blogspot.com

2. Agenda 1. ID技術の構成要素 2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID 3.

   OpenIDの現状と将来 4. まとめ

3. Agenda 1. ID技術の構成要素 2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID 3.

   OpenIDの現状と将来 4. まとめ

4. 「アイデンティティ(ID)」情報とは? 人とサービスを結びつけるための情報 「認証」: その人がどのようにして本人であると確認されるか 「認可」: その人にどのような権限が不えられているか 「属性」: その人がどのような属性を持っているか 適切に管理することによって… 「使いたいときに使える」

   環境の実現 利用権限の無いユーザによるアクセスの禁止 シームレスなサービス連携

5. 管理・同期 アクセス管理 ID連携 ID技術を構成する要素 ID リポジトリ アプリケー ション アプリケー ション

   アプリケー ション ID リポジトリ ID リポジトリ ID リポジトリ アプリケー ション ID リポジトリ

6. 管理・同期 アクセス管理 ID連携 ID技術を構成する要素 ID管理・同期 作成、変更、削除など ID リポジトリ アプリケー ション

   アプリケー ション アプリケー ション ID リポジトリ ID リポジトリ ID リポジトリ アプリケー ション ID リポジトリ

7. 管理・同期 アクセス管理 ID連携 ID技術を構成する要素 ID管理・同期 作成、変更、削除など ID リポジトリ アプリケー ション

   アプリケー ション アプリケー ション ID リポジトリ ID リポジトリ ID リポジトリ アプリケー ション ID リポジトリ

8. 管理・同期 アクセス管理 ID連携 ID技術を構成する要素 ID管理・同期 作成、変更、削除など ID リポジトリ アプリケー ション

   アクセス管理 ユーザのアクセスの制御 アプリケー ション アプリケー ション ID リポジトリ ID リポジトリ ID リポジトリ アプリケー ション ID リポジトリ

9. 管理・同期 アクセス管理 ID連携 ID技術を構成する要素 ID管理・同期 作成、変更、削除など ID リポジトリ アプリケー ション

   アクセス管理 ユーザのアクセスの制御 アプリケー ション アプリケー ション ID リポジトリ ID リポジトリ ID リポジトリ ID連携 ドメイン間でのサービス連携 アプリケー ション ID リポジトリ

10. ID技術全般の動向 管理・同期、アクセス管理技術は成熟 技術よりも、構築手法や運用プロセスにフォーカス 近年は「ID連携」分野の技術の発展が著しい 一極集中モデルから、標準ベースの分散連携へ サービス提供者主導から、「利用者とサービスの協調」へ

11. Agenda 1. ID技術の構成要素 2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID 3.

    OpenIDの現状と将来 4. まとめ

12. ID連携のしくみ

13. ID連携のしくみ

14. ID連携のしくみ アイデンティティ・ プロバイダ (IdP)

15. ID連携のしくみ リライング・パーティ (RP) アイデンティティ・ プロバイダ (IdP)

16. ID連携のしくみ リライング・パーティ (RP) アイデンティティ・ プロバイダ (IdP) 1. サービスにアクセス 1

17. ID連携のしくみ リライング・パーティ (RP) アイデンティティ・ プロバイダ (IdP) 1. サービスにアクセス 1 2.

    ID 情報を要求 2

18. ID連携のしくみ リライング・パーティ (RP) アイデンティティ・ プロバイダ (IdP) 1. サービスにアクセス 1 3.

    ユーザ認証 (事前に IdP にログイン している場合には 通常省略される) 3 2. ID 情報を要求 2

19. ID連携のしくみ リライング・パーティ (RP) アイデンティティ・ プロバイダ (IdP) 1. サービスにアクセス 1 3.

    ユーザ認証 (事前に IdP にログイン している場合には 通常省略される) 3 2. ID 情報を要求 2 4. IdP から得た ID 情報 (認証、認可、属性) を 提示 4

20. ID連携を実現するための技術標準 3 種類の主要なフレームワーク SAML / Liberty Alliance ID-FF InfoCard (CardSpace

    など) OpenID

21. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP)

22. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

23. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

24. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) 1. サービスにアクセス 1 ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

25. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) 1. サービスにアクセス 1 2. 事前設定した IdP からの ID 情報の取得を要求 2 ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

26. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) 1. サービスにアクセス 1 3. ユーザ認証 3 2. 事前設定した IdP からの ID 情報の取得を要求 2 ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

27. サービス同士が事前の信頼関係に基づき連携 SAML / Liberty ID-FF リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP) 1. サービスにアクセス 1 3. ユーザ認証 3 2. 事前設定した IdP からの ID 情報の取得を要求 2 4. IdP から得た ID 情報を提示 4 ID情報をどこに提供 するかを事前に設定 ID情報をどこから入手 するかを事前に設定

28. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

29. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 1. サービスにアクセス 1 リライング・ パーティ (RP) アイデンティティ・ プロバイダ

    (IdP)

30. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 1. サービスにアクセス 1 2. サービスが受け入れる 「カード」 の条件を提示 2

    リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

31. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 1. サービスにアクセス 1 2. サービスが受け入れる 「カード」 の条件を提示 2

    3. ユーザが カード (ID 情報) を選択 3 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

32. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 1. サービスにアクセス 1 4. 必要に応じて カード発行者が ユーザを認証 4

    2. サービスが受け入れる 「カード」 の条件を提示 2 3. ユーザが カード (ID 情報) を選択 3 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

33. InfoCard ID情報を「カード」に見立て、ユーザがサービスに提示 1. サービスにアクセス 1 4. 必要に応じて カード発行者が ユーザを認証 4

    2. サービスが受け入れる 「カード」 の条件を提示 2 5. 条件に合致する カードを提出 5 3. ユーザが カード (ID 情報) を選択 3 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

34. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

35. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 1. サービスに「利用する IdP」 を明示してアクセス 1 リライング・ パーティ (RP)

    アイデンティティ・ プロバイダ (IdP)

36. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 1. サービスに「利用する IdP」 を明示してアクセス 1 2. RP が動的に

    信頼関係を確立 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

37. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 1. サービスに「利用する IdP」 を明示してアクセス 1 3. ユーザの指示したIdP からの

    ID 情報の取得を要求 3 2. RP が動的に 信頼関係を確立 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

38. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 1. サービスに「利用する IdP」 を明示してアクセス 1 4. ユーザ認証と ID情報の提供

    4 3. ユーザの指示したIdP からの ID 情報の取得を要求 3 2. RP が動的に 信頼関係を確立 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

39. OpenID サービス同士をどう連携させるかを「ユーザ」が決定 1. サービスに「利用する IdP」 を明示してアクセス 1 4. ユーザ認証と ID情報の提供

    4 3. ユーザの指示したIdP からの ID 情報の取得を要求 3 2. RP が動的に 信頼関係を確立 5. IdP から得た ID 情報を提示 5 リライング・ パーティ (RP) アイデンティティ・ プロバイダ (IdP)

40. OpenIDが注目されている理由 すぐ試してみることができる 「広く利用可能な OpenID 提供サイト」と、「サービスを OpenID対応にするための実装」の両方が多数存在 仕様が比較的シンプル Webアーキテクチャとの親和性が良い 一般的なブラウザで利用可能 サイト間での事前の取り決めが基本的に丌要

    ユーザの自由度が高い サービスに対して任意のIDを選択可能 同意に基づく属性連携

41. Agenda 1. ID技術の構成要素 2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID 3.

    OpenIDの現状と将来 4. まとめ

42. 大量のIDがOpenIDとして利用可能に 2008年に発行開始した 大手サイト Yahoo! (1月) ミクシィ (8月) Google (10 月)

    今年はさらに増加する 見込み Windows Live ID (現在 試験運用中) 既に5億個以上のIDがOpenID化

43. 31,000超のサイトがOpenID対応 OpenID対応サイトの多様化 カジュアルなサービスで の対応が引き続き増加 例: iKnow!、MapQuest、 カオティック・ブレイン (オンラインゲーム) シリアスなサービスでの 採用も徐々に進行中

    クレジットカード情報の提 供や医療情報へのアクセス 例: JAL、HealthVault、 Basecamp 出所：Janrain Blog: Relying Party Stats as of Jan 1st, 2009 http://blog.janrain.com/2009/01/relying-party-stats-as-of-jan-1st-2008.html Yahoo! mixi Google biglobe excite! Windows Live 2008年 livedoor

44. 重要なID情報の流通に対応する仕様 サービス間での認証ポリシーの要求・提供 PAPE (Provider Authentication Policy Extension) 例: OpenID 対応サイトが、OpenID

    提供サイトに対して、 「ユーザを多要素認証によって本人確認して下さい」 とリクエ ストできるようになる 契約に基づくID情報の提供 CX (Contract Exchange) 例: ID情報の利用目的や利用期間を、サービス同士が動的に 「契約」として定めることができるようになる

45. 日本が世界をリード OpenID ファウンデーション・ジャパン 40社を超える会員企業 幅広い会員構成 仕様策定の主導と実サービスへの適用 Trusted Data Exchange (CX

    の前身) の考案・適用 (NRI) EVSSL の採用 (ビッグローブ) PAPE、CX の策定 (NRI 他) 「メンバーシップ認証」 の考案・適用 (ミクシィ) 利用者への普及 認知率28.1%、利用率15.2% (japan.internet.com, ’08/10)

46. OpenIDと他仕様との組み合わせ OpenID と SAML との相互運用 SAML 認証コンテクストと PAPE とを相互変換 フレームワークをまたがったID連携を実現

    NRI と NTT が RSA Conference 2009 (米国) にてデモ予定 OpenID と OAuth とのハイブリッド化 互いに補完関係にあるプロトコル ▪ OpenID: ブラウザベースのID連携 ▪ OAuth: ユーザのアクセス権限を考慮したサービス連携 「ID 情報の提供」と「アクセス権限の委譲」に関するユーザの 同意確認を同時に実施

47. “Open Stack” 「アイデンティティ」はソーシャル Web の中核要素 出所： Joseph Smarr, “A New

    „Open Stack‟ – Greater Than the Sum of its Parts” http://josephsmarr.com/papers/Smarr-IIW2008b.ppt

48. “Open Stack” 「アイデンティティ」はソーシャル Web の中核要素 出所： Joseph Smarr, “A New

    „Open Stack‟ – Greater Than the Sum of its Parts” http://josephsmarr.com/papers/Smarr-IIW2008b.ppt XRD

49. Agenda 1. ID技術の構成要素 2. ID連携仕様: SAML/Liberty ID-FF, InfoCard, OpenID 3.

    OpenIDの現状と将来 4. まとめ

50. まとめ ID連携技術は急速に発展・普及している SAML/Liberty ID-FF, InfoCard, OpenID OpenIDがその発展・普及を促進している 導入分野の拡大 仕様の充実 相互運用の中心

    2009年はOpenIDが「人とサービスとの協調」を実現する ユーザの意思をサービスに反映させるための基盤 実ビジネスへの適用拡大、社会基盤化への期待

51. Thanks!