|
社内システムのWebサイトにアクセスする時に、ユーザーIDやパスワードの入力といった認証を必要とする仕組みを導入する企業が増えております。これは、認証されたものだけしか情報にアクセスできないようにするという情報漏えい対策として、Webサイトのセキュリティ機能を強化した結果といえるでしょう。ただし、これを全社の各Webサイトのシステム導入するとなると、各サイトごとにユーザーID、パスワードの入力が要求されることになり、その都度、ユーザーはいちいち手入力しなければならないため、利便性が著しく低下することになります。この問題を解決する技術が「シングルサインオン(SSO)」です。
|
例えば右図は、SSOについて従業員勤怠システム(MyCompany.com) から福利厚生システム(MyBenefits.com)へのSSOを図示したものです。このように、社内システムがSSOに対応していれば、最初のログイン認証が一回だけで複数のWebサイトを利用できるようになります。
|
 |
図1
≫拡大画像(新規Window)
|
さらに社内システムにとどまらず、ユビキタス・ネットワークの普及によって、社内外でのシステム利用だけでなく、インターネットを利用した企業と消費者との商取引やオンラインサービスにおいても、複数サイトを利用する機会が増えてきています。現状、インターネット上では、「認証クッキー」を利用したシステム導入により、SSOを実現しております。
しかし、こうしたSSOの導入は新たな課題であり、セキュリティでの安全を保ったままSSOを実現する統一的な実現方法はまだ確立されているとはいえません。SAMLは、(Security Assertion Markup Language)このSSOの機能を実現するために作成された規格です(SAMLについては、次節ご参照)。
さらに、イントラネットでのWebアプリケーションの統合を考える場合や、消費者向けにオンライン・サービスを提供する場合、社員、パートナー、顧客のアイデンティティ情報が各システムにばらばらに分散しており、これらを一元管理するには莫大なコストがかかるといわれています。
|
こうした問題を解決するのが、「連携アイデンティティ」です(右図参照) 。
連携アイデンティティを導入すれば、想定された連携の範囲内では繰り返し認証作業を行う手間が省かれます。アイデンティティの認証には、信頼できる認証機関(MyCompany.com)がひとつあれば済むので、その認証機関がセキュリティ保証を提携先機関(MyBenefits.com) に提供すれば、既に認証済みのユーザーはいちいちアイデンティティ情報を入力しなくてもアクセスが許可される仕組みです。
|
|
図2
≫拡大画像(新規Window)
|
上記で述べました「連携アイデンティティ」を実現するものが、HP OpenView Select Federation(以下、OVSF)です。OVSFは、HP OpenView アイデンティティ&アクセス・マネージメントソリューションの一環となり、社内、社外の複数のアイデンティティ・システム上の様々な組織や企業が所有するアイデンティティ情報をリンクさせることができます。リバティ・アライアンス(下記★参照)やOASIS SAMLなど業界基準のフェデレーション・プロトコルを用いるOVSFは、複数のアカウントをインターネット上の様々なプロバイダとリンクさせることができるため、たった一回の認証で安全なオペレーションが実行できます。
例えば、シングルサインオンを実現させるには認証クッキーを使用するのが従来の方法ですが、クッキーはその伝達範囲が同じ認証ドメイン内に制限されます(スケーラビリティ)。また、クッキーは伝達する認証クッキーをブラウザにキャッシュされることができるので、第三者が認証クッキーを不正使用するなど「なりすまし」を許してしまう可能性があります(セキュリティの問題)。そこで、クッキーを用いず、クッキーの柔軟性を継承し、クッキーの持つスケーラビリティの制限とセキュリティ問題を解決するものがSAMLです。SAMLは、XML Signature(署名)やXML Encryption(暗号化仕様)にも対応しているので、データの安全性が確保されており、eビジネスでの本格的な実用化も今後期待されるところです。さらに、去る3月にOASISにて批准されました、SAML2.0についても、本年中にOVSFで対応する予定です。
OVSFは、J2EEアプリケーションですので、BEA WebLogic 8.1、Tomcat v4.1、あるいはIBM WebSphere 5のいずれかを使用して、HP-UX、Solaris、およびWindowsでサポートされます。サポートされるデータベースはOracle 9i(別売)です。
|
|
★リバティ・アライアンスとは?
リバティ・アライアンス・プロジェクト(www.projectliberty.org)は、世界中から150以上の企業・団体が参加している非営利・非政府の組織です。コンソーシアムの目的は、既存および新規のあらゆるネットワークデバイスをサポートする連携ネットワークアイデンティティのオープン・スタンダードを開発することです。「連携アイデンティティ」は、企業、政府機関、従業員、および一般の消費者に今日のデジタル社会におけるアイデンティティ情報をコントロールするより便利で安全な方法を提供するとともに、Webベースのサービスは言うまでもなく、電子商取引、個人データサービスの利用を促進する重要な要素です。メンバーシップはすべての営利団体および非営利団体に開かれています。HPはLiberty Allianceの創設メンバーで取締役会の一員でもあり、各種執行権を握るTechnology Expert Groupの議長を務めています。
|
|
|
|
OVSFには、対象となる用途や目的によって、2つの製品に分かれます(Enterprise EditionとPremium Edition)。まず、Enterprise Editionは、SAMLとリバティ・アライアンスの ID-FFのサポートが含まれ、企業、B2E、およびB2Bが対象です。
次に、Premium Editionには、Enterprise Editionで提供する機能の全てに、リバティID-WSFのサポートが加わります。また、サイト間のアイデンティティ属性情報のやり取りを制御する「Privacy Manager」機能が含まれる他、リバティID-PP(個人プロフィール)とリバティ ID-EP(従業員プロフィール)の2つのアイデンティティ・サービス、そして、リバティ Enabled Client Proxy(LECP)もサポートします。Premium Editionは、B2C、通信会社、および移動体での環境が対象です。表1は、Enterprise EditionとPremium Editionでサポートするプロトコルを表します。
| Enterprise Edition |
Premium Edition |
| SAML 1.0 |
SAML 1.0 |
| SAML 1.1 |
SAML 1.1 |
| Liberty ID-FF 1.1 (IDP & SP) |
Liberty ID-FF 1.1 (IDP & SP) |
| Liberty ID FF 1.2 (IDP & SP) |
Liberty ID FF 1.2 (IDP & SP) |
|
Liberty ID-WSF |
|
Liberty ID-WSF Discovery Service |
|
Liberty ID-WSF Interaction Service |
|
Liberty Enabled Client Proxy (LECP) |
|
Liberty ID-PP (個人プロフィール) |
|
Liberty ID-EP (従業員プロフィール) |
表1.OVSFでサポートするプロトコル
今後のeビジネス拡大で派生するセキュリティ、とりわけアイデンティティに関連する問題や課題にも、HP OpenViewは真剣に向き合い、取り組み、対応するソリューションを続々提供して参りますので、どうぞご期待ください。
# # #
|
印刷用画面へ
