本 日 の 議 題 アーキテクトが 直 面 しているビジネスの 課 題 アプローチ 方 法 Liberty Allianceの 問 題 への 取 り 組 み 事 例 : 連 携 認 証 およびwebサービスの 実 際 ベネフィット

Liberty Alliance Project :

Web

サービス・アプリケーション・アーキテクチャ

サービス・アプリケーション・アーキテクチャ

サービス・アプリケーション・アーキテクチャ

サービス・アプリケーション・アーキテクチャ

へ与えるインパクト

へ与えるインパクト

へ与えるインパクト

へ与えるインパクト

Jason Rouault/Hewlett-Packard

本日の議題

本日の議題

本日の議題

本日の議題

§ アーキテクトが直面しているビジネスの課題

§ アプローチ方法

§ Liberty Allianceの問題への取り組み

§ 事例: 連携認証お

よびwebサービスの実際

§ ベネフィット

Web

Web

Web

Webサービス、セキュリティ、認証

サービス、セキュリティ、認証

サービス、セキュリティ、認証

サービス、セキュリティ、認証

Webサービスは統合アプリケーション向けに新しい仕様を提供

企業にWebサービスのセキュリティについて全く新しい考え方を提案

XML-DSIG SOAP SSL/TLS WAP XML SAML HTTP XML Enc WSDL WSS UDDI

アプリケーション1

アプリケーション2

アプリケーション3

ドメイン 1

ドメイン 2

ユーザ認証 Invoker（発動 者）の認証 仲介者の 認証 信頼できるサード パーティ認証

Web

Web

Web

Webサービス、セキュリティ、認証

サービス、セキュリティ、認証

サービス、セキュリティ、認証

サービス、セキュリティ、認証

　企業が革新的な

　企業が革新的な

　企業が革新的な

　企業が革新的なWeb

Web

Web

Webサービスを計画する際に

サービスを計画する際に

サービスを計画する際に

サービスを計画する際に

　直面する問題

　直面する問題

　直面する問題

　直面する問題

:

– 認証管理技術製品の間で相互運用性がない

–

企業が個人情報および多様なWebサービスに関わる機密事項の

管理に対する標準技術およびベストプラクティスがない

–

企業が個人情報を消費者および他のエンドユーザから守る、認

証管理モデルがない(集中モデル型のセキュリティの危険性を軽

減する)

–

大切な顧客のプライバシーを守り、多種多様なプライバシー規則

に対応するベスト・プラクティスを確立した産業がない

Liberty Allianceは、安全かつ相互運用可能な認証に基づく

Webサービスを運営できる革新的なフレームワークにより問

題を解決します。

いくつのパスワードと

いくつのパスワードと

いくつのパスワードと

いくつのパスワードとE

E

Eメール

E

メール

メール

メール

アドレスをお持ちですか？

アドレスをお持ちですか？

アドレスをお持ちですか？

アドレスをお持ちですか？

1

様々な個人情報が分離し

様々な個人情報が分離し

様々な個人情報が分離し

様々な個人情報が分離し

たインターネット・サイトに

たインターネット・サイトに

たインターネット・サイトに

たインターネット・サイトに

散在している

散在している

散在している

散在している

•

ユーザーネーム: Jason Rouault

•

Email: jrouault48@freemail.com

•

PIN: wcs@foobar.com

•

クレジットカード番号

•

社会保険番号

•

運転免許書

•

パスポート番号

•

娯楽趣味

•

興味

•

従業員 認証

•

ビジネスカレンダー

•

レストラン情報

•

学歴

•

病歴

•

資産…

問題

問題

問題

問題

例えば

すべての認証情報を維持するには

すべての認証情報を維持するには

すべての認証情報を維持するには

すべての認証情報を維持するには

コストが発生

コストが発生

コストが発生

コストが発生

1

様々な個人情報は分離し

様々な個人情報は分離し

様々な個人情報は分離し

様々な個人情報は分離し

たインターネット・サイトの

たインターネット・サイトの

たインターネット・サイトの

たインターネット・サイトの

中に散在

中に散在

中に散在

中に散在

•

ユーザにとって不便で面倒

ユーザにとって不便で面倒

ユーザにとって不便で面倒

ユーザにとって不便で面倒

•

市販の認証サービスは、

市販の認証サービスは、

市販の認証サービスは、

市販の認証サービスは、

•

開発および導入が難しい

開発および導入が難しい

開発および導入が難しい

開発および導入が難しい

•

異種システムへの連続的な再

異種システムへの連続的な再

異種システムへの連続的な再

異種システムへの連続的な再

認証

認証

認証

認証

従業員を管理しているすべての企

業でも同じ

ユーザ承認

ビジネスごとに異なる

維持費が高い

連邦型認証にアプローチする

連邦型認証にアプローチする

連邦型認証にアプローチする

連邦型認証にアプローチする

Liberty Project

Provider

Provider

Provider

Provider

Provider

Provider

Central

Provider

集中型モデル

集中型モデル

集中型モデル

集中型モデル

•

単一リポジトリの中のネットワーク・ア

イデンティティおよびユーザ情報

•

コントロールが集中

•

単一の障害がシステム全体に影響

•

同種システムへのリンク

オープンな連邦型モデル

オープンな連邦型モデル

オープンな連邦型モデル

オープンな連邦型モデル

•

様々な場所のネットワーク・アイデンテ

ィティおよびユーザ情報

•

分散したコントロール

•

単一の障害の影響がない

•

同種および異種システムへのリンク

Linkage of Trust Domains .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com Bank ATM Network A Bank ATM Network B Bank ATM Network C Bank A ATM Card Bank B ATM Card Bank C ATM Card

Individual Accounts with Many Web Sites

.com .com .com Bank A ATM Card Bank B ATM Card Bank C ATM Card

Federated Accounts within Trust Domain .com .com .com .com .com .com Bank ATM Network A Bank ATM Network B Bank ATM Network C

A Lesson in Value

- ATM Networks

Separate Cards with

Each Bank

Linked Cards within Bank Networks

Seamless Access Across all Networks

There are a number of approaches in

use today

Treasury Debt Equity Commercial Banking Credit Clearing House B2B – Financial Services Suppliers Dealers Transport Agencies Manufacturers Financing Fleet B2B - Automotive Car Rental Hotel Partner Airlines Airline Livery Cruise Line B2C – Travel Industry 401k 3d Party Providers Employee Purchase Plans Dental Insurance Health Insurance Company Intranet B2E – Employee Intranet

Libertyのソリューション

のソリューション

のソリューション

のソリューション

－フェィズごとのアプローチ

－フェィズごとのアプローチ

－フェィズごとのアプローチ

－フェィズごとのアプローチ

§

迅速な受信および配信をサポート

迅速な受信および配信をサポート

迅速な受信および配信をサポート

迅速な受信および配信をサポート

§

相互に組み込まれるフェイズ

相互に組み込まれるフェイズ

相互に組み込まれるフェイズ

相互に組み込まれるフェイズ

•

拡張・拡大が可能

拡張・拡大が可能

拡張・拡大が可能

拡張・拡大が可能

• 認証に基づいた属性共有 • コア・アイデンティティ・プロフィール ・サービス向けのスキーマ/プロトコ ル • 事業協定によってバージョン1.0で 作られた認証ドメインに対応できる 簡素化されたサインオン • 個人情報／アカウントを連携する 権限の委任

Phase 2

(2003年年年4月年 月月月15日　ドラフト発表日　ドラフト発表日　ドラフト発表)日　ドラフト発表

Phase 1

(2002年年年7月年 月月月15日　発表日　発表日　発表日　発表) • 連邦型ネットワーク認証 • 事業協定によって作られた認証領域 内の自由に選択できるアカウント・リ ンクおよび簡素化されたサインオン • すべての機能および仕様に対応でき るセキュリティ

Liberty は予定通りに進行

は予定通りに進行

は予定通りに進行

は予定通りに進行

www.projectliberty.org

Liberty Solution

- Modular Architecture

The Liberty architecture is composed of modules that can be implemented

independent of each other and is based on a foundation of open industry

standards foundation of open

XML-DSIG SOAP

SSL/TLS WAP XML

Liberty Identity Services Interface Specifications (ID-SIS)

Liberty Identity Federation Framework (ID-FF)

Liberty Identity Web Services Framework (ID-WSF)

Enables identity federation and management through

features such as identity/account linkage,

simplified sign on, and simple session

management

The schema, and instantiation of the technical implementation as defined by ID-WSF, to provide for interoperable identity services

such as personal identity profile service, alert service, calendar service, wallet service, contacts service, geo-location service,

presence service and so on.

This module will provide the framework for building interoperable identity services, permission based

attribute sharing, identity service description and discovery, and the associated security profiles

Liberty ソリューション

ソリューション

ソリューション

ソリューション

- アーキテクチャ・コンポーネント

アーキテクチャ・コンポーネント

アーキテクチャ・コンポーネント

アーキテクチャ・コンポーネント

Meta data 1.2 AuthN Context 1.2 SAML XML-DSIG SOAP HTTP SSL/TLS WAP ID-FF 1.2 XML Standards

ID-FF Protocols and Schemas 1.2

XML Enc WSDL … Identity Services Templates Web Services Bindings & Profiles Reverse HTTP Binding 1.0 WSS SOAP AuthN Service 1.0 ID-WSF 1.0 ID-SIS

ID-FF Bindings and Profiles 1.2

ID-Pers onal Profil e … Future Core Identity Services Protocols

Liberty Identity Services Interface Specifications (ID-SIS)

Liberty Identity Federation Framework (ID-FF) ID-WSF Discovery Service 1.0 ID-WSF Security Profiles 1.0 ID-WSF SOAP Binding 1.0 … ID-WSF Client Profiles 1.0

ID-WSF Data Services Template 1.0

ID-WSF Interaction Service 1.0

…

…

Liberty Identity Web Services Framework (ID-WSF)

稼動中の

稼動中の

稼動中の

稼動中のLiberty

- B2C シナリオ

シナリオ

シナリオ

シナリオ

MyPortal.com

個人情報認証プロバイダ

個人情報サービス

個人情報サービス

個人情報サービス

個人情報サービス

1. ユーザ・アクセス・サイト

2. ユーザが確認される

4. サービスプロバイダ が

SMS認証を行なう

AuctionWatch.com

サービス・プロバイダ

MyProfile.com

個人情報認証プロバイダ

PacBell.com

サービス・プロバイダ

3. ユーザ・アクセス・サイト

6. サービス・プロバイダが

モバイル利用者へ

SMS信

号を送信

5.

サ

ービ

スプ

ロバ

イダ

が

モバ

イル

利

用

者

の

操

作

を

得

る

6. オペレータがユー

ザにSMS信号を送信

Webサービス

稼動中の

稼動中の

稼動中の

稼動中のLiberty

- B2B シナリオ

シナリオ

シナリオ

シナリオ

manufacturer.com

識別プロバイダ

発送

OrderMgt.com

サービス・プロバイダ

買掛金管理

在庫

5. 在庫レベルへのクエリ、

製品の割り当て

6. オーダーの通知およ

び処理

7. 発注の登録、

納品開始

partner.com

サービス・プロバイダ

従業員認証サー

従業員認証サー

従業員認証サー

従業員認証サー

ビス

ビス

ビス

ビス

1. マネージメント・ポータルからの注文l

2.

ユー

ザ

が

認

証

され

る

3.役

割情

報が

検索

され

る

4. 発注

Webサービス

産業界における

産業界における

産業界における

産業界におけるLiberty

Liberty

Liberty

Libertyの役割

の役割

の役割

の役割

オープンな技術仕様で、

フェデレーショ

ン型ネットワーク認証でオープンスタ

ンダードを確立

:

– 広範囲な認証製品・サービスをサポート

–

アカウントフェデレーションを通じて、消費者が

個人情報提供者およびアカウントへのリンクを

選択できる

–

あらゆるネットワーク・サービスの接続およびデ

バイスから簡単なサインオンを実現

– 企業の新しい収入およびコスト節約の機会を提

供

–

企業が経済的に顧客、ビジネス・パートナー、

従業員との関係を築ける

– Eコマース（電子商取引）の容易な改善

アライアンス・メンバー

アライアンス・メンバー

アライアンス・メンバー

アライアンス・メンバー

現在、計

現在、計

現在、計

現在、計

10

10

10

10億人の顧客を持つ

億人の顧客を持つ

億人の顧客を持つ

億人の顧客を持つ160

160

160以上の営利団体、非営利団体、政府組織

160

以上の営利団体、非営利団体、政府組織

以上の営利団体、非営利団体、政府組織

以上の営利団体、非営利団体、政府組織

が、アライアンス・

が、アライアンス・

が、アライアンス・

が、アライアンス・メンバーです

メンバーです

メンバーです

メンバーです

* アライアンス・メンバーの一部

Liberty Alliance Project

Liberty Alliance Project

Liberty Alliance Project

Liberty Alliance Project 組織図

組織図

組織図

組織図

取締役会

取締役会

取締役会

取締役会

パブリック・ポリシー

パブリック・ポリシー

パブリック・ポリシー

パブリック・ポリシー

専門グループ

専門グループ

専門グループ

専門グループ

マーケティング

マーケティング

マーケティング

マーケティング

専門グループ

専門グループ

専門グループ

専門グループ

テクノロジー

テクノロジー

テクノロジー

テクノロジー

専門グループ

専門グループ

専門グループ

専門グループ

• プライバシー、セキュリプライバシー、セキュリプライバシー、セキュリプライバシー、セキュリ ティ、その他のパブリッ ティ、その他のパブリッ ティ、その他のパブリッ ティ、その他のパブリッ ク・ポリシーへの助言 ク・ポリシーへの助言 ク・ポリシーへの助言 ク・ポリシーへの助言 • 民間グループと政府機民間グループと政府機民間グループと政府機民間グループと政府機 関へのリエゾン（連絡） 関へのリエゾン（連絡） 関へのリエゾン（連絡） 関へのリエゾン（連絡） • 技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエ技術アーキテクチャとエ ンジニアリング必要条件 ンジニアリング必要条件 ンジニアリング必要条件 ンジニアリング必要条件 を開発 を開発 を開発 を開発 • 技術仕様を開発技術仕様を開発技術仕様を開発技術仕様を開発 • 相互運用相互運用相互運用相互運用 • 市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件市場展開に必要な条件 と事例を開発 と事例を開発 と事例を開発 と事例を開発 • メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関メンバーシップ、報道関 係、マーケティング・コミ 係、マーケティング・コミ 係、マーケティング・コミ 係、マーケティング・コミ ュニケーションを担当 ュニケーションを担当 ュニケーションを担当 ュニケーションを担当 • 導入導入導入導入 • 1616の創設スポンサーから成る1616の創設スポンサーから成るの創設スポンサーから成るの創設スポンサーから成る • 全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ全体の管理と維持の責任を持つ • 仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限仕様およびほかのアウトプットへの最終採択権限

HPが

が

が

がLibertyに投資する理由

に投資する理由

に投資する理由

に投資する理由

§ 主要顧客の多くと協力し、共通したアプローチで

市場の標準化を推進

– ボーダフォン、ノキア、GM、アメリカン・エキスプレス、その他

– HP IceWall SSO: 顧客の要求に直接応じる

§ クライアントにガイダンスを提供

– 世界で展開する

HP Consulting のWorldwide Security Consulting

Practice

§ 多くの大規模セキュリティ・ベンダと協力し、パー

トナーシップを拡大

– ベリサイン、RSA、 Netegrity、 他

リバティ・アライアンスへのお誘い

リバティ・アライアンスへのお誘い

リバティ・アライアンスへのお誘い

リバティ・アライアンスへのお誘い

§ リバティ・アライアンスはセキュアに個人情報を守

り、Webサービスのユーザ情報管理を実現する

デファクト技術ソリューションです。

§ すべてのWebサービスアプリケーションは、この

リバティ・アライアンス・アイデンティティ管理を必

要としています。

§ Webサービスのユーザ情報管理でリードするた

め、リバティ・アライアンスへの参画をお待ちして

おります。

www.projectliberty.org

Q&A

For more information:

jason.rouault@hp.com

日本

日本

日本

日本

HPが提供する

が提供する

が提供する

が提供する

リバティ・アライアンス対応ソリューション

リバティ・アライアンス対応ソリューション

リバティ・アライアンス対応ソリューション

リバティ・アライアンス対応ソリューション

※hp IceWall SSO はリバティ・アライアンス技術仕

様バージョン1.1に完全対応したソリューションです。

※hp IceWall SSOは、そのセキュリティ、スケーラビ

リティ、信頼性から多くのお客様のご支持を頂き、

国内で通信、金融機関を中心に1000万以上のユー

ザーライセンス販売実績を持っています。特に損

保業界においては、ほぼデファクト・スタンダードと

して使用されているシングル・サインオン(SSO)製

品です。

※hp IceWall SSOはhp社のリバティ・アライアンス対

応製品として、世界に発表しております。（右図）

http://www.jpn.hp.com/go/icewall http://www.hp.com/ｊｐｊｐｊｐｊｐ/ｌｉｂｅｒｔｙｌｉｂｅｒｔｙｌｉｂｅｒｔｙｌｉｂｅｒｔｙ