Liberty Alliance Project :
Web
サービス・アプリケーション・アーキテクチャ
サービス・アプリケーション・アーキテクチャ
サービス・アプリケーション・アーキテクチャ
サービス・アプリケーション・アーキテクチャ
へ与えるインパクト
へ与えるインパクト
へ与えるインパクト
へ与えるインパクト
Jason Rouault/Hewlett-Packard
本日の議題
本日の議題
本日の議題
本日の議題
§ アーキテクトが直面しているビジネスの課題
§ アプローチ方法
§ Liberty Allianceの問題への取り組み
§ 事例: 連携認証お
よびwebサービスの実際
§ ベネフィット
Web
Web
Web
Webサービス、セキュリティ、認証
サービス、セキュリティ、認証
サービス、セキュリティ、認証
サービス、セキュリティ、認証
Webサービスは統合アプリケーション向けに新しい仕様を提供
企業にWebサービスのセキュリティについて全く新しい考え方を提案
XML-DSIG SOAP SSL/TLS WAP XML SAML HTTP XML Enc WSDL WSS UDDIアプリケーション1
アプリケーション2
アプリケーション3
ドメイン 1
ドメイン 2
ユーザ認証 Invoker(発動 者)の認証 仲介者の 認証 信頼できるサード パーティ認証Web
Web
Web
Webサービス、セキュリティ、認証
サービス、セキュリティ、認証
サービス、セキュリティ、認証
サービス、セキュリティ、認証
企業が革新的な
企業が革新的な
企業が革新的な
企業が革新的なWeb
Web
Web
Webサービスを計画する際に
サービスを計画する際に
サービスを計画する際に
サービスを計画する際に
直面する問題
直面する問題
直面する問題
直面する問題
:
– 認証管理技術製品の間で相互運用性がない
–
企業が個人情報および多様なWebサービスに関わる機密事項の
管理に対する標準技術およびベストプラクティスがない
–
企業が個人情報を消費者および他のエンドユーザから守る、認
証管理モデルがない(集中モデル型のセキュリティの危険性を軽
減する)
–
大切な顧客のプライバシーを守り、多種多様なプライバシー規則
に対応するベスト・プラクティスを確立した産業がない
Liberty Allianceは、安全かつ相互運用可能な認証に基づく
Webサービスを運営できる革新的なフレームワークにより問
題を解決します。
いくつのパスワードと
いくつのパスワードと
いくつのパスワードと
いくつのパスワードとE
E
Eメール
E
メール
メール
メール
アドレスをお持ちですか?
アドレスをお持ちですか?
アドレスをお持ちですか?
アドレスをお持ちですか?
1様々な個人情報が分離し
様々な個人情報が分離し
様々な個人情報が分離し
様々な個人情報が分離し
たインターネット・サイトに
たインターネット・サイトに
たインターネット・サイトに
たインターネット・サイトに
散在している
散在している
散在している
散在している
•ユーザーネーム: Jason Rouault
•Email: jrouault48@freemail.com
•PIN: wcs@foobar.com
•クレジットカード番号
•社会保険番号
•運転免許書
•パスポート番号
•娯楽趣味
•興味
•従業員 認証
•ビジネスカレンダー
•レストラン情報
•学歴
•病歴
•資産…
問題
問題
問題
問題
例えば
すべての認証情報を維持するには
すべての認証情報を維持するには
すべての認証情報を維持するには
すべての認証情報を維持するには
コストが発生
コストが発生
コストが発生
コストが発生
1様々な個人情報は分離し
様々な個人情報は分離し
様々な個人情報は分離し
様々な個人情報は分離し
たインターネット・サイトの
たインターネット・サイトの
たインターネット・サイトの
たインターネット・サイトの
中に散在
中に散在
中に散在
中に散在
•ユーザにとって不便で面倒
ユーザにとって不便で面倒
ユーザにとって不便で面倒
ユーザにとって不便で面倒
•市販の認証サービスは、
市販の認証サービスは、
市販の認証サービスは、
市販の認証サービスは、
•開発および導入が難しい
開発および導入が難しい
開発および導入が難しい
開発および導入が難しい
•異種システムへの連続的な再
異種システムへの連続的な再
異種システムへの連続的な再
異種システムへの連続的な再
認証
認証
認証
認証
従業員を管理しているすべての企
業でも同じ
ユーザ承認
ビジネスごとに異なる
維持費が高い
連邦型認証にアプローチする
連邦型認証にアプローチする
連邦型認証にアプローチする
連邦型認証にアプローチする
Liberty Project
Provider
Provider
Provider
Provider
Provider
Provider
Central
Provider
集中型モデル
集中型モデル
集中型モデル
集中型モデル
•単一リポジトリの中のネットワーク・ア
イデンティティおよびユーザ情報
•コントロールが集中
•単一の障害がシステム全体に影響
•同種システムへのリンク
オープンな連邦型モデル
オープンな連邦型モデル
オープンな連邦型モデル
オープンな連邦型モデル
•様々な場所のネットワーク・アイデンテ
ィティおよびユーザ情報
•分散したコントロール
•単一の障害の影響がない
•同種および異種システムへのリンク
Linkage of Trust Domains .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com .com Bank ATM Network A Bank ATM Network B Bank ATM Network C Bank A ATM Card Bank B ATM Card Bank C ATM Card
Individual Accounts with Many Web Sites
.com .com .com Bank A ATM Card Bank B ATM Card Bank C ATM Card
Federated Accounts within Trust Domain .com .com .com .com .com .com Bank ATM Network A Bank ATM Network B Bank ATM Network C
A Lesson in Value
- ATM Networks
Separate Cards withEach Bank
Linked Cards within Bank Networks
Seamless Access Across all Networks
There are a number of approaches in
use today
Treasury Debt Equity Commercial Banking Credit Clearing House B2B – Financial Services Suppliers Dealers Transport Agencies Manufacturers Financing Fleet B2B - Automotive Car Rental Hotel Partner Airlines Airline Livery Cruise Line B2C – Travel Industry 401k 3d Party Providers Employee Purchase Plans Dental Insurance Health Insurance Company Intranet B2E – Employee IntranetLibertyのソリューション
のソリューション
のソリューション
のソリューション
-フェィズごとのアプローチ
-フェィズごとのアプローチ
-フェィズごとのアプローチ
-フェィズごとのアプローチ
§迅速な受信および配信をサポート
迅速な受信および配信をサポート
迅速な受信および配信をサポート
迅速な受信および配信をサポート
§相互に組み込まれるフェイズ
相互に組み込まれるフェイズ
相互に組み込まれるフェイズ
相互に組み込まれるフェイズ
•拡張・拡大が可能
拡張・拡大が可能
拡張・拡大が可能
拡張・拡大が可能
• 認証に基づいた属性共有 • コア・アイデンティティ・プロフィール ・サービス向けのスキーマ/プロトコ ル • 事業協定によってバージョン1.0で 作られた認証ドメインに対応できる 簡素化されたサインオン • 個人情報/アカウントを連携する 権限の委任Phase 2
(2003年年年4月年 月月月15日 ドラフト発表日 ドラフト発表日 ドラフト発表)日 ドラフト発表Phase 1
(2002年年年7月年 月月月15日 発表日 発表日 発表日 発表) • 連邦型ネットワーク認証 • 事業協定によって作られた認証領域 内の自由に選択できるアカウント・リ ンクおよび簡素化されたサインオン • すべての機能および仕様に対応でき るセキュリティLiberty は予定通りに進行
は予定通りに進行
は予定通りに進行
は予定通りに進行
www.projectliberty.org
Liberty Solution
- Modular Architecture
The Liberty architecture is composed of modules that can be implemented
independent of each other and is based on a foundation of open industry
standards foundation of open
XML-DSIG SOAP
SSL/TLS WAP XML
Liberty Identity Services Interface Specifications (ID-SIS)
Liberty Identity Federation Framework (ID-FF)
Liberty Identity Web Services Framework (ID-WSF)
Enables identity federation and management through
features such as identity/account linkage,
simplified sign on, and simple session
management
The schema, and instantiation of the technical implementation as defined by ID-WSF, to provide for interoperable identity services
such as personal identity profile service, alert service, calendar service, wallet service, contacts service, geo-location service,
presence service and so on.
This module will provide the framework for building interoperable identity services, permission based
attribute sharing, identity service description and discovery, and the associated security profiles
Liberty ソリューション
ソリューション
ソリューション
ソリューション
- アーキテクチャ・コンポーネント
アーキテクチャ・コンポーネント
アーキテクチャ・コンポーネント
アーキテクチャ・コンポーネント
Meta data 1.2 AuthN Context 1.2 SAML XML-DSIG SOAP HTTP SSL/TLS WAP ID-FF 1.2 XML StandardsID-FF Protocols and Schemas 1.2
XML Enc WSDL … Identity Services Templates Web Services Bindings & Profiles Reverse HTTP Binding 1.0 WSS SOAP AuthN Service 1.0 ID-WSF 1.0 ID-SIS
ID-FF Bindings and Profiles 1.2
ID-Pers onal Profil e … Future Core Identity Services Protocols
Liberty Identity Services Interface Specifications (ID-SIS)
Liberty Identity Federation Framework (ID-FF) ID-WSF Discovery Service 1.0 ID-WSF Security Profiles 1.0 ID-WSF SOAP Binding 1.0 … ID-WSF Client Profiles 1.0
ID-WSF Data Services Template 1.0
ID-WSF Interaction Service 1.0
…
…
Liberty Identity Web Services Framework (ID-WSF)