リバティ・アライアンスの取組みについて · 市民ポータルサービスでのid連携、政府内サービスのid連携 13. アイスランド：市民サービスのid連携

© 2009 NTT Corporation. All rights reserved.

リバティ・アライアンスの取組みについて

2009年3月31日

NTT情報流通プラットフォーム研究所

資料４

2Copyright © 2009 NTT Corporation. All rights reserved???

OpenWeb

Foundation

FriendConnect

アイデンティティ管理技術仕様の状況

LibertyAlliance/SAML

InformationCard

OpenIDOSIS

ITU-T

3GPP

OMA

OATH

ISOC

Bandit

Higgins

OpenLiberty

OASISInternet 2

テレコム

放送

教育認証 XML

オープンソース

ConcordiaProject

OpenSSO

OpenIDFoundation

UPKIInitiative

ETSI

インターネットSAML2.0を勧告化

(X.1141)

３年計画の主要戦略

イニシァティブ

“Trust and Identity”

OpenSocialFoundation

OAuth

Data Portability

HITSP

ISO

医療健康

産業

さらに…

InformationCard

Foundation

IdentityCommons

FacebookConnect

相互運用推進のた

めの新組織（2009

年予定）

新組織

3Copyright © 2009 NTT Corporation. All rights reserved

電子政府(eGov)SIGで実装規定(eGov profile)を策定中

リバティ・アライアンス

2001年9月設立、150以上の企業・組織・団体が参加– ＩＴベンダ、テレコム、金融機関、政府組織、放送事業者、製造業等

取組内容– 様々なネットワークやデバイスに対応した公開標準仕様、ビジネスガイドラ

イン、規制対応に関する白書等の提供

– 分野別の話題を議論する分科会(SIG)の運営• 日本SIG, 医療情報, 電子政府, ID盗難防止, テレコム、人事教育等

– 相互運用性試験の運営実施• 米国では調達庁 (GSA) が政府機関への調達条件として採用

プライバシを保護した安心安全なアイデンティティ管理の実現のために、公開標準仕様の策定、普及、相互運用性の確保を推

進するグローバルな業界団体

プライバシを保護した安心安全なアイデンティティ管理の実現のために、公開標準仕様の策定、普及、相互運用性の確保を推

進するグローバルな業界団体

シングルサインオンだけでなく、ＩＤ情報の作成、共有、変更、削除、信頼性確保までのﾗｲﾌｻｲｸﾙ全体をｶﾊﾞｰ


リバティ・アイデンティティ・フレームワークリバティ・アイデンティティ・フレームワーク

リバティ仕様は既存の標準仕様に準拠

(SAML, SOAP, WSS, XML, etc.)

リバティ・アイデンティティ

連携フレームワーク

(ID-FF/SAML)

アイデンティティ／アカウントリ

ンケージ、シングルサインオ

ン、およびセッション管理等の

特徴を持つアイデンティティ連

携と管理が可能

リバティ・アイデンティティサービス・インターフェース

仕様(ID-SIS)

パーソナルプロファイルサービス、アラートサービス、カレン

ダーサービス、ウォレットサービス、コンタクトサービス、位置

情報サービス、プレゼンスサービス等のアイデンティティサー

ビスが可能

リバティ・アイデンティティWebサービス・

フレームワーク(ID-WSF)

相互接続可能なアイデンティティサービス、許可ベースの属性

共有、アイデンティティサービス記述、ディスカバリ、および関

係するセキュリティプロファイルを作成・構築するためのフレー

ムワークを提供


SAML 2.0 : Security Assertion Markup Language 2.0セキュリティ情報(Security Assertion)をサービス間でやりとりするための表現形式とプロトコルを規定

– Liberty Alliance等で開発した成果を業界団体（OASIS）で維持管理中

セキュリティ情報としては以下を扱う

– 認証、認可、属性– 認証情報をサービス間でやりとりすることによりシングルサインオンを実現プロトコルとして様々な利用シーンに対応

– ウェブブラウザおよび専用端末（携帯電話や情報家電等）に対応– 様々な認証手段（パスワード、ＰＫＩ、回線認証等）に対応– アイデンティティ提供者およびサービス提供者のどちらかでもシングルサインオンが可能– シングルログアウト– アカウントの連携・連携解除、一括連携、匿名シングルサインオン機能の提供– 認証ローミング（複数ｱｲﾃﾞﾝﾃｨﾃｨ提供者の連携）プライバシ保護機能を具備

– 仮名の利用による名寄せの防止確認可能な信頼関係の構築

– ＰＫＩベースの正当性保証及び証跡記録（否認防止）– 詳細な認証情報の表現

OASIS：Organization for the Advancement of Structured Information Standards

ｱｲﾃﾞﾝﾃｨﾃｨ提供者

サービス提供者

サービス提供者

サービス提供者ユーザ

認証

利用ｻｰﾋﾞｽ

提供


シングルサインオン一回の認証作業だけで、複数のサービスを利用

認証情報の受け渡しには様々な方法を利用可能‒

携帯電話や情報家電向きの仕様も規定済み

ID提供者開始およびサービス提供者開始の両パターンをサポート

ユーザ

ｱｲﾃﾞﾝﾃｨﾃｨ提供者(IdP)

サービス提供者(SP2)


①

④

ID提供者開始パターン

開始時点からﾌｨｯｼﾝｸﾞ対策を打ち易い

ユーザ




ようこそ！認証ｻｰﾋﾞｽヘ

③

④

②

①

認証作業

は最初の

一度だけ

サービス提供者開始パターン

SP2SP1

ようこそ！認証ﾎﾟ^ﾀﾙヘ

②

③

認証作業

は最初の

一度だけ


SAML 2.0 : 仮名を使ったアカウント連携ユーザに関して、IdPとSP間でのみ有効で、ユーザ個人を特定不能な仮名の利用によるプライバシー保護

– 仮名の利用により実アカウント名の流出を防止– ＳＰの結託による名寄せの防止既存のアカウント名を利用可能→利便性の向上、導入の容易化

仮名：

wxyzドメイン：

sp2.com

仮名：

abcdドメイン：

sp1.com

アイデンティティ提供者(IdP)


連携IdPｱｶｳﾝﾄ: 12345678

連携アカウント仮名：

abcdドメイン：

idp.com

仮名：

wxyzドメイン：

idp.com

SP1ｱｶｳﾝﾄ: ytaro

連携アカウント

SP2ｱｶｳﾝﾄ: 特987E

連携アカウント

連携サービス提供者(SP2)


Liberty ID-WSF: 属性情報の安全な交換・利用（Identity Web Services Framework)

サーバに登録されている属性情報をサービス業者間で直接交換し、ユーザのサービス登録や利用時の手間を省いたり、サービスのパーソナライズを図る。仮名アイデンティティ連携及び情報提供の同意取得機能でプライバシ保護フランス政府、ＮＺ政府、デンマーク政府、フィンランド政府が導入検討中

属性情報

ユーザ

①

属性情報へ

のアクセス情報を取得


サービス提供者(保険会社)

サービス提供者(区役所)

氏名住所③属

性情報を取得

②属性情報提供の同意を取得

④ サービス提供

(0) シング

ルサイン

オン

探索ｻｰﾋﾞｽ

（DS)

属性所在情報

12345678の属性所在情報基本情報(氏名、住所)→

○○区役所.go.jp保険情報

→

○○保険.com銀行口座番号

→

○○銀行.com・・・


具体的事例（民間）企業内・企業間システム

– Boeing, Fidelity Investments, American Express, GM, Intel, HP, Sun, Star Alliance, トヨタ、

NTTデータ

– 従業員向けに、企業内およびパートナー企業との業務効率化のためのポータルを提供。顧客向

けのサービスへの展開も検討中。

モバイル＆テレコム事業者– Orange/France Telecom, T-Online, Telefonica Moviles, TeliaSonera/Telenor, Bluewin

(Swiss Telecom), NTTドコモ、NTTコム／レゾナント• 外部サービス事業者連携や自社内のオペレーションコスト削減

デジタル放送– ＮＨＫがデジタル放送受信機向け認証連携技術の研究開発教育

– 日本ＵＰＫＩ、米国Internet2, 欧州EIfELSaaS

– Google AppsやSalesforce.comが認証ＡＰＩとしてSAML2.0をサポートIDaaS (Identity as a Service)

– ID管理をアウトソーシングサービスとして提供• Covisint, Fischer International, Symplified, Protect Network他

Microsoft Geneva– Active Directoryの後継版で、SAML 2.0をサポートを表明


電子政府への導入事例

1. オーストラリア：

ビクトリア州政府におけるID連携2. ベルギー：

国民向けサービスポータル、担当職員向けのID統合3. オーストリア：

住民カードのオンラインバンクへの適用

4. フランス：

市民向けポータルサイト上でのID連携、国立図書館でのID管

理、国立研究組織間でのID連携、Pierrefitte市、Vandoeuvre-les- Nancy市におけるID連携

5. 中国：

特許庁、国土開発局でのID連携6. 中国深セン市経済特区：

IDカードの統合7. デンマーク：

公共サービスの統合

8. オランダ：

公共図書館等で用いる統合認証サービス

9. エストニア：

IDカードの発行10. 韓国：

ID統合サービスの導入11. フィンランド：

国税庁での導入

12. ドイツ：

市民ポータルサービスでのID連携、政府内サービスのID連携13. アイスランド：

市民サービスのID連携14. アイルランド：

電子政府の構築

15. イタリア：運輸省のウェブサイトでのID連携

16. 米国マサチューセッツ州：

州政府機関へのID連携PFの導入17. 米国ニュージャージー州：

州政府機関へのID連携PFの導入18. 米国ニューヨーク州：

州政府機関へのID連携PFの導入19. ニュージーランド：

行政機関間の認証統合サービス

20. ノルウェー：

厚生省、文部省、国立図書館、通商産業省等が連携した個

人情報ポータル上でのアクセス管理

21. ポルトガル：

市民向け、行政機関向けのサービスの統合

22. スペイン/ｶﾀﾙｰﾆｬ州：

住民カードの発行、電子署名への応用23. カリフォルニア州：

州政府ポータルサイトでのID管理24. 米国ペンシルベニア州：

市民向けサービスにおけるID連携25. 英国：

英国政府の市民サービスにおけるID連携、サンダーランド市におけ

る交通、小額決裁カードの導入

26. スウェーデン：

ストックホルム市のポータルサイトにおけるID連携27. トルコ：

市民向け電子政府サービスの導入

28. 米国：

連邦政府機関へのID連携の導入29. 中東各国：

入出国審査時のセキュリティ管理、パスポートコントロールにお

けるID連携


Identity Assurance Framework(IAF)アイデンティティ情報の確かさを保証するためのフレームワーク

– 米団体(EAPやNIST)の成果物をベースにLiberty Allianceが策定• EAuthentication Partnership (EAP) Credential Assessment Framework 2.0• National Institute of Standard and Technology (NIST) Special Publication 800-63

以下の４つから構成される。– Assurance Levels

• リスクに応じて必要なアイデンティティ情報の確からしさを４レベルで規定– Service Assessment Criteria

• 各レベルを達成するための手順（運用プロセス）の評価基準を規定– Accreditation and Certification Model

• 上記の評価の実施モデルについて規定– Business Rules

• ＩＡＦ全体の運用体制を既定

第１版では、クレデンシャル提供者が対象※クレデンシャル：利用者を識別し、本人性を確認する情報

Liberty Allianceで認定プログラムを検討中現在、サービス提供者を対象にした第２版を策定中

– さらに、サービス提供者側のレベル選定基準についても議論中

ITU-T, ISO, FSTC(金融系), HITSP(ﾍﾙｽｹｱ)でも議論中FSTC：Financial Services Technology Consortium HITSP：Healthcare Information Technology Standards Panel


まとめ、そして今後の課題

アイデンティティ・ライフサイクル全体のサポートが必要–シングルサインオンから属性共有、認可、信頼レベル監査へ現在、３つのアプローチによる技術の開発・導入が進められている

–リバティ・アライアンス/SAML, OpenID, CardSpace–異種仕様間の相互運用性確保の動きがある(コンコーディア、新

組織)–リバティ・アライアンス/SAML技術は、大企業・電子政府・テレコ

ム・SaaS等で普及しつつある

新分野への展開

–金融、健康医療、クラウドコンピューティング、モバイル、デジタル TV等


参考


アイデンティティ・ライフサイクル

登録作成

連携

認証変更

認可

削除 SSOSAML2.0

Advanced Client(ﾌﾟﾛﾋﾞｼﾞｮﾆﾝｸﾞ)

ID Governance 履歴

属性共有People Service

ID-WSF

相互運用性認定

Identity Assurance Framework

世界市場規模：2.6千億円 (2006)から 1.23兆円(2014)。プロビジョニングの占める割合は2/1から3/2へ

Forrester 2008

Conformancetesting


リバティ・アライアンスの主なメンバ

ボードメンバ

スポンサーメンバ

その他（全１２８メンバ）

https://www.paypal.com/j1/cgi-bin/webscr?cmd=_home

http://www.aol.com/

http://www.intel.com/

http://www.novell.com/

http://www.ntt.co.jp/index_e.html

http://www.oracle.com/

http://www.sun.com/

http://www.bipac.org/

http://www.cio.gov/eauthentication

http://www.nec.co.jp/

http://www.neustar.biz/

http://www.verisign.com/

http://www.francetelecom.fr/

http://ssc.govt.nz/display/home.asp

http://www.projectliberty.org/liberty/membership/Adobe Systems

http://www.catcert.net/

http://www.itst.dk/

http://www.drummondgroup.com/

http://www.pingidentity.com/

http://www.uninett.no/

http://www.citigroup.com/citigroup/homepage/

http://www.ericsson.com/

http://www.mortgagebankers.org/

http://www.telekom.com/

http://www.fidelity.com/

http://www.eife-l.org/

http://www.gemalto.com/pages/

http://www.ca.com/

http://www.isoc.org/

http://www.nri.com/index.html


アイデンティティ管理をめぐる3つの動き

CardSpace– 「カード」のメタファでアイデンティティ情報を管理する技術の総称

• IE7/Vistaに標準装備。オープンソース版もある

– 主なプレーヤ：

Information Card Foundation members (Equifax, Google, Microsoft, Novell, Oracle, Paypal, etc.)

Liberty Alliance/SAML– 「連携」モデルに基づくアイデンティティ管理の技術仕様– 主なプレーヤ：

Liberty Alliance参加メンバ(AOL,BT, France Telecom, Intel, Oracle,

Sun, GSA, Citigroup, Novell, NEC, NHK, NTT他）

OpenID– URL/XRIをID(個人識別子)として用いるアイデンティティ管理技術仕様

– 主なプレーヤ：

OpenID Foundation参加メンバ（Microsoft, Verisign, IBM, Yahoo!, Google, Six Apart等）

17Copyright © 2009 NTT Corporation. All rights reserved17

SAML(Security Assertion Markup Language)の変遷

(Source: Liberty Alliance Project)

NTT Copyrights 2008. All rights


アイデンティティ連携の流れ

1. ﾕｰｻﾞがｱｲﾃﾞﾝﾃｨﾃｨ提供者(IdP)とｻｰﾋﾞｽ提供者(SP)にそれぞれｱｶｳﾝﾄを開設2. ユーザが上記両アカウントを連携することを同意。3. IdPとSPがアカウントの連携を確立。4. ユーザがSSOし、SPのサービスを利用。5. ユーザがSPのサービス利用終了時に、ログアウト。6. その後、ユーザが上記アカウント連携の解除を要求。7. IdPとSP間の連携が解除。

（SAML2.0では、上記以外にアカウント連携を利用しない仕様(anonymous federation)も規定）

ユーザの立場から見たアイデンティティ連携の流れ

アカウント連携

シングルサインオン

シングルログアウト

連携解除

１セッション

主体者の同意主体者の同意

ｻｰﾋﾞｽ利用属性共有


SAML 2.0 : シングルサインオン一回の認証作業だけで、複数のサービスを利用

認証結果情報(assertion)の受け渡しには様々な方法を利用可能‒

携帯電話や情報家電向きの仕様も規定済み

⑦サービス要求/サービス提供

(①から⑥と同様の動作。ただ

しIDPへのログインは不要)

ユーザ

③IDPへログイン

②認証要求

ログイン操作はIDPに対

してのみ一度だけ行え

ばよい

①サービス要求

④IDPでの認証情報を含む

Assertion返却

⑥サービス提供 ⑤Assertionを検証

IDPでの認証結果情報

を信頼してユーザに

サービスを提供する

サービス提供者(SP)

アイデンティティ提供者(IdP)



SSOのメッセージの流れ

（アーティファクトプロファイル利用時）

認証アサーションをブラウザ経由で渡さないようにするために、ＳＰは、まず引き換え券（アーティファクト）を取得して、その引き換えに認証アサーションを取得する。

– ユーザのアクセス帯域が小さい場合など

(2）

認証要求

(2) 認証要求

(4) アーティファクトの返送

(4) アーティファクトの返送

(5) 認証アサーション要求（SOAP）

(6)認証アサーション発行（SOAP）

(1) SPのサービスにアクセス要求

IdP

ユーザ SP

(8) サービスの提供

(0) 初期認証

(アーティファクト：

アサーション取得のための引き換え券）

(3) アーティファクトとアサーションの作成

アーティファクト



認証アサーション

(7) 認証アサーション確認

リダイレクト


Liberty ID-WSF: 属性情報の安全な交換・利用（Identity Web Services Framework)

サーバに登録されている属性情報をサービス業者間で直接交換し、ユーザのサービス登録や利用時の手間を省いたり、サービスのパーソナライズを図る。仮名アイデンティティ連携及び情報提供の同意取得機能でプライバシ保護Liberty Allianceで仕様化され、公開中

– openLibertyプロジェクトで、オープンソース版を開発中– 非SOAP(REST)版仕様を検討中

属性情報

ユーザ

(3) 属性情報へのア

クセス情報送付

(事前に）各属性情報を管理

するサービス提供者を登録

(1) シングルサインオンし、

サービス要求




氏名住所銀行口座番号クレジットカード番号…

(2) 属性情報へ

のアクセス情報

検索要求

(4) 属性情報要求

(6)属性情報提供

(5) SPへの属性情報提供の許可（同意）を取得

(7) サービス提供

(0)

シングル

サインオン

探索ｻｰﾋﾞｽ

（DS)

属性所在情報


IdP ProxyProxyとなるIdPがSPから認証要求を受けた際、他IdPに認証要求を転送することができる

他IdP ⇔ Proxy IdP ⇔ SPとなる認証の連鎖を実現する

ユーザ

④IDPへログイン

②認証要求

①サービス要求

⑦認証情報を含むAssertion（複数

あってもよい）を返却

⑨サービス提供

⑧Assertionを検証


Proxy IdP

IdP

③IDPに認証要求をプロキシ

⑤IdPでの認証情報を含む

Assertionを返却

リクエスト中に以下を指定できる-プロキシできる限界数-プロキシ先として推奨するIdPの

リスト

（⑥必要に応じて新たに

Assertionを生成）

プロキシされたリクエストには転

送履歴（プロキシされてきたSP連

鎖）を記述可能


ブラウザ以外への対応 Enhanced Client/Proxy SSO

ブラウザ以外のクライアント（Enhanced Client)を利用する場合や、直接プロ

バイダと通信できない場合の代替手段（Enhanced Proxy)を提供

Enhanced Client

高機能のクライアントを用いて、IdPやSPとのメッセージのやりとりを直接行う。

クライアント内に蓄積した情報を送るなどが可能になる。

Enhanced Proxy

プロキシとしてクライアントのIDP/SP間の通信を介在し、シングルサインオンを実

現。クライアントの機能が貧弱（例:HTTP Redirectに非対応)でユーザが直接プ

ロバイダと通信できない場合などに用いることができる。

SP

IDP

ユーザ ③Enhanced Proxy経

由でSPからサービス

を提供

EnhancedProxy

①

Enhanced Proxy経由でSPへ

サービス要求

②ユーザの代わりに


を実行

適用例：移動

網用ゲート

ウェイ


シングルログアウト

シングルサインオンによってログインしたアカウントは、一回のシングルログアウト(SLO:Single Logout)要求を行うことにより、全てのSPからログアウトすることができる。ユーザは個々のSPごとにログアウトする必要がない。

②SLO要求

①SLO要求

③SLO要求

すべてのSPにシングル

ログアウト要求が届く

ユーザ

⑧ログアウト処理

⑥ログアウト処理

④ログアウト処理

各サイトごとにログアウトする必要なし

⑤SLO応答

⑦SLO応答⑨処理結果の通知


ID提供者(IdP)



SAML技術仕様の構成

Assertions認証、属性、認可の情報

ProtocolsAssertionを取得、送信するための、

Request/Responseのペア

BindingsProtocolsで定義されているメッセージの通信方式

(HTTP Artifact, HTTP Redirect, PAOS等)

ProfilesProtocolsとBindingsの組み合わせによる各種機能の実現方法

(WebSSO, SLO, ECP等)

Metadataプロバイダの定義情報

AuthnContext認証方式

様々な用途や利用環境に対応できるように、構成要素を選択し組み合わせて用いることが可能


SAML 2.0 :認証コンテキストの伝達SAML Assertion（XML文書）

ID （アサーションのシリアルナンバ）

発行者（IdPのURL等）

発行日時（タイムスタンプ）、有効期間等

アサーションを利用できるSP

認証コンテキスト（

認証手段、本人確認経緯、クレデンシャル保護手段等）

ユーザ情報へのリファレンス（IdPやSPにおける仮名）

電子署名（XMLSignature等）

その他（タイムスタンプ等）

認証情報(Authentication Statements)

属性情報、認可情報

認証コンテキストとは、認証結果の信頼度を伝えるために、その結果を導いた認証処理の詳細を表現したもので、以下の情報を含む。

– 本人確認経緯• 最初にどのような方法でユーザを確認したか。

（対面、オンラインなど）

– クレデンシャルのリスク対策手段• 情報漏えいなどのセキュリティリスクへの対策を

しているか。（鍵更新など）

– クレデンシャルの保護手段• 秘匿情報をどの手段で保護しているか（スマー

トカード、パスワード保護など）

– ユーザ認証手段• どのような手段でユーザを認証したか。（ID/パ

スワード、PKI、回線情報等など）

SPはIdPへの認証要求に認証手段を指定して依頼することが可能。

IdPは認証結果（SAML Assertion）にコンテキスト情報を記述することが可能。


海外での具体的事例（公共系）

英国：各種電子政府システムへのシングルサインオン（SSO）を実現。登録済IDは800万。

– 電子政府の各サイトへの国民の誘導と、各サイトでのユーザ登録システムとの連携とを狙う。

米国：EduTechシステムによりNY州の公立学校（約７００校）システムのSSOを実現。教師1万人が登録済。

– 他にも、一般調達局(GSA)で政府システム間の連携標準技術として採用

フィンランド: オンライン納税や公的文書の一元管理ノルウェー：個人情報にアクセスする政府系マイページポータルをLiberty対応に移行へ。イタリア：運転免許更新サイトへのSSOを提供。オーストリア：市民認証カードによるオンラインバンキングのユーザ認証をLiberty対応に移行へ。ＮＺ：市民が電子政府サービスに省庁を越えてＳＳＯできる。


デンマーク政府の事例

中央省庁・地方自治体全ての公共機関のサービス連携が目的。認証連携により、利用者は税金、福祉、情報提供などの政府系ｻｰﾋﾞｽをSSOで利用可能。

実施時期– 2005年から計画され、2008年

に開始ユーザ数– 国民550万人要求条件– 国際的な標準であること‒

市場に浸透していること

– 相互運用性の認定制度があること→SAML 2.0を採用展開規模– 開始時

• ポータル（IdP）：1• SP：12 アプリケーション：30

– 次年度• ポータル（IdP）：3• SP：25 アプリケーション：75


フランス政府の事例

サービス名

– “Mon Service Public”ユースケース1

– ID-FFに準拠したID連携に基づく SSO

– 1対多のID連携にも対応。（例：家族アカウント利用時など）

ユースケース2– ID-WSFに準拠した属性交換今後のスコープ

– CoT間連携（複数IdP間連携）– People Serviceへの対応

あらゆる公的サービスにシングルサインオンが可能な個人ポータル（IdP相当）を提供することが目的。ユースケースとして

①


②

属性交換

を挙げている。


スペイン/カタルーニャ州政府の事例

PASSI (Platform of Attributes for Security and Signature)

– 公的機関のIDや各機能の連携を展開– 電子証明書ベースの認証連携や属性交

換をSAML他を利用して実現

– 様々な組織のアイデンティティシステムに

適応するプラットフォームを提供

分散型のID/属性管理をベースに以下を提供。PASSI：複数のIDシステムを連携し、SAML等を活用して認証連携や属性交換を

実現するプラットフォームを提供する。WSCA：IDﾌﾟﾗｯﾄﾌｫｰﾑと連携してﾋﾞｼﾞﾈｽｱﾌﾟﾘｹｰｼｮﾝに対する電子署名サービスを提供

WSCA (Web Signature Creation Application)– ビジネスアプリケーションと連携するWebベ

ースの電子署名サービスを提供

– 公的機関のID管理システムと電子署名の

連携を実現

– “signature statement”を含むSAML準拠

のAssertionを発行


海外の具体的事例（B2E, B2B, B2C）

企業内・企業間システム– Boeing, Fidelity Investments, American Express, GM, Intel, HP, Sun, Star Alliance– 従業員向けに、企業内およびパートナー企業との業務効率化のためのポータルを提供。顧客向

けのサービスへの展開も検討中。

モバイル＆テレコム事業者– Orange/France Telecom, T-Online, Telefonica Moviles, TeliaSonera/Telenor, Bluewin

(Swiss Telecom)• 外部サービス事業者連携や自社内のオペレーションコスト削減

– T-Online（独テレコムの小会社）：• 1200万のISPユーザに対し、SSO、アグリゲーション、個人情報管理、年齢証明サービスを実現。

SaaS– Google AppsやSalesforce.comが認証ＡＰＩとしてSAML2.0をサポート

IDaaS (Identity as a Service)– ID管理をアウトソーシングサービスとして提供

• Covisint, Fischer International, Symplified, Protect Network他

Microsoft Geneva– Active Directoryの後継版で、SAML 2.0をサポートを表明


日本国内での具体的事例

トヨタ– 関連会社との認証連携によるシングルサインオン

UPKI– UPKI認証連携基盤を用いたシングルサインオン実験。7大学が参加。

日本大学、立教大学– SaaS利用のための認証連携

NHK– デジタル放送受信機向け認証連携技術の研究開発

NTT データ– イントラネット(２万ＩＤ、２００システム）とグループ企業ネットワーク(３万２千ID、２０

ｼｽﾃﾑ)との連携によるシングルサインオン– JAL ONLINE と出張旅費申請システムとの連携によるシングルサインオン

NTT コミュニケーションズ/ＮＴＴレゾナント– NTTコミュニケーションズ社のマスターＩＤとgooIDとを連携。

NTTドコモ– Mydocomo IDを中心にimode.net, DCMXを連携


新たな適用分野：モバイルSASSO：携帯電話上にSAML IdPを実装し強固認証をどこでも簡単に利用‒

ユーザセントリックで使い勝手のよいアーキテクチャ

‒

大きな拡張性。携帯電話の持つ認証機能を汎用的に利用可能

•

例：NTTドコモの認証サービス(FirstPass), 生体情報による認証等

‒

高いユーザビリティ。携帯電話さえあれば、ＰＣ等にインストール不要

‒

強化されたプライバシ。仮名ＩＤ連携による名寄せの防止。

携帯電話上

のIdP

SAML Assertion

SAML準拠

Service provider一般の

ブラウザ

中継サーバUSIM

インストール、ケーブル不要

AuthnRequest

強固な認証(PKI, 生体認証,

etc.)

http://www.nttdocomo.co.jp/


ユーザ情報

連携型ID管理

新たな適用分野：デジタルTV

ユーザ情報ユーザ

情報ユーザ情報

VODｻｰﾋﾞｽﾃﾞｼﾞﾀﾙ放送地デジ

IP放送

Tコマース通信ｻｰﾋﾞｽ

ﾜﾝｾｸﾞ

放送形態の多様化放送と通信の連携

パソコン携帯電話

DVRﾃﾞｼﾞﾀﾙTV

携帯ｹﾞｰﾑ

車載機器視聴端末の多様化

（双方向性、コンテンツ共有、ユビキタス）

多様な端末から多様なコンテンツとサービスへの簡単アクセス（シングルサインオン）プライバシを尊重した視聴属性情報の活用

⇒Liberty Alliance標準

化（公開中）

⇒Liberty Alliance, ETSI, ARIBで標準化済

視聴属性情報



Liberty Alliance IAFと関連文書の関係

OMB M-04-04

NIST Special Publication 800-63

ポリシを規定

US EAP CAF

Liberty Alliance IAF

ITU-T X.eaa

ISO WD 29115

参照

OpenID継承

提案中

共同文書？

OASIS SAML

（注）各仕様は策定中または改訂中のため一部推測を含む

FSTC HITSP

OASIS WS-*適用可能

２０１０年以降の勧告化に向けて議論中

FSTC：Financial Services Technology Consortium HITSP：Healthcare Information Technology Standards Panel

OASIS：Organization for the Advancement of Structured Information Standards


ＩＡＦ関係文書と関連団体の一覧OMB M-04-04 (E-Authentication Guidance for Federal Agencies)

– OMB（Office of Management and Budget, 米国行政管理予算局）が規定する連邦政府機関向けの電子認証にかかわるガイダンス

NIST Special Publication 800-63 (Electronic Authentication Guideline)– NIST （National Institute of Standards and Technology, 米国国立標準技術研

究所）が規定する電子的認証に関するガイドライン

• OMB（行政管理予算局）によって定義された4段階のセキュリティレベルを基礎にした電

子認証の使用に際して、技術的な必要条件を規定する。

– 最近の改訂ドラフトで、最も高いセキュリティレベルを要求されるレベル４でSAML Assertionの使用が認められた。ただしbearer Assertionは望ましくない。

CAF (Credential Assurance Framework)– 米国電子認証組合 (EAP, US E-Authentication Partnership) が規定していた仕

様。（CAF 2.0 は 2005年1月に発行）– アイデンティティ連携（ID連携）を行うウェブサービス事業者間において、情報の信頼

性等の相互確認等をより簡素化するための、ID情報の保証レベルや保証レベル毎に各事業者が満たすべき認証方式等の統一基準を規定する。

– 米国連邦政府一般調達庁 (GSA) や米国金融業界などが積極的に推進した。


ＩＡＦ関係文書と関連団体の一覧IAF (Identity Assurance Framework)

– EAPとLiberty Alliance(LA) の合併を受けて LA IAEG (Identity Assurance Expert Group) 部会が発足し、CAF の策定作業を継承し、改訂中の文書。（2008 年10月現在、IAF 1.1 が公開中）

– LAではITU-T（通信系）、FSTC（金融系）、HITSP(医療系)など各種国際標準化団体・業界団体への普及啓発を進めている

– LAでは同フレームワークの認定試験プログラムを検討中。X.eaa (Entity Authentication Assurance)

– ITU-T SG17にて仕様策定活動（2007年 9月～）が行われている認証レベル保証規定。

– 一部機能を除いて LA IAF 仕様を転用する前提で議論されている。– 現在、ISO との

Correspondence Group（2008年 4月～）が形成され、NIST、LA

等関係団体と共同で検討中。

WD 29115 (Entity Authentication Assurance)– ISO/IEC JTC1/SC27にて

ITU-Tと共同で仕様策定活動（2008年 4月～）が行わ

れている認証レベル保証規定。

– ITU-T における

X.eaa との共同文書化について議論中FSTC (Financial Services Technology Consortium)HITSP (Healthcare Information Technology Standards Panel)


IAF (Identity Assurance Framework) とはIAF とは：

– アイデンティティ連携（ID連携）を行うウェブサービス事業者間において、情報の信頼性等の相互確認等をより簡素化するための

• ID情報の保証レベル• 保証レベル毎に各事業者が満たすべき認証方式等の統一基準を規定する標準仕様。

– リバティ・アライアンス

IAEG (Identity Assurance Expert Group) が規定。

IAF 規定の経緯：– 米国電子認証組合（EAP）が規定していた保証レベル評価基準（CAF）に

由来。– EAP がリバティに吸収されたため、CAF 2.0 （2005年1月規定）を基にリバ

ティにて

IAF として規定。

（2008年10月現在、IAF 1.1 が公開中）

– 規定にあたっては、米国連邦政府一般調達庁（GSA）や米国金融業界などが積極的に標準化を推進

– リバティでは同フレームワークの認定試験プログラムを検討中EAP: US E-Authentication Partnership / CAF: Credential Assessment Framework


IAF 仕様の構成章見出し概要

2 Assurance Levels 個別のID情報に必要とされる信頼性を、用途から4段階に分類している

3 Service Assessment Criteria

ID情報を管理する上でサービス提供者が満たすべきアセスメント要件を

組織が満たすべき要件

組織が提供するサービスにおいて満たすべき要件

組織がクレデンシャルを発行する場合において満たすべき要件

の観点から4段階の Assurance Level 毎に規定している

4 Accreditation and Certification Rules

IAF を満たした実装、運用を行っているか認定、証明を行う、アセスメント事業者が満たすべき要件を規定し

ている

5 Business RulesIAF の相互運用にあたって当事者間で必要な契約の

要素（参加者の役割や、参加者が負うべき義務等）を

規定している


［2章］

Assurance Level （保証レベル）

の定義

保証

レベル概要適用サービス例

1ID情報に秘匿性、信頼性がほとんどないか、まったくない暗号化等を用いなくてもよいサービスが該当

eコマース等のウェブサイトへのログイン

2ID情報に秘匿性、信頼性があるシングルファクタ認証程度の信頼性

サービス事業者に登録している住所の変更

3ID情報に高い秘匿性、信頼性があるマルチファクタ認証程度の信頼性

証券会社のWebサイトでの取引

4ID情報に非常に高い秘匿性、信頼性があるハードウェアトークンを用いたマルチファクタ認証程度の信頼

性

医療情報の取り扱い

各保証レベルにおける認証要件や運用基準が規定されている。

本運用基準を満たすことで、リバティ仕様に従って相互運用を行う事業者間では、他事業者のIDを受け入れるにあたり、プライバシー、ポリシー管理に必要な要件が、各アイデンティティの保証レベルを参照することにより、簡単かつ確実に参照可能となる。


（参考）

各レベルにおけるリスクの定義

当該ID情報の流出時の脅威保証レベル

1 2 3 4

事業継続性や外部評価に不都合が生じる、困難になる、損なわれ

る小中大最大

金銭的損失や政府機関の責任小中大最大

政府機関の事業や公共の利益を損なう × 小中最大

機密情報の不当な流出 × 小大最大

個人の安全 × × 小大～最

大

民事上、刑事上の違法行為 × 小大最大

規定された各レベルごとに、当該レベルに規定されたID情報が第三者に流出するなどした場合のリスクを定義している。


（参考）

「クレデンシャルの運用環境」段階での基準例

保証レベル

要素保証内容

保証レベル

1 2 3 4

情報セキュリティ管理

機密情報の漏洩受託者に開示する場合であっても、長期機密情報のクリア・テキストでの開示期間を最小

限に抑える通信及び認証プロトコルを使用する

× ○ ○ ○

プロトコルの脅威に関す

るリスク評価及び管理

下記のプロトコルの脅威につい

て説明し、…

適切な管理を行う ○

承認可能なリスクのレベルにまでこれを下げる制御を

適用する

○ ○ ○

パスワードの推測 ○ ○ ○ ○

応答メッセージ ○ ○ ○ ○

傍受 × ○ ○ ○

検証者のなりすまし × × ○ ○

介入者攻撃 × × ○ ○

セッションの乗っ取り × × × ○

“Liberty Identity Assurance Framework version 1.1”

liberty-identity-assurance-framework-v1.1.pdf 57ページ～67ページ

から作成


［3章］

Service Assessment Criteria の定義参照

箇所大分類小分類規定例

3.5 組織が満たすべき要

件

企業、サービスの成熟度サービス実施者は有効な法的主体であることサービスの継続的実施に十分な財務基盤を持つこと顧客情報の保護に際し法規制を順守することを明示すること

サービス規約のユーザへの

提示、合意取得

提供条件（料金、プライバシポリシー等）をユーザに開示すること提供条件の変更時のユーザへの通知方法を規定していること

情報セキュリティ管理セキュリティポリシーや運用手続き文書化していることサービス実施者はセキュリティ管理上の責任者を置くことセキュリティに関わる人材の教育を行っていること

セキュアな通信ユーザの秘密情報へのアクセス時にはセキュアな通信路を確保すること

3.6組織が提供するサー

ビスにおいて満たす

べき要件

運用ポリシーサービス実施者は利用者に一意のIDを付与すること

ユーザの身元の検証サービス実施者は利用者の身元を確認すること（手段：身分証、クレジットカード等、方式：郵送、面談等）

検証記録の管理サービス実施者は利用者の身元情報を一定期間、管理しなければならない

3.7組織がクレデンシャ

ルを発行する場合に

おいて満たすべき要

件

運用環境ユーザの機密情報の管理ポリシーを規定していること

クレデンシャルの発行クレデンシャル発行時のユーザ認証手段のレベル別の規定クレデンシャル発行時にユーザの非否認性を確保していること

クレデンシャルの取消クレデンシャル取消時にユーザの非否認性を確保していること

ステータス管理ステータス情報を維持すること、一定期間利用されなかったステータスを無効化すること

クレデンシャルの検証、認証一度、無効化されたクレデンシャルを再利用しないこと一定時間が経過したクレデンシャルを無効化すること


［4章］

Accreditation and Certification Rules の定義概要：

– ウェブサービス事業者等に対してIAF を満たした実装、運用を行っているか認定、証明を行う、アセスメント事業者が満たすべき要件を規定している

主な定義内容：

– アセスメント機関の評価、認定手続き– ウェブサービス事業者による申請、およびアセスメント機関による認定手続

き

– ウェブサービス事業者がアセスメント機関による認定に不適合だった場合の取扱い

– ウェブサービス事業者が「IAF準拠」と表明できる条件


［5章］

Business Rules の定義概要：

– IAF 実施に必要な各エンティティの役割、義務等を規定する。

主な定義内容：– エンティティの役割

• Liberty IAEG：

本仕様の策定機関。アセスメント機関の認定機関。アセスメン

ト機関の認定に沿って、CSPを認定する。• アセスメント機関：

Liberty IAEG の認定に基づき、CSP に対する監査作業を

行う。• CSP（Credential Service Provider）：

ユーザに対しクレデンシャル（認証トー

クン）を発行する機関。リバティ、SAML仕様におけるIdP。• ウェブサービス事業者：

リバティ、SAML仕様におけるSP。

– エンティティ間の関係• IAEG はアセスメント機関の監査に基づき

CSP (Credential Service Provider)

を認定するとともに、CSP が発行するクレデンシャル（証明内容）について責任を負う。

• アセスメント機関は、IAEG から「CSPに対する

IAF 監査者機関としての認定」を受ける。

• 各エンティティはユーザの機密情報を取得する際にはインフォームドコンセントを行う。

– その他• 認定、証明取得時の違反行為に対する罰則規定。


まとめIAF とは：

– ID情報流通時の情報の信頼性を担保する統一基準として、• ID情報の保証レベル• 保証レベル毎に各事業者が満たすべき認証方式等の統一基準を規定する標準仕様。リバティ

IAEG が規定。

IAF の規定：– 保証レベルの規定

• 「レベル1」（eコマースサイトへのログイン）から「レベル4」（医療情報へのアクセス）まで

• 各レベルでの情報漏えいリスク– アセスメント基準の規定

• IAFに対応するウェブサービス事業者が満たすべき組織、サービス提供基準、クレデンシャル発行基準

– アセスメント事業者の規定– ビジネス要件（参入要件）の規定


コンコーディア・プロジェクト

概要– リバティアライアンス(SAML, ID-WSF)、OpenID、CardSpace(WS-*)等の相

互運用の実現を目指すプロジェクト

– ユースケースの検討及び公開相互運用デモ実施等の活動を行っている参加メンバ

– 誰でも参加可能。リバティ・アライアンスとは独立した組織。• Microsoft, 米連邦政府一般調達庁、米国陸軍、カナダ州政府機関、

Boeing, GM, AOL, Chevron, Cisco, NTT, NRI, Internet 2, Sun等対象ユースケース

– SAML⇔OpenID相互運用

（2009年公開デモ実施予定）– SAML⇔CardSpace相互運用

（2008年公開デモ実施済み）

• デモ参加メンバ：

Inernet2, マイクロソフト, オラクル, Ping Identity, サン・マイクロシステムズ, SymLabs, ニュージーランド政府機関


OP

IdP

RP

(5) サービス利用

(4) IdP

で認証

多要素認証を必要とする

OpenID対応サービス提供者へのログインの際に、一

部の認証を SAML対応ｱｲﾃﾞﾝﾃｨﾃｨ提供者で実施する。

OpenID対応アイデンティティ提供者が

SAML／OpenID変換を行う

(4) SAML IdP

（OTP）で認証

(2) OpenID

（パスワード）で認証

擬似的なSAML トラストサークル

(2) OP で認証

(1) 多要素認証を要求

(3) SAML IdP

での認証要求

コンコーディア：相互運用のユースケース OpenID-> SAML

http://www.openid.or.jp/index.html

http://www.openid.or.jp/index.html


コンコーディア：相互運用のユースケース CardSpace -> SAML

•異なるシングルサインオン方式をつなぎ合わせて、相互運用性を実現•例：

CardSpaceを使うユーザが、SAML対応のサービスを利用可能になる。

•CardSpace側とSAML側の認証ポリシーの整合性確保が重要

Request for

security token

Securitytoken

STS RP(InfoCard

enabled)

RP (SAML enabled)User(CardSpace

Client)

IdP(SAML

enabled)

Authentication request/response

Service request/response


eGov SIGの取組み2007年3月発足、活動内容の詳細は非公開設立の目的

– リバティ・アライアンス(LA)の他の組織（技術部会、プライバシーポリシー部会、マーケティング部会など）と協調しながら、電子行政システム、電子政府システムのLA/SAML仕

様の導入に必要な提案（仕様、白書などの策定）を行う。

現在のおもな参加者– ニュージーランド政府機関(State Services Commission) – デンマーク政府機関

(National IT and Telecom Agency)

– スペイン/カタルーニャ州政府機関(Agencia Catalana De Certfiicacio)– Sun Microsystems、France Telecom、Symlabs

主な取り組み–米国GSAなどと連携し、電子政府システムなどにSAMLを適用す

るための標準仕様「SAML eGov Profile」を策定中• 国別の差分表も追加。現在、ニュージーランド及びデンマークが含まれる


SaaSへの導入事例 IDaaS: Identity as a Service

ID管理をサービスとして提供Covisint

– 自動車や健康医療業界の会社間(B2B)の取引におけるID管理サービスを提供

Fischer International– 顧客会社のID管理サービスをアウトソース化して提供

Rearden Commerce– 会社や個人が出張等に必要なサービスを探し手配する場合のID管理機能を提供

Symplified– クラウドコンピューティング環境上に実現したID管理サービスを提供

Protect Network– 顧客会社のID管理サービスをアウトソース化して提供


ＩＤ管理に関する新組織についてLiberty Alliance他が2009年春に新組織を発足させることを計画中現Liberty Allianceの活動は新組織へ移行

異種仕様間の相互運用の実現が主な目標(SAML, ID-WSF, OpenID, MS系のCardSpace等）

活動参加は自由かつ無料（評議会メンバになるためには会費が必要）

Liberty Alliance他が2009年春に新組織を発足させることを計画中現Liberty Allianceの活動は新組織へ移行

異種仕様間の相互運用の実現が主な目標(SAML, ID-WSF, OpenID, MS系のCardSpace等）

活動参加は自由かつ無料（評議会メンバになるためには会費が必要）

相互接続、ID保証レベル認定、ID統制、

IDポータビリティ等

評議会

メンバ１メンバ２メンバＮ

年会費

プロジェクトリーダ

ﾌﾟﾛｼﾞｪｸﾄ１ﾌﾟﾛｼﾞｪｸﾄ２ﾌﾟﾛｼﾞｪｸﾄＮ

予算請求

事務局

組織運営上のサポート

x%: 固定費y%: 通常予算z%: 特別予算

事務作業の共通化

によるコスト削減

予算の効率的運用投資リスクの削減

知財ルールの共通化、シナジーの醸成

国際的かつ業界横断

的なアライアンス

Documents

リバティ・アライアンスの取組みについて · 市民ポータルサービスでのid連携、政府内サービスのid連携 13. アイスランド： 市民サービスのid連携

リバティ・アライアンスの取組みについて · 市民ポータルサービスでのid連携、政府内サービスのid連携 13. アイスランド：市民サービスのid連携