Upload
openid-foundation-japan
View
1.692
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Cloud Identity Summit 2011 TOI
工藤達雄
このセッションにてお話しすること
• Cloud Identity Summit (CIS) 2011の TOI
(Transfer of Information) です。
• CIS 2011 のワークショップやセッションの中から、興味深いネタをご紹介します。
Cloud Identity Summit 2011 とは
• www.cloudidentitysummit.com
• 「クラウド・アイデンティティ」にフォーカスしたカンファレンス
• 今年で 2 回目
• 全4日間– 7/18, 19: ワークショップ
– 7/20, 21: セッション
CIS 2011 のトピック• モバイルとクラウドのアイデンティティ
• クラウドにおける統制
• 大規模クラウドアプリケーションの管理
• 散在するアプリケーション間の接続
• コンシューマ・サービスの ID 活用への対応
• クラウド および SaaS におけるプロビジョニングの実現
• 企業内におけるソーシャル・メディアのアイデンティティ
• クラウドの認可
• サプライチェーンの統合
• カスタマー・エンゲージメント
• 複数アイデンティティの連鎖
• クラウド・ディレクトリの統合
• クラウド API サービス
• ソーシャル・メディアと企業
• RESTful なアイデンティティ API とOAuth
7/18, 19: ワークショップ
Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm
7/20, 21: セッション
Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm
CIS 2011 を通じて感じたこと
新しい標準への期待が高まっている
• API 認証は OAuth 2.0
• アイデンティティ API は OpenID Connect
• ユーザー・プロビジョニングは SCIM
Google のサポート• “Years ago when it was InfoCards and SAML and OpenID and OAuth, it was
confusing to them. Now there is a simple message. Ignore the technology, it’s a simple marketing message – it’s OAuth 2.0 [and OpenID Connect].
– Google gives testers new identity UI, OpenID Connect support• https://www.pingidentity.com/blogs/pingtalk/index.cfm/2011/7/21/Google-gives-testers-new-
identity-UI-OpenID-Connect-support
Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate
OAuth 2.0 (w/ OpenID Connect)
@ Google• アイデンティティ API は
OpenID Connectに統一– CIS 開催に合わせて API を公開
• その他のデータアクセス API 認証は OAuth 2.0 に統一– Apps Marketplace の 2-
legged OAuth も– Android の
AccountManager も
Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate
SCIM Simple Cloud Identity Management
• http://www.simplecloud.info/
• クラウド・サービスにおけるアイデンティティ・プロビジョニング・インタフェースの共通仕様(を目指す)
• 特長– RESTful API
– CRUD (Create, Rename, Update, Delete) に特化
– シンプルで拡張しやすいユーザー・スキーマ
– Salesforce.com, Google, Cisco (WebEx), VMware など、有力クラウド・サービス・プロバイダが参加
• Ping Identity, Sailpoint, UnboundIDなどのソリューション・プロバイダも参加
Source:
http://www.simplecloud.info/specs/
draft-scim-scenarios-04.html
ECS
(e.g. クラウドサービス利用企業)
CSP
(e.g. クラウドサービス事業者)
追加リクエスト
処理レスポンス
SCIM の例 (ユーザー生成)
POST /User HTTP/1.1
Host: example.com
Accept: application/json
Authorization: Bearer h480djs93hd8
Content-Length: ...
{
"schemas":["urn:scim:schemas:core:1.0"],
"userName":"bjensen",
"externalId":"bjensen",
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
}
}
HTTP/1.1 201 Created
Content-Type: application/json
Location: http://example.com/v1/User/uid=bjensen,dc=example,dc=com
ETag: "e180ee84f0671b1"
{
"schemas":["urn:scim:schemas:core:1.0"],
"id":"uid=bjensen,dc=example,dc=com",
"meta":{
"created":"2011-08-01T21:32:44.882Z",
"lastModified":"2011-08-01T21:32:44.882Z"
},
"name":{
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen",
"givenName":"Barbara"
},
"userName":"bjensen"
}
Source: https://groups.google.com/forum/#!topic/cloud-directory/w-WgLPmw6gQ
SCIM in Action
See Also: http://www.cloudidentitysummit.com/images/presentations2011/2_Harding-Cloud_Identity_Summit_Keynote_2011.pdf
SCIM の今後
• V1.0 Dates
– 10/18: IIW にてデモ
– 10/30: バージョン 1.0
Draft 1 確定
– 11/30: インタロップ
その他のプロビジョニングネタ (1)
Just-in-Time Provisioning
その他のプロビジョニングネタ (2)
Cloud Identity & Access Governance
その他のプロビジョニングネタ (3)
BYOI (Bring Your Own Identity)
Source: http://www.cloudidentitysummit.com/images/presentations2011/2-4_A_Iverson_Hybrid_Identity_Management_for_the_Cloud_jjw_v4.pdf
モバイル対応
• 「スマートフォン対応ページ」
• 「アイデンティティ対応API」
「アイコンを小さくすることなんて、モバイル対応のうちに入らないよ」
「アイデンティティ + コンテクストこそが境界となる」(チャック・モーティモア)
Source: http://www.cloudidentitysummit.com/images/presentations2011/2-3_ChuckMortimoreCIS2011.pdf
ユーザー・エージェントの多様化
• モバイルはもちろん、「パートナー Web サイト」もまた、新たなユーザー・エージェント、ということ
q
「API インタラクションの軸としてアイデンティティを考えない人 → ゲーム終了」 (クレイグ・バートン)
See Also: http://prezi.com/wusbhfpm1ssf/identity-in-an-api-economy/
アイデンティティ業界関係者が総集合
• Bob Blakley さんの写真集
– http://flic.kr/s/aHsjvuYXY8
超アットホーム!
まとめ
オーソリテイティブ・ソース(人事システムなど)
プロビジョニング・システム
アイデンティティ・リポジトリ /
SSOシステム
Web
アプリケーション
Web
アプリケーション
Web
アプリケーション
Web
アプリケーション
ユーザー(Webブラウザ)
旧き良き時代のエンタープライズ IdM
企業
プロビジョニングアクセス
認証
アクセス保護
オーソリテイティブ・ソース(人事システムなど)
プロビジョニング・システム
アイデンティティ・リポジトリ /
SSOシステム
SaaSプロバイダ
Web
アプリケーション
Web
アプリケーション
Web
アプリケーション
ユーザー(Webブラウザ)
最近のエンタープライズ IdM
企業
オーソリテイティブ・ソース(人事システムなど)
プロビジョニング・システム
アイデンティティ・リポジトリ / SSO /
トークン管理システム
SaaS
プロバイダ
SaaS
プロバイダ
Web
サービス
Web
サービスユーザー・エージェント
(Webブラウザ)
今後のエンタープライズ IdM
ユーザー・エージェント(モバイルApp)
ユーザー・エージェント
(外部サービス)
ユーザー・エージェント
(デスクトップApp)
ユーザー・エージェント
(Webサービス)
企業
API
API
API
API
オーソリテイティブ・ソース(人事SaaSなど)
プロビジョニングSaaS
SaaS
プロバイダ
メガSaaS
プロバイダ
ユーザー・エージェント
(Webブラウザ)
さらに今後のエンタープライズ IdM
ユーザー・エージェント(モバイルApp)
ユーザー・エージェント
(外部サービス)
ユーザー・エージェント
(デスクトップApp)
ユーザー・エージェント
(Webサービス)
企業
SaaS
プロバイダ
SaaS
プロバイダ
プロビジョニング /
アイデンティティ・リポジトリ / SSO /
トークン管理サービス
API
API
API
API
オーソリテイティブ・ソース(人事SaaSなど)
プロビジョニングSaaS
SaaS
プロバイダ
メガSaaS
プロバイダ
ユーザー・エージェント
(Webブラウザ)
さらに今後のエンタープライズ IdM
ユーザー・エージェント(モバイルApp)
ユーザー・エージェント
(外部サービス)
ユーザー・エージェント
(デスクトップApp)
ユーザー・エージェント
(Webサービス)
企業
SaaS
プロバイダ
SaaS
プロバイダ
プロビジョニング /
アイデンティティ・リポジトリ / SSO /
トークン管理サービス
API
API
API
API
プロビジョニングAPI: SCIM
API 認証:
OAuth 2.0
アイデンティティAPI: OpenID
Connect
リソース
• プレゼンテーション資料– http://www.cloudidentitysummit.com/
Presentations-2011.cfm
• http://www.cloudidentitysummit.com/の「 2011 Presentations have been Posted!」 をクリック
• #cis2011 まとめ– http://chirpstory.com/li/2042
– http://chirpstory.com/li/2049
• http://chirpstory.com/id/tkudosからたどるとよいかも
Thanks!
Tatsuo Kudo
linkedin.com/in/tatsuokudo