Skip to Content Java Solaris コミュニティ パートナー 開発者 マイ・アカウント ご購入について (0120-33-9096) Japan Worldwide
Sun Inner Circle for information technology leaders

企業間のデジタル・アイデンティティは、
アイデンティティ・フェデレーションで一発解決!

ビジネス上の観点から考えると、パートナー企業とのコラボレーションによって顧客や従業員に製品やサービスを提供するのは、収益、顧客のロイヤルティ、競争優位性を確実に高めるための最優先事項です。しかし、ITの観点で考えると、こうした複数の組織間の提携関係とWebサービス提供の増大は、ユーザ・アイデンティティの管理に厄介な問題をもたらします。

提携関係にある組織は、様々な提携先ドメインからなる拡大する組織にまたがって数千、時には数百万にもなる個人のデジタル・アイデンティティをどのようにして検証するのでしょうか。その一方で、シングル・サインオン(SSO)をユーザに提供するには、ITシステムでは、どのようにしてアプリケーションや情報へのアクセスを保護し、どのようにしてWebサービス配信のセキュリティを確保するのでしょうか。複数のITシステムは、携帯電話の顧客や市場関係者などのアイデンティティをどのようにして認証、承認するのでしょうか?

これらの質問に対する回答は、アイデンティティ・フェデレーションにあります。アイデンティティ・フェデレーションは、提携する組織が複数ドメイン間でデジタル・アイデンティティを安全に共有するための技術と規格です。アイデンティティ・フェデレーションは、外部ユーザが信頼できる提携先に認証されたことを組織が受け付ける監査可能なフレームワークを提供するとともに、提携先サイトにまたがるSSOを可能にします。

今号のInner Circleでは、アイデンティティ・フェデレーションの基礎講座も同時掲載しましたので、基本知識を知りたいかたは、まずこちらの記事をお読みいただいてから、ここに戻ってきてください。

≫ 知って損なし、アイデンティティ・フェデレーショ ~基礎の基礎講座~

フェデレーテッド・トランザクションのセキュリティを確保するために、多くの企業がWebサービス・セキュリティを使い始めていますが、一方で依然として、ポイントツーポイント・ソリューションを利用している企業もあります。ポイントツーポイント・ソリューションは、あまりにも複雑で、フェデレーションで可能になるアイデンティティに基づいた高度なセキュリティを実現することはできません。例えば、SSL(Secure Socket Layer)セキュリティは、アイデンティティ・キャプチャ、監査能力、実施手段を一切提供しません。また、Webサービス・トランザクションで何が起きたかを証明することもできません。最先端のアイデンティティ・フェデレーション・ソリューションには、これらの機能や手段が組み込まれています。

アイデンティティ・フェデレーションの概念は、数年前に生まれました。当初は、提携組織がアイデンティティ・データを安全に共有するための共通の基準の作成がコンセプトでした。その境界を越えて他企業と取引する企業は全て、境界をまたぐアイデンティティ管理に取り組まなければなりません。このため、アイデンティティ・フェデレーションは、ITとビジネスの双方からますます大きな注目を集めています。この基本課題におけるアイデンティティ・フェデレーションの役割は、次の3つの段階で展開されてきました。

第1段階:社内でのSSO
フェデレーテッド・アイデンティティの先駆けとなったのは、社内でのSSOでした。これによって従業員は、単一のセキュリティ・ドメイン内で、単一のユーザ名とパスワードを使い、複数のアプリケーションにログインすることが可能になりました。この段階では、最も基本的なSSOの問題を解決することに焦点が当てられていましたが、アイデンティティのセキュリティ保護はさらに複雑化しました。社内アプリケーションの代替あるいは補完アプリケーションとしてGoogle CalenderやFacebook、WordPressといった消費者指向のWebアプリケーションを利用する従業員が増えるにつれ、現在は、アイデンティティのセキュリティを保護するためのフェデレーテッドSSOの必要性は、企業内で組織的に増大しています。

第2段階:エクストラネット対応
アウトソーシングによってコストを削減し、かつ、フェデレーションを活用することで顧客向けのサービスを拡張し、収益を伸ばせることから、エクストラネット・レベルでのフェデレーションへの要求が高まりつつあります。フェデレーションは、企業同士が互いのリソースを安全に利用できるようにするための強力な手段を提供します。

第3段階:Webサービス・セキュリティ
人々の関心は、組織が提供するWebサービスのセキュリティの確保へと向かうようになっています。これは、Webサービスにアクセスするユーザの認証プロセスにアイデンティティ・フェデレーションを結び付けることで実現できます。このシナリオでは、Webサービスへのアクセスは、サービス指向アーキテクチャ(SOA)内でフェデレーションによって推進されるアイデンティティ管理ソリューションを使ってセキュリティ保護されます。

標準規格に基づくアイデンティティ・フェデレーション・ソリューションを使用すると、Webサービスとして開発されて提供されるそれぞれのアプリケーションにセキュリティを組み込む必要がなくなります。今日数多く見られるサービス中心のWebサイト、特に、金融サービスや通信などのトランザクション型の業界のWebサイトでは、何百ものトランザクションが実行されています。こうしたトランザクションのセキュリティを保護するために拡張する上で、各アプリケーションにセキュリティを組み込む必要がない、というのは極めて重要です。

SAML(Security Assertion Markup Language)、WS-Federation、WS-Security、及びWS-Trustのような規格の成熟に伴い、アイデンティティ・フェデレーションは研究の域を出て、規格に基づいた現実のサービスになっています。しかし、普及が拡大している今でも、アイデンティティ・フェデレーションについては次のような俗説が語られています。

俗説1:フェデレーションの実装には多大な時間がかかる
そのようなことはありません。多くの場合、エンドツーエンド・ソリューションを90日以内で実装できます。通常、その大半はアーキテクチャの設計や計画のための時間で、実際の導入時間はわずか数週間や数日間です。

俗説2:フェデレーションは高価で、大きな投資を必要とする
アイデンティティ・フェデレーション・ソリューションは実装時間が短くて済むため、非常に手頃なコストで導入できます。繰り返しが可能でスケーラブルなソリューションであるため、一度導入すると、運用費を削減しながら収益を伸ばすことが可能です。

俗説3:フェデレーションは既存のアクセス管理基盤を必要とする
これも誤りです。効果的なフェデレーション・ソリューションは、アーキテクチャにとらわれないため、既存のアイデンティティ基盤を変更する必要はありません。

俗説4:フェデレーション、Webサービス・セキュリティ、アクセス管理は、それぞれ独立した製品で、別々にライセンスを取得し、導入する必要がある
サンのフェデレーテッド・アイデンティティを使用した場合は、事実ではありません。Sun Java System Access Managerは必要なものの全てを装備したJava EEアプリケーションであり、フェデレーション、アクセス管理、Webサービス・セキュリティを1つの製品でカバーします。

ページ先頭へ

Sun Java System Access ManagerSun Java System Federation Managerは、スケーラブルで、規格に基づき、速やかに配備できる、フェデレーション機能を備えたアイデンティティ管理ソリューション、というニーズを満たす製品です。

Access ManagerとFederation Managerの両方とも、高度な統合が可能な、基盤に捕らわれないフェデレーション・ソリューションを提供し、速やかに展開して提携先や外注先などの外部ユーザにアクセス管理を拡張できます。Federation ManagerはAccess Managerのサブセットのフェデレーション専用ソリューションであり、企業の既存のアイデンティティ基盤上に配置できます。一方、Access Managerは、アクセス管理、フェデレーション、及びWebサービス・セキュリティの3つの基本機能をカバーします。

このソフトウェアはオープンソースのOpenSSOコードベースから構築されており、次期リリースでは次の拡張サポートと機能を装備して、ユーザが一般的なタスクを容易に完了できるように簡素化に焦点があてられます。

アクセス管理: 構成と導入を一元化し、XACML(Extensible Access Control Markup Language)をサポート
フェデレーション管理: 相互運用性を拡大し、WebサービスのためのWS-Federation 1.1仕様をサポート
Webサービス・セキュリティ: サン、IBM、BEAのWeb及びアプリケーション・サーバ向けの新しいWebサービス・セキュリティ・プラグイン

Sun Java System Access Managerを導入してアイデンティティ・フェデレーションを実現している企業の例を次に示します。

ある世界有数の自動車メーカは、業務提携先のサービスに対する従業員のアクセスを簡素化することで、業務関係の生産性を改善したいと考えていました。フェデレーションに基づくSSOは、従業員が業務提携先に応じて異なるパスワードを使用することなく複数提携先のサービスに安全にアクセスできるようにするための鍵でした。

ある自動車メーカでは、従業員は複数のフェデレーテッド・ドメインにまたがってセキュリティ保護されたSSOを利用し、提携先サイトで年金情報を参照することができます。

Sun Java System Access Managerを導入した結果、会社の7万人以上の従業員は、別のWebサイトにログオンしなくても、提携先のファイアウォールの内側にある年金情報に直接アクセスできるようになりました。サンのフェデレーション・ソリューションは標準規格に基づいているため、提携関係を無限に拡張し、これを使って新しい機会を追求する、という柔軟性がもたらされました。

ページ先頭へ

通信事業者がサービスを提供できるようにするソリューションの世界的なプロバイダは、データ・フェデレーションを含む大きな加入者データ統合構想に着手しました。複数のネットワークとサービスへのSSOを可能にするためにSun Java System Access Managerを導入することで、コンテンツ・サービス・プロバイダが運営企業のポータル経由でサービスを提供することを可能にし、オンラインでの旅行計画や管理、天気予報、交通情報を携帯機器などに届ける新しい付加価値サービスを加入者に提供できるようになりました。

アイデンティティ・プロバイダの通信会社は、フェデレーテッドSSOを使ってサービス・プロバイダからコンテンツを集め、エンドユーザである顧客に提供します。

次の図に見られるように、実装は、データの一元化からネットワーク内データ統合、そしてネットワーク間フェデレーションへと向かうデータ統合取り組みの一環として行われました。

3階層からなる加入者データ管理の取り組み
データの一元化 データ統合
(ネットワーク内)		 データ・フェデレーション
(ネットワーク間)
1つの階層のアプリケーションの全データを論理データベースに一元化

米国で最初に口座へのオンライン・アクセスを提供した最大の小売銀行は、支払済み小切手の画像をオンラインで表示する機能を顧客に提供したいと考えていました。ただし、サービスに必要なIT基盤を導入したり社内で管理したりする負担を敬遠していました。そこでその銀行では、Sun Java System Access Managerを使って、サービスを提供する提携先とフェデレートし、Webサービス・セキュリティを実装することにしました。

Sun Java System Federation Managerがフェデレーテッド・システムを推進して、銀行顧客がオンラインで小切手を表示できるようにしています。

この例では、フェデレーションに基づくSSOにより、銀行の顧客は銀行のオンライン・サービスに安全にログインし、提携先サイトで再度認証を受けずに小切手の画像をシームレスに表示できます。Federation Managerは基盤にとらわれないため、銀行や提携先は既存のアイデンティティ管理基盤を変更しないで簡単に機能を実装できました。

ますます多くの企業が、複数の提携組織間で安全かつ効率的で、費用対効果に優れたオンライン・コラボレーションを実現するための基盤を求めているなか、今日、アイデンティティ・フェデレーションは特に注目されている話題です。複数組織間での安全なサービス提供と情報共有を実現するアイデンティティ・フェデレーションの素晴らしい可能性が、ますます認識されつつあります。

同時に企業は、事業体やアプリケーション間の高価なポイントツーポイント接続から移行したいと考えています。SOAとそのコンポーネントに基づいたモデルを使用すれば、フェデレーションのための安全なフレームワークをこれまでになく簡単に構築することができるのです。


Reader Survey
この記事は参考になりましたか?
     

コメントがございましたらご記入ください

ページ先頭へ
Vol.54
  知って損なし、アイデンティティ・フェデレーション ~基礎の基礎講座~
  企業間のデジタル・アイデンティティは、アイデンティティ・フェデレーションで一発解決!
  いかに安全に自社ITをアウトソースするか?

関連情報:
  サンのSOAソリューション
  Sun Java System Access Manager
  Sun Java System Federation Manager
  The OpenSSO Project(英語)

Sun Inner Circle
業界の最新トレンドがわかる技術情報マガジンSun Inner Circleに今すぐご登録ください!
≫ 登録
≫ バックナンバー
印刷用ページ