Liberty Alliance Project : Webサービス アプリケーション アーキテクチャ へ 与 えるインパクト Jason Rouault/Hewlett-Packard Chairman, Liberty Alliance Technology Expert Group
本 日 の 議 題 アーキテクトが 直 面 しているビジネスの 課 題 アプローチ 方 法 Liberty Allianceの 問 題 への 取 り 組 み 事 例 : 連 携 認 証 およびwebサービスの 実 際 ベネフィット
Webサービス セキュリティ 認 証 Web 企 業 にWebサービスのセキュリティについて 全 く 新 しい 考 え 方 を 提 案 信 頼 できるサード パーティ 認 証 アプリケーション1 アプリケーション3 アプリケーション2 ユーザ 認 証 Invoker( 発 動 者 )の 認 証 ドメイン 1 ドメイン 2 認 証 SOAP XML WSDL UDDI WAP HTTP SSL/TLS XML Enc XML-DSIG WSS SAML
Webサービス セキュリティ 認 証 企 業 が 革 新 的 なWeb Webサービスを 計 画 する 際 に 直 面 する 問 題 : 認 証 管 理 技 術 製 品 の 間 で 相 互 運 用 性 がない 企 業 が 個 人 情 報 および 多 様 なWebサービスに 関 わる 機 密 事 項 の 管 理 に 対 する 標 準 技 術 およびベストプラクティスがない 企 業 が 個 人 情 報 を 消 費 者 および 他 のエンドユーザから 守 る 認 証 管 理 モデルがない( 集 中 モデル 型 のセキュリティの 危 険 性 を 軽 減 する) 大 切 な 顧 客 のプライバシーを 守 り 多 種 多 様 なプライバシー 規 則 に 対 応 するベスト プラクティスを 確 立 した 産 業 がない Liberty Allianceは 安 全 かつ 相 互 運 用 可 能 な 認 証 に 基 づく Webサービスを 運 営 できる 革 新 的 なフレームワークにより 問 題 を 解 決 します
いくつのパスワードとEメール アドレスをお 持 ちですか? 問 題 様 々な 個 人 情 報 が 分 離 し たインターネット サイトに 散 在 している 例 えば ユーザーネーム: Jason Rouault Email: jrouault48@freemail PIN: wcs@foobar クレジットカード 番 号 社 会 保 険 番 号 運 転 免 許 書 パスポート 番 号 娯 楽 趣 味 興 味 従 業 員 認 証 ビジネスカレンダー レストラン 情 報 学 歴 病 歴 資 産 1
すべての 認 証 情 報 を 維 持 するには コストが 発 生 様 々な 個 人 情 報 は 分 離 し たインターネット サイトの 中 に 散 在 ユーザ 承 認 ユーザにとって 不 便 で 面 倒 ビジネスごとに 異 なる 市 販 の 認 証 サービスは 開 発 および 導 入 が 難 しい 維 持 費 が 高 い 異 種 システムへの 連 続 的 な 再 認 証 従 業 員 を 管 理 しているすべての 企 業 でも 同 じ 1
連 邦 型 認 証 にアプローチする Liberty Project 集 中 型 モデル オープンな 連 邦 型 モデル 単 コントロールが 単 同 一 リポジトリの 中 のネットワーク ア イデンティティおよびユーザ 情 報 集 中 一 の 障 害 がシステム 全 体 に 影 響 種 システムへのリンク 様 分 単 同 々な 場 所 のネットワーク アイデンテ ィティおよびユーザ 情 報 散 したコントロール 一 の 障 害 の 影 響 がない 種 および 異 種 システムへのリンク Central Provider Provider Provider Provider Provider Provider Provider
Separate Cards with Each Bank Linked Cards within Bank Networks A Lesson in Value - ATM Networks Seamless Access Across all Networks Bank A ATM Card Bank B ATM Card Bank ATM Network A Bank ATM Network B Bank A ATM Card Bank B ATM Card Bank ATM Network A Bank ATM Network B Bank C ATM Card Bank ATM Network C Bank C ATM Card Bank ATM Network C Individual Accounts with Many Web Sites Federated Accounts within Trust Domain Linkage of Trust Domains
There are a number of approaches in use today B2C Travel Industry Car Rental Hotel B2E Employee Intranet 401k 3d Party Providers Airline Partner Airlines Company Intranet Employee Purchase Plans Cruise Line Livery Health Insurance Dental Insurance B2B Financial Services B2B - Automotive Treasury Debt Suppliers Dealers Commercial Banking Equity Manufacturers Transport Agencies Clearing House Credit Fleet Financing There is Business Value in Network Identity
連 事 すべての 認 事 個 Libertyのソリューション -フェィズごとのアプローチ 迅 速 な 受 信 および 配 信 をサポート 相 互 に 組 み 込 まれるフェイズ 拡 張 拡 大 が 可 能 Phase 1 (2002 年 7 月 15 日 発 表 ) 邦 型 ネットワーク 認 証 業 協 定 によって 作 られた 認 証 領 域 内 の 自 由 に 選 択 できるアカウント リ ンクおよび 簡 素 化 されたサインオン 機 能 および 仕 様 に 対 応 でき るセキュリティ Phase 2 (2003 年 4 月 15 日 ドラフト 発 表 ) 証 に 基 づいた 属 性 共 有 コア アイデンティティ プロフィール サービス 向 けのスキーマ/プロトコ ル 業 協 定 によってバージョン1.0で 作 られた 認 証 ドメインに 対 応 できる 簡 素 化 されたサインオン 人 情 報 /アカウントを 連 携 する 権 限 の 委 任 Liberty は 予 定 通 りに 進 行 www.projectliberty.org
Liberty Solution - Modular Architecture The Liberty architecture is composed of modules that can be implemented independent of each other and is based on a foundation of open industry standards foundation of open Liberty Identity Federation Framework (ID-FF) Enables identity federation and management through features such as identity/account linkage, simplified sign on, and simple session management Liberty Identity Services Interface Specifications (ID-SIS) The schema, and instantiation of the technical implementation as defined by ID-WSF, to provide for interoperable identity services such as personal identity profile service, alert service, calendar service, wallet service, contacts service, geo-location service, presence service and so on. Liberty Identity Web Services Framework (ID-WSF) This module will provide the framework for building interoperable identity services, permission based attribute sharing, identity service description and discovery, and the associated security profiles SAML HTTP WSS WSDL XML Enc WAP XML SSL/TLS SOAP XML-DSIG
Liberty Identity Federation Framework (ID-FF) ID-Personal Profile Liberty ソリューション - アーキテクチャ コンポーネント Liberty Identity Services Interface Specifications (ID-SIS) Liberty Identity Web Services Framework (ID-WSF) ID-WSF Data Services Template 1.0 Identity Services Templates ID-FF Protocols and Schemas 1.2 ID-WSF Discovery Service 1.0 ID-WSF Interaction Service 1.0 Core Identity Services Protocols ID-FF Bindings and Profiles 1.2 ID-WSF Security Profiles 1.0 ID-WSF SOAP Binding 1.0 ID-WSF Client Profiles 1.0 Web Services Bindings & Profiles SAML HTTP AuthN Context 1.2 Meta data 1.2 WSS Reverse HTTP Binding 1.0 SOAP AuthN Service 1.0 WAP XML SSL/TLS SOAP XML-DSIG XML Enc WSDL ID-WSF 1.0 Standards ID-SIS ID-FF 1.2 Future
稼 動 中 のLiberty - B2C シナリオ 1. ユーザ アクセス サイト 3. ユーザ アクセス サイト AuctionWatch サービス プロバイダ 5. サービスプロバイダが モバイル 利 用 者 の 操 作 を 得 る MyProfile 個 人 情 報 認 証 プロバイダ 2. ユーザが 確 認 される 4. サービスプロバイダ が SMS 認 証 を 行 なう 6. サービス プロバイダが モバイル 利 用 者 へSMS 信 号 を 送 信 MyPortal 個 人 情 報 認 証 プロバイダ Webサービス 個 人 情 報 サービス 6. オペレータがユー ザにSMS 信 号 を 送 信 PacBell サービス プロバイダ
partner サービス プロバイダ Webサービス 従 業 員 認 証 サー ビス 1. マネージメント ポータルからの 注 文 l 4. 発 注 3. 役 割 情 報 が 検 索 される 2. ユーザが 認 証 される manufacturer 識 別 プロバイダ 7. 発 注 の 登 録 納 品 開 始 買 掛 金 管 理 稼 動 中 のLiberty - B2B シナリオ OrderMgt サービス プロバイダ 5. 在 庫 レベルへのクエリ 製 品 の 割 り 当 て 発 送 在 庫 6. オーダーの 通 知 およ び 処 理
産 業 界 におけるLiberty Libertyの の 役 割 オープンな 技 術 仕 様 で フェデレーショ ン 型 ネットワーク 認 証 でオープンスタ ンダードを 確 立 : 広 範 囲 な 認 証 製 品 サービスをサポート アカウントフェデレーションを 通 じて 消 費 者 が 個 人 情 報 提 供 者 およびアカウントへのリンクを 選 択 できる あらゆるネットワーク サービスの 接 続 およびデ バイスから 簡 単 なサインオンを 実 現 企 業 の 新 しい 収 入 およびコスト 節 約 の 機 会 を 提 供 企 業 が 経 済 的 に 顧 客 ビジネス パートナー 従 業 員 との 関 係 を 築 ける Eコマース( 電 子 商 取 引 )の 容 易 な 改 善
アライアンス メンバー 現 在 計 10 億 人 の 顧 客 を 持 つ160 以 上 の 営 利 団 体 非 営 利 団 体 政 府 組 織 が アライアンス メンバーです * アライアンス メンバーの 一 部
民 全 仕 技 技 相 市 メンバーシップ 導 Liberty Alliance Project 組 織 図 取 締 役 会 16の 創 設 スポンサーから 成 る 全 体 の 管 理 と 維 持 の 責 任 を 持 つ 仕 様 およびほかのアウトプットへの 最 終 採 択 権 限 パブリック ポリシー 専 門 グループ テクノロジー 専 門 グループ マーケティング 専 門 グループ プライバシー セキュリ ティ その 他 のパブリッ ク ポリシーへの 助 言 民 間 グループと 政 府 機 関 へのリエゾン( 連 絡 ) 技 術 アーキテクチャとエ ンジニアリング 必 要 条 件 を 開 発 技 術 仕 様 を 開 発 相 互 運 用 市 場 展 開 に 必 要 な 条 件 と 事 例 を 開 発 メンバーシップ 報 道 関 係 マーケティング コミ ュニケーションを 担 当 導 入
HPがLibertyに に 投 資 する 理 由 主 要 顧 客 の 多 くと 協 力 し 共 通 したアプローチで 市 場 の 標 準 化 を 推 進 ボーダフォン ノキア GM アメリカン エキスプレス その 他 HP IceWall SSO: 顧 客 の 要 求 に 直 接 応 じる クライアントにガイダンスを 提 供 世 界 で 展 開 するHP Consulting のWorldwide Security Consulting Practice 多 くの 大 規 模 セキュリティ ベンダと 協 力 し パー トナーシップを 拡 大 ベリサイン RSA Netegrity 他 例 : Mobile Services Delivery Platformに 組 み 込 む
リバティ アライアンスへのお 誘 い リバティ アライアンスはセキュアに 個 人 情 報 を 守 り Webサービスのユーザ 情 報 管 理 を 実 現 する デファクト 技 術 ソリューションです すべてのWebサービスアプリケーションは この リバティ アライアンス アイデンティティ 管 理 を 必 要 としています Webサービスのユーザ 情 報 管 理 でリードするた め リバティ アライアンスへの 参 画 をお 待 ちして おります www.projectliberty.org
Q&A For more information: jason.rouault@hp www.projectliberty.org
日 本 HPが が 提 供 する リバティ アライアンス 対 応 ソリューション hp IceWall SSO はリバティ アライアンス 技 術 仕 様 バージョン1.1に 完 全 対 応 したソリューションです hp IceWall SSOは そのセキュリティ スケーラビ リティ 信 頼 性 から 多 くのお 客 様 のご 支 持 を 頂 き 国 内 で 通 信 金 融 機 関 を 中 心 に1000 万 以 上 のユー ザーライセンス 販 売 実 績 を 持 っています 特 に 損 保 業 界 においては ほぼデファクト スタンダードと して 使 用 されているシングル サインオン(SSO) 製 品 です hp IceWall SSOはhp 社 のリバティ アライアンス 対 応 製 品 として 世 界 に 発 表 しております ( 右 図 ) http://www.jpn.hp/go/icewall http://www.hp/jp/liberty