Comments
Transcript
アイデンティティ関連技術の潮流 - Nomura Research Institute
特 集 [IDビジネスの新たなステージ] アイデンティティ関連技術の潮流 ―ID連携の標準化技術OpenIDとSAML― IDの適切な管理・活用を行う際に重要な役割を果たす、ID連携の標準化技術が著しく発展し 続けている。本稿では、ID連携技術の代表的な仕様であるOpenIDおよびSAMLの特徴を比較し、 OpenIDに付随する新規仕様を紹介するとともに、OpenIDとSAMLの相互運用を含めた今後の ID管理のあり方について考察する。 注目されるID連携技術 うことであり、その内容は認証に限らない。 最近、Webサイト間でのサービス連携を実 「認証」とは、カードやパスワードなどによっ 現するためのID連携技術が注目されている。 て本人であることを確認することにすぎない この要因としては、昨今のネットサービスが が、支払い能力まで確認できれば、それは 多岐にわたり、IDの数が分散しつつ爆発的に 「与信」や「決済」となる。 増加したため、IDの管理や活用に限界が来て SAMLとOpenIDの最も大きな違いは、認証 おり、これを解決するためにはIDの連携が重 プロバイダとWebサイトが最初に接続する前 要と考えられていることがあげられる。 の設定の有無である。SAMLは事前に手動で 現在、特に注目されているID連携の標準化 設定する必要があるのに対して、OpenIDはそ 技術がSAML(Security Assertion Markup の必要がない。そのため、インターネットの Language)とOpenIDである(表 1 参照)。 ようなオープンなネットワークにはOpenIDの SAMLは2003年に標準化された技術で、一 方が親和性が高いとされている。そのほか、 部の大企業や政府機関での採用が多い。一方 仕様が比較的単純であることもOpenIDの利点 OpenIDは2007年12月に策定された新しい技 とされる。 術で、インターネット上の消費者向けサービ スのニーズから生まれた。ユーザーの同意に 認証ポリシーも交換するOpenID 基づいて、 「どのように本人確認がなされたか OpenIDは、重要情報を交換するためのID (認証結果) 」 「どのようなプロファイル(ユー 連携の基盤プロトコルという面からの拡張も ザー属性)が交換されたか」などの情報をWeb 行われている。その代表的なものに「PAPE サイト間で交換するための仕様である。 14 「アサーション」は、あることを確認したとい (Provider Authentication Policy Extension) 」 OpenIDもSAMLも、ともに「認証」という と呼ばれる拡張仕様がある。PAPEに準拠す 側面から語られることが多いが、本来は「認 ると、ID提供側と利用側の間で認証ポリシー 証」を含めた「アサーション」と呼ばれる一 (どのような方法によってユーザー認証を行う 種の「確認書」の手順を定めた仕様である。 か、どの保証フレームワークに準拠するかな 2009年8月号 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2009 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 野村総合研究所 情報技術本部 技術調査部 上級研究員 崎村夏彦(さきむらなつひこ) 専門はデジタルアイデンティティ 表1 OpenIDとSAMLの比較 OpenID SAML 主な推進団体 OpenID Foundation(Google, Yahoo, Microsoft, IBM, Verisignほか)、OpenIDファウンデーション・ジャパ ン(NRIなど計48社)、OpenID EU Liberty Alliance(NTT, Oracle, Sun Microsystems, British Telecom, France Télécomほか) 、Shibboleth 主な対象 インターネットコマース(B2C)、電子政府(G2C)、 Web2.0 政府、大企業、 大規模SaaS(B2E) 著名な事例 Yahoo!、Microsoft、Google、Verisign、AOL、mixi、 JAL、楽天、France Télécomなど(オバマ米大統領の 選挙活動中におけるサイトChange.govでも採用された) デンマーク政府、Google Apps、 Boeing、Salesforce.comなど 最近の動向 2008年から爆発的に普及。同年10月にOpenIDファウン デーション・ジャパン発足(ネット系企業のほか幅広い 業種から参加)。SAMLに加えてOpenIDも採用する傾向 あり。各国政府も市民向けサイトで採用しはじめている。 Salesforce.comが採用 アサーション形式 Tag-Value XML IDの形式 Cool URI / XRI 規定なし サーバーの発見 XRDベースの動的発見 メタデータの事前交換 認証サーバー間連携 運用で規定 許可ホップ数明示(仕様で規定) ど)を要求・表明することが可能となる。た 支持され、最終的にはその技術が企業内のシ とえば、IDの提供を受けるサイトが、OpenID ステムにも浸透していくという昨今の動向や、 を提供するサイトに対して「多要素認証によ 前述したOpenIDの拡張仕様から考えると、今 る本人確認をしてください」といったリクエ 後は企業内や企業間でもOpenIDの採用が進ん ストができるようになる。 でいくと思われる。しかし、一気にOpenIDが また、ID提供側と利用側の間でのデータ交 採用されるようになるわけではなく、SAML 換に、改ざんや否認(自分の署名を否定する も使われ続けると思われる。そうなると、仕 こと)の防止、暗号化などの要素を拡張する 様の違いによってサービスが分断されてしま 「Contract Exchange(CX)Extension」と呼 い、ユーザーの利便性が損なわれる事態も予 ばれる仕様の策定も進められている。このCX 仕様は、NRIが日本航空(JAL)でのOpenID 想される。 そこでいま議論されているのは、どちらか 適用に際して独自に拡張した仕様をベースに、 の仕様に統一するのではなく、両方の仕様の より汎用性の高い「契約に基づくデータ交換」 相互運用性を高めようということであり、実 の実現を目指して策定されたものである。 際にいくつかのプロジェクトも始まっている 相互運用性を高める取り組み 消費者向けのサービスの技術がユーザーに (信頼性のレベルに着目したOpenIDとSAML の相互運用の取り組みについては本号24∼25 ページを参照願いたい) 。 ■ 2009年8月号 レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。 Copyright © 2009 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission. 15