Comments
Description
Transcript
Oracle OpenSSO Fedlet
Oracleホワイト・ペーパー 2010年8月 Oracle OpenSSO Fedlet Oracleホワイト・ペーパー - Oracle Identity Federation 免責事項 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を 唯一の目的とするものであり、いかなる契約にも組み込むことはできません。マテリアルやコード、 機能を提供することをコミットメント(確約)するものではないため、購買決定を行う際の判断材 料になさらないで下さい。オラクルの製品に関して記載されている機能の開発、リリース、および 時期については、弊社の裁量により決定されます。 Oracleホワイト・ペーパー - Oracle Identity Federation 概要 ..................................................................................................................................... 2 Oracle OpenSSO Fedletについて ...................................................................................... 3 おもな機能 .......................................................................................................................... 4 配置アーキテクチャ ........................................................................................................... 4 配置の前提条件と制約事項................................................................................................. 7 一般的なビジネス・ユースケース ...................................................................................... 8 利点とトレードオフに対する評価 ...................................................................................... 9 結論 .................................................................................................................................... 11 Oracleホワイト・ペーパー - Oracle Identity Federation 概要 フェデレーション標準とインターネット・テクノロジーの革新のおかげで、この数年の間に、企業はビジネ ス・パートナーとの間に先例のない水準のオンライン・コラボレーションを構築できるようになりました。 これはおもに、ビジネス上の契約と法的な契約をシンプルな技術統合を通じて履行できるようになったため です。フェデレーション標準は幅広く受け入れられ、これらの標準を実装した市販製品は、大企業だけでな く中小規模の組織にとっても費用対効果に優れたソリューションとなりました。以前は、IT部門がフェデ レーション構想を具体化するためには社内開発が必要でしたが、現在は相互運用可能なエンタープライズ・ クラスの標準ベース製品から幅広く選択できるようになりました。このため、複数のパートナーが関わる Point-to-Pointのフェデレーション・プロジェクトを立ち上げた場合と比べてコストが削減され、必要な時間 が短縮され、さらにリスクも最小化されます。その結果として、フェデレーションを使用した標準ベースの 信頼関係の上にビジネス機能を公開することは、もはやイノベーションではなく、オンラインでビジネスを 行う企業にとって当たり前のこととなりました。 しかし、依然としてほとんどの企業が、Security Assertion Markup Language(SAML)などのフェデレー ション標準をまだ採用していない小規模パートナーの存在により、フェデレーション・プロジェク トを遂行することが難しい状況に直面します。フェデレーション・プロトコルを採用しないもっと も一般的な理由には、次の2つがあります。 コストの回避:フェデレーション標準を採用するには、ハードウェアやサービス、また人 材への投資が必要になります。パートナーはこの投資をするだけの余裕がないか、または 投資価値を見出せていません。 信頼の欠如:パートナーはIDフェデレーション・プロトコルを実装した経験がないか、ま たはその道に長けた人材を確保していません。 標準プロトコルやそのサポート製品によるメリットを活用しないと、パートナー統合プロジェクト は大幅に遅延する可能性があります。企業は、期限を遵守するために1回限りの専用統合ソリュー ションを開発するという策を取ることが少なくありません。この方法には不要なセキュリティ・リ スクが伴い、実装コストと保守コストも高くなります。 オラクルは、この複雑なパートナー統合という難題を、Oracle OpenSSO Fedletというシンプルな革新 的ソリューションによって解決します。Oracle Identity FederationとOracle SSO Fedletを組み合わせる と、エンタープライズ・レベルかつキャリアグレードの包括的なソリューションが提供され、パート ナー間でのセキュアなID情報交換が実現します。Oracle OpenSSO Fedletを使用すると、組織はサービ ス・プロバイダ・パートナーとの間に素早く簡単に標準ベースのフェデレーションをセットアップ できます。また、追加のパートナー用に標準統合パターンを構築し、数日や数週間ではなく数時間 のうちにパートナー間にセキュアなサインオンを確立できます。 2 Oracleホワイト・ペーパー - Oracle Identity Federation Oracle OpenSSO Fedletについて Oracle OpenSSO Fedletは、コンパクトで配置しやすいSAMLv2のサービス・プロバイダ実装です。Oracle OpenSSO Fedletには小さなソフトウェア・パッケージとシンプルなファイル・ベースの構成が含まれ ており、サービス・プロバイダのJava EEアプリケーションまたは.NETアプリケーションに組み込む ことができます。Oracle OpenSSO Fedletを使用すると、サービス・プロバイダ側にフル機能が搭載さ れたフェデレーション製品がなくても、IDプロバイダ・インスタンスとサービス・プロバイダ・ア プリケーションの間にSSOを確立することができます。 SAMLv2のIDプロバイダとしてOracle Identity Federationを使用している組織は、Oracle OpenSSO Fedlet をパートナーに配布できます。こうすることで、IDプロバイダは、サービス・プロバイダのフェデ レーション・コンポーネントのセキュリティ設定や構成、および配布メカニズムを管理し続けるこ とができます。このアプローチによって配置が迅速になるだけでなく、パートナー間のフェデレー ション・インタラクションの継続的管理の質が向上します。 またサービス・プロバイダが、Oracle OpenSSO Fedletをオラクルから直接入手することもできます。 いったん配置されたOracle OpenSSO Fedletは任意のSAMLv2 IDプロバイダからSAMLv2アサーション を受け入れ、ユーザー属性を取得して、シングル・サインオン(SSO)とコンテンツのパーソナライ ズを実行します。Oracle OpenSSO Fedletは、設定を変更することで任意の数のIDプロバイダと通信で きます。また外部のディスカバリ・サービスを利用して、適切なIDプロバイダを見つけることもで きます。 3 Oracleホワイト・ペーパー - Oracle Identity Federation おもな機能 Oracle OpenSSO Fedletは、Javaバージョンと.NETバージョンで提供されています。次の表に、それぞ れのバージョンのおもな機能を示します。 配置アーキテクチャ このセクションではOracle OpenSSO Fedletの一般的な配置シナリオについて説明します。もっともよ く使用される配置では、Oracle Identity FederationがIDプロバイダの役割を果たし、Oracle OpenSSOが サービス・プロバイダの役割を果たします。 配置オプション それぞれのサービス・プロバイダ・アプリケーションに、固有のOracle OpenSSO Fedletインスタンス が必要になります。配置されたFedletインスタンスは独立したサービス・プロバイダ・エンド・ポイ ントとして機能し、1つまたは少数のIDプロバイダとSAMLv2メッセージを交換するように構成でき ます。 4 Oracleホワイト・ペーパー - Oracle Identity Federation Oracle OpenSSO Fedletと単一のIDプロバイダ 各IDプロバイダにそれぞれ個別のOracle OpenSSO Fedletインスタンスを配置する方法は、もっともシ ンプルな配置オプションです。このオプションは、パートナーが1つしかない組織でよく使用される 配置シナリオです。また、それぞれのSaaS顧客がIDプロバイダ(IdP)としての役割を果たすSaaSの マルチテナント配置でも有用です。この場合、各テナント・アプリケーションが固有のIdPから受信 したリモート・ユーザーを認証します。このような環境では、それぞれのOracle OpenSSO Fedletイン スタンスが常に同じIdPと通信するよう構成されています。 Oracle OpenSSO Fedletと複数のIDプロバイダ 1つのアプリケーション・インスタンスを配置し、このアプリケーションが複数のIDプロバイダから IDデータを受信できるようにしなければならないケースもよくあります。これは、同じアプリケー ションにアクセスする必要のあるパートナーを多数持つ組織にとって重要な要件です。 アプリケーション・インスタンスを増やさずに、配置済みのアプリケーションに対して新しいIDプ ロバイダを動的に追加し、ユーザーを認証したり、ユーザーに関する追加属性を提供したりできる ようになると、配置期間が短縮され、エンドユーザーに提供する価値が高まり、非常に大きなビジ ネス上の優位性が得られます。 この場合は、Oracle OpenSSO Fedletの単一インスタンスを使用して、複数のIDプロバイダに対するユー ザー認証を実施できます。また、Oracle OpenSSO FedletをIDプロバイダのディスカバリ・サービスと 組み合わせて配置すると、ユーザーが好みのIDプロバイダを選択できます。このように構成した場 合、IDプロバイダのディスカバリ・サービスはユーザーの好みのIDプロバイダ情報を保持して、Oracle OpenSSO Fedletに伝えます。Oracle OpenSSO Fedletは、IDプロバイダのディスカバリ・サービスとし てOracle Identity Federationインスタンスを利用できますが、環境に含まれる任意のサード・パーティの IDプロバイダによるディスカバリ・サービスを使用することもできます。 5 Oracleホワイト・ペーパー - Oracle Identity Federation Oracle OpenSSO Fedletとサービス・プロバイダ・アプリケーションの統合 Oracle OpenSSO FedletにはサンプルのJSPモジュールが含まれています。このモジュールを使用する と、Oracle OpenSSO Fedletに任意のアプリケーションを素早く簡単に統合できます。ここからは、 Oracle OpenSSO Fedletとサービス・プロバイダ・アプリケーションを統合するための一般的な方法に ついて説明します。 アプリケーションの組込み このオプションは、テストやトレーニング、または新規配置のジャンプスタートに適しています。 開発者はOracle OpenSSO FedletのサンプルJSPモジュールをテンプレートとして使用して、まったく 新しいサービス・プロバイダ・アプリケーションを作成できます。 6 Oracleホワイト・ペーパー - Oracle Identity Federation Oracle OpenSSO Fedletの組込み Oracle OpenSSO Fedletの組込みサンプル・オプションを使用すると、多数の異なるロケーションに配 置する必要のあるアプリケーションに対して、簡単にSAMLv2機能を追加できます。この統合が開発 中に実行されるのは一度だけです。いったん開発が完了すると、Oracle OpenSSO Fedletはアプリケー ションにパッケージ化され、完全に組み込まれた状態になります。 リクエストの転送 このオプションは、既存サービスへの悪影響を最小限に抑えながら、配置済みのビジネス・アプリケー ションでSSOを有効化するような状況を意図して設計されています。Oracle OpenSSO Fedletサンプル をアプリケーションの外側に配置し、ビジネス・アプリケーションへ、またはビジネス・アプリケー ションからHTTPトラフィックを転送できます(Oracle OpenSSO Fedletサンプルとビジネス・アプリ ケーションとの間のデータ・セキュリティに関する責任は、一般にアプリケーション開発者にある 点に注意してください)。 配置の前提条件と制約事項 Oracle OpenSSO Fedletの構成ファイルとSAMLメタデータは、サービス・プロバイダのフラッ ト・ファイルに格納されています。 シングル・サインオンに対しては、SAMLv2のHTTP POSTとアーチファクト・バインディ ングがサポートされています。 シングル・ログアウトに対しては、HTTP POST、リダイレクト、SOAPバインディングがサ ポートされています。 7 Oracleホワイト・ペーパー - Oracle Identity Federation Oracle OpenSSO Fedletは、IDプロバイダから受け取ったSAMLアサーションに含まれるXML 署名の検証をサポートしています。XML署名の検証は、IPプロバイダのメタデータXMLファ イルに含まれる公開証明書を使用して実施されます。IDプロバイダが署名した証明書が変 更されている場合、Oracle OpenSSO Fedletの構成ディレクトリに含まれるIDプロバイダのメ タデータを更新して、新しい署名の証明書情報を追加する必要があります。 一般的なビジネス・ユースケース 次の例では、Oracle OpenSSO Fedletの活用方法について説明します。大規模な通信企業であるSmartPhones Telecomは、Oracle Identity Federationを使用してSAMLv2のIDプロバイダ・サービスを実装しています。 SmartPhones Telecomのサブスクライバはカスタム・ユーザー・ポータルを使用して、SmartPhones Telecomのビジネス・パートナー(StockService.comとWeather.com)によって提供されるパーソナラ イズされたコンテンツを受け取ります。StockService.comとWeather.comには、すでにフェデレーショ ン・ソリューションが配置されています。 SmartPhones Telecomにとっての新しいパートナーであるOnCast.comには、フル機能のフェデレーション 製品を実装するスキルがありません。SmartPhones Telecomは、新しいパートナーを支援するため、 軽量のサービス・プロバイダ・フェデレーション・コンポーネントであるOracle OpenSSO Fedletを提 供することを決めました。 SmartPhones Telecomのセキュリティ管理者は、次の4つの簡単な手順に従うだけで、このプロジェク トを完了できます。 1. Oracle Identity Federationのメタデータをエクスポートします。 2. Oracle OpenSSO Fedletのメタデータと構成ファイルを生成します。 3. Oracle OpenSSO Fedletのメタデータをインポートします。 4. 配布パッケージを作成し、OnCast.comの担当者に提供します。 OnCast.comのアプリケーション開発者は、次の3つの簡単な手順に従うだけで、このプロジェクトを 完了できます。 1. 配布パッケージを受け取り、これを開きます。 8 Oracleホワイト・ペーパー - Oracle Identity Federation 2. Oracle OpenSSO FedletとOnCast.comのコンテンツ・サービスを統合します。 3. Oracle OpenSSO Fedletを配置します。 これでプロジェクトは完了です。パートナーとともにフェデレーション機能をテストする準備が整 いました。 Oracle OpenSSO Fedletを使用することで、OnCast.comはSmartPhones TelecomからSAMLv2を介して特 定のユーザー属性を受け取ります。OnCast.comはユーザー属性データを使用して、SmartPhones Telecom のサブスクライバに対するコンテンツ・デリバリをカスタマイズします。これによって、両社に価値 がもたらされ、サブスクライバのエクスペリエンスが向上します。 利点とトレードオフに対する評価 配置アーキテクチャの設計に際して、Oracle OpenSSO Fedletの利点とトレードオフについて検討する 必要があります。このセクションでは、Oracle OpenSSO Fedletが組織のビジネス要件を満たすかどう かを特定するための情報を提供します。 9 Oracleホワイト・ペーパー - Oracle Identity Federation 利点 簡便さ:Oracle OpenSSO Fedletは使いやすく、理解しやすいソリューションです。開発者の ために設計されており、自社の開発組織が持っていない新しいスキルや知識を必要としま せん。 インフラストラクチャの縮小:Oracle OpenSSO Fedletでは追加のハードウェアを必要としな いため、サービス・プロバイダにかかるコストが削減されるとともに、既存ハードウェア に対する投資利益率が向上します。 容易な配置:Oracle OpenSSO Fedletは配置しやすく、サービス・プロバイダ・アプリケーショ ンへの組込みも簡単です。またOracle OpenSSO Fedletを構成する必要があったとしても、わ ずか数個のパラメータを変更するだけで済みます。このため、アプリケーションの配置時 間が短縮されます。 トレーニング期間の短縮:Oracle OpenSSO Fedletを使用する際、サービス・プロバイダはフ ル機能のフェデレーション・ソフトウェアをインストールする必要はありません。このた め、必要なトレーニングの量が減り、サービス・プロバイダのトレーニング・コストが削 減されます。 再利用性と一貫性:Oracle OpenSSO FedletはSAMLv2標準に準拠しています。Oracle OpenSSO Fedletは組織でのさまざまなプロジェクトに再利用できるため、アーキテクチャに一貫性が もたらされるとともに、組織とそのパートナーの既存テクノロジー投資が保護されます。 トレードオフ Oracle OpenSSO Fedletはサービス・プロバイダでのセッション管理を実行しないため、アプ リケーションまたはコンテナでセッションを管理する必要があります。 Oracle OpenSSO FedletがサポートしているのはSAMLv2プロトコルのみであり、Liberty ID-FF やWS-Federation、またはSAML 1.xなどのその他のフェデレーション・プロトコルはサポー トされていません。 Oracle OpenSSO Fedletは、シンプルで軽量のフェデレーション・コンポーネントとして設計 されています。Oracle Identity Federationで提供されている高度な機能の一部(以下を参照) は、Oracle OpenSSO Fedletではサポートされていません。 10 Oracleホワイト・ペーパー - Oracle Identity Federation o SSOプロキシ o アカウントの関連付け o 高度な属性マッピング o Information Cardの統合 o 一元化された管理、ロギング、レポーティング、および運用監視 注:Oracle OpenSSO Fedletが組織のビジネス要件を満たさない場合、Oracle Identity Federationをフェ デレーション・ソリューションとして使用することを検討してください。 結論 Oracle OpenSSO Fedletは、サービス・プロバイダとの間に素早く簡単にSAMLフェデレーションを構 築するための、シンプルで軽量なオプションです。IDプロバイダはOracle OpenSSO Fedletを使用する ことで、サービス・プロバイダのフェデレーション・コンポーネントのセキュリティ設定や構成、 および配布メカニズムを管理することができます。Oracle OpenSSO Fedletによって配置が迅速になる だけでなく、パートナー間のフェデレーション・インタラクションに対する継続的管理の質が向上 します。 Oracle OpenSSO Fedletを使用することで、環境が大幅に簡素化されるとともに、標準ベースで再利用 可能なソリューションを構築し、インフラストラクチャを合理化し、コスト削減を実現するというIT への期待を現実のものにすることができます。Oracle Identity FederationとOracle SSO Fedletを組み合 わせることで、組織とそのビジネス・パートナーに対して、エンタープライズ・レベルかつキャリア グレードの包括的なエンド・ツー・エンドのフェデレーション・ソリューションが提供されます。 Oracle Identity FederationおよびOracle OpenSSO Fedletについて、詳しくは次のWebサイトを参照して ください。 http://www.oracle.com/identity 11 Oracle OpenSSO Fedlet Copyright © 2010, Oracle and/or its affiliates. All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記 2010年8月 載される内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述に 作成者:Sophia Maler よる明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる 共著者:Eric Leach、Resha 他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によっ Chedda て直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることな く、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。 Oracle Corporation World Headquarters OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。 500 Oracle Parkway Redwood Shores, CA 94065 AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。IntelおよびIntel U.S.A. XeonはIntel Corporationの商標または登録商標です。すべての SPARC商標はライセンスに基づいて使用される SPARC International, Inc.の商標または登録商標です。UNIXはX/Open Company, Ltd.によってライセンス提供された登録商標です。 海外からのお問い合わせ窓口: 電話:+1.650.506.7000 ファクシミリ:+1.650.506.7200 www.oracle.com 0410