cloud identity summit 2011 toi - tatsuo kudo at openid technight #7

Cloud Identity Summit 2011 TOI

工藤達雄

このセッションにてお話しすること

• Cloud Identity Summit (CIS) 2011の TOI

(Transfer of Information) です。

• CIS 2011 のワークショップやセッションの中から、興味深いネタをご紹介します。

Cloud Identity Summit 2011 とは

• www.cloudidentitysummit.com

• 「クラウド・アイデンティティ」にフォーカスしたカンファレンス

• 今年で 2 回目

• 全4日間– 7/18, 19: ワークショップ

– 7/20, 21: セッション

CIS 2011 のトピック• モバイルとクラウドのアイデンティティ

• クラウドにおける統制

• 大規模クラウドアプリケーションの管理

• 散在するアプリケーション間の接続

• コンシューマ・サービスの ID 活用への対応

• クラウド および SaaS におけるプロビジョニングの実現

• 企業内におけるソーシャル・メディアのアイデンティティ

• クラウドの認可

• サプライチェーンの統合

• カスタマー・エンゲージメント

• 複数アイデンティティの連鎖

• クラウド・ディレクトリの統合

• クラウド API サービス

• ソーシャル・メディアと企業

• RESTful なアイデンティティ API とOAuth

7/18, 19: ワークショップ

Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm

7/20, 21: セッション

Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm

CIS 2011 を通じて感じたこと

新しい標準への期待が高まっている

• API 認証は OAuth 2.0

• アイデンティティ API は OpenID Connect

• ユーザー・プロビジョニングは SCIM

Google のサポート• “Years ago when it was InfoCards and SAML and OpenID and OAuth, it was

confusing to them. Now there is a simple message. Ignore the technology, it’s a simple marketing message – it’s OAuth 2.0 [and OpenID Connect].

– Google gives testers new identity UI, OpenID Connect support• https://www.pingidentity.com/blogs/pingtalk/index.cfm/2011/7/21/Google-gives-testers-new-

identity-UI-OpenID-Connect-support

Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate

OAuth 2.0 (w/ OpenID Connect)

@ Google• アイデンティティ API は

OpenID Connectに統一– CIS 開催に合わせて API を公開

• その他のデータアクセス API 認証は OAuth 2.0 に統一– Apps Marketplace の 2-

legged OAuth も– Android の

AccountManager も

Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate

SCIM Simple Cloud Identity Management

• http://www.simplecloud.info/

• クラウド・サービスにおけるアイデンティティ・プロビジョニング・インタフェースの共通仕様（を目指す）

• 特長– RESTful API

– CRUD (Create, Rename, Update, Delete) に特化

– シンプルで拡張しやすいユーザー・スキーマ

– Salesforce.com, Google, Cisco (WebEx), VMware など、有力クラウド・サービス・プロバイダが参加

• Ping Identity, Sailpoint, UnboundIDなどのソリューション・プロバイダも参加

Source:

http://www.simplecloud.info/specs/

draft-scim-scenarios-04.html

ECS

（e.g. クラウドサービス利用企業）

CSP

（e.g. クラウドサービス事業者）

追加リクエスト

処理レスポンス

SCIM の例 （ユーザー生成）

POST /User HTTP/1.1

Host: example.com

Accept: application/json

Authorization: Bearer h480djs93hd8

Content-Length: ...

{

"schemas":["urn:scim:schemas:core:1.0"],

"userName":"bjensen",

"externalId":"bjensen",

"name":{

"formatted":"Ms. Barbara J Jensen III",

"familyName":"Jensen",

"givenName":"Barbara"

}

}

HTTP/1.1 201 Created

Content-Type: application/json

Location: http://example.com/v1/User/uid=bjensen,dc=example,dc=com

ETag: "e180ee84f0671b1"

{

"schemas":["urn:scim:schemas:core:1.0"],

"id":"uid=bjensen,dc=example,dc=com",

"meta":{

"created":"2011-08-01T21:32:44.882Z",

"lastModified":"2011-08-01T21:32:44.882Z"

},

"name":{

"formatted":"Ms. Barbara J Jensen III",

"familyName":"Jensen",

"givenName":"Barbara"

},

"userName":"bjensen"

}

Source: https://groups.google.com/forum/#!topic/cloud-directory/w-WgLPmw6gQ

SCIM in Action

See Also: http://www.cloudidentitysummit.com/images/presentations2011/2_Harding-Cloud_Identity_Summit_Keynote_2011.pdf

SCIM の今後

• V1.0 Dates

– 10/18: IIW にてデモ

– 10/30: バージョン 1.0

Draft 1 確定

– 11/30: インタロップ

その他のプロビジョニングネタ (1)

Just-in-Time Provisioning

その他のプロビジョニングネタ (2)

Cloud Identity & Access Governance

その他のプロビジョニングネタ (3)

BYOI (Bring Your Own Identity)

Source: http://www.cloudidentitysummit.com/images/presentations2011/2-4_A_Iverson_Hybrid_Identity_Management_for_the_Cloud_jjw_v4.pdf

モバイル対応

• 「スマートフォン対応ページ」

• 「アイデンティティ対応API」

「アイコンを小さくすることなんて、モバイル対応のうちに入らないよ」

「アイデンティティ + コンテクストこそが境界となる」（チャック・モーティモア）

Source: http://www.cloudidentitysummit.com/images/presentations2011/2-3_ChuckMortimoreCIS2011.pdf

ユーザー・エージェントの多様化

• モバイルはもちろん、「パートナー Web サイト」もまた、新たなユーザー・エージェント、ということ

ｑ

「API インタラクションの軸としてアイデンティティを考えない人 → ゲーム終了」 （クレイグ・バートン）

See Also: http://prezi.com/wusbhfpm1ssf/identity-in-an-api-economy/

アイデンティティ業界関係者が総集合

• Bob Blakley さんの写真集

– http://flic.kr/s/aHsjvuYXY8

超アットホーム!

まとめ

オーソリテイティブ・ソース（人事システムなど）

プロビジョニング・システム

アイデンティティ・リポジトリ /

SSOシステム

Web

アプリケーション

Web

アプリケーション

Web

アプリケーション

Web

アプリケーション

ユーザー（Webブラウザ）

旧き良き時代のエンタープライズ IdM

企業

プロビジョニングアクセス

認証

アクセス保護

オーソリテイティブ・ソース（人事システムなど）

プロビジョニング・システム

アイデンティティ・リポジトリ /

SSOシステム

SaaSプロバイダ

Web

アプリケーション

Web

アプリケーション

Web

アプリケーション

ユーザー（Webブラウザ）

最近のエンタープライズ IdM

企業

オーソリテイティブ・ソース（人事システムなど）

プロビジョニング・システム

アイデンティティ・リポジトリ / SSO /

トークン管理システム

SaaS

プロバイダ

SaaS

プロバイダ

Web

サービス

Web

サービスユーザー・エージェント

（Webブラウザ）

今後のエンタープライズ IdM

ユーザー・エージェント（モバイルApp）

ユーザー・エージェント

（外部サービス）

ユーザー・エージェント

（デスクトップApp）

ユーザー・エージェント

（Webサービス）

企業

API

API

API

API

オーソリテイティブ・ソース（人事SaaSなど）

プロビジョニングSaaS

SaaS

プロバイダ

メガSaaS

プロバイダ

ユーザー・エージェント

（Webブラウザ）

さらに今後のエンタープライズ IdM

ユーザー・エージェント（モバイルApp）

ユーザー・エージェント

（外部サービス）

ユーザー・エージェント

（デスクトップApp）

ユーザー・エージェント

（Webサービス）

企業

SaaS

プロバイダ

SaaS

プロバイダ

プロビジョニング /

アイデンティティ・リポジトリ / SSO /

トークン管理サービス

API

API

API

API

オーソリテイティブ・ソース（人事SaaSなど）

プロビジョニングSaaS

SaaS

プロバイダ

メガSaaS

プロバイダ

ユーザー・エージェント

（Webブラウザ）

さらに今後のエンタープライズ IdM

ユーザー・エージェント（モバイルApp）

ユーザー・エージェント

（外部サービス）

ユーザー・エージェント

（デスクトップApp）

ユーザー・エージェント

（Webサービス）

企業

SaaS

プロバイダ

SaaS

プロバイダ

プロビジョニング /

アイデンティティ・リポジトリ / SSO /

トークン管理サービス

API

API

API

API

プロビジョニングAPI: SCIM

API 認証:

OAuth 2.0

アイデンティティAPI: OpenID

Connect

リソース

• プレゼンテーション資料– http://www.cloudidentitysummit.com/

Presentations-2011.cfm

• http://www.cloudidentitysummit.com/の「 2011 Presentations have been Posted!」 をクリック

• #cis2011 まとめ– http://chirpstory.com/li/2042

– http://chirpstory.com/li/2049

• http://chirpstory.com/id/tkudosからたどるとよいかも

Thanks!

Tatsuo Kudo

linkedin.com/in/tatsuokudo