openid connect のビジネスチャンス
DESCRIPTION
http://nosurrender.jp/idit2013/program.html#TE03 クラウドの普及とともにID連携技術が益々重要性を増してきました。OpenID Connectの技術解説とともにエンタープライズIT市場におけるビジネス展開の方法について説明します。 講師: 一般社団法人 OpenIDファウンデーション・ジャパン 山中進吾 工藤達雄TRANSCRIPT
山中進吾 / 工藤達雄
OpenIDファウンデーション・ジャパン
OpenID Connectの
ビジネスチャンス
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
はじめに
講師紹介
山中進吾
▪OpenIDファウンデーション・ジャパン コミュニティ・リード
▪@shingoym
工藤達雄
▪OpenIDファウンデーション・ジャパン 事務局長
▪@tkudos
本セッションのテーマ
クラウドの普及とともにID連携技術が益々重要性を増してきました。
エンタープライズIT市場におけるビジネス展開とOpenID Connectを
中心とした技術トレンドについて解説します。
1
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
バズワードを越えて
2
幻滅期から普及期へ 本格的に普及し始めてきたクラウド
Source: http://www.gartner.co.jp/press/html/pr20130903-01.html
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
コンシュマライゼーションの衝撃
3
Cとして使っていたクラウド・サービスがBにも侵食していく
Source: http://www.slideshare.net/CloudIDSummit/01-cis2013-opening-durand
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
外部流出が続くアイデンティティ
4
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
(Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,
Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM
エンタープライズのウチとソト
5
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
エンタープライズのウチとソト
(Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,
Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM 6
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
エンタープライズのウチとソト
ID管理システム
プロビジョニング
アクセス管理 / SSO
ディレクトリ ? (Source) Chuck Mortimore (Salesforce), “Open, Mobile, Social”,
Cloud Identity Summit 2011 Proceedings http://bit.ly/pBXcgM 7
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ユーザー企業が求める「ソリューション」も変化
Identity based SI
ユーザー企業を “identity-enabled” にする
システム・インテグレーション
Identity based Software / Service
ソフトウェア/サービス・スタックの中心に
アイデンティティを位置づける
8
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ユーザー企業が求める「アイデンティティ・ソリューション」
アイデンティティ管理のアウトソーシングの先へ
9
Source: http://www.slideshare.net/CloudIDSummit/01-cis2013-opening-durand
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ユーザー企業が求める「アイデンティティ・ソリューション」
モバイルアプリSSO
AZA (Authorization Agent)
10
Source: http://www.slideshare.net/CloudIDSummit/cis13-authorization-agent-aza-mobile-protocol
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ユーザー企業が求める「アイデンティティ・ソリューション」
パートナー企業やサプライヤー、エンドユーザー
との信頼関係確立
11
ポリシーメーカー
Trust Framework Provider(TFP)
ID発行側
Identity Service Provider(IdP)
ID受入側
Relying Party (RP)
認定監査人
利用者
認定
認定
監査
サービス
利用申請
サービス提供
サービス
利用申請
サービス提供
データ連携
契約 契約
監査
学生向け
サービス 学生向け
サービス サプライヤー
企業
バイヤー
企業
ステークホルダー間で
ID連携するための
ポリシーを策定 ポリシーに基いて
IdPとRPを認定
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ユーザー企業が求める「アイデンティティ・ソリューション」
企業システムのAPI化によるチャネル拡大
12
コンテンツ/
機能
PC/携帯電話向け Webサイト
スマートフォン向け
Webサイト/アプリ
社員
企業
外部向けAPI
(Web
API)
パートナー企業
/SaaS
パートナー
Webサイト
店舗、
オフィス
PC、携帯端末 以外の デバイス
社内IDでの代理
アクセスを許可
社内IDでの代理
アクセスを許可
社内IDでの代理
アクセスを許可
社員の
社内IDで
代理アクセス
社員の
社内IDで
代理アクセス
社員の
社内IDで
代理アクセス
社内IDで
ログイン
社内IDで
ログイン
ID連携によってパートナーサイト/
アプリケーションと社員の社内IDを
ひもづけ、どの社員がWeb APIに
アクセスしているかを把握する
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
ID管理システム
プロビ
ジョニング
システム
SSO /
アクセス
管理
システム
ユーザー・ プロビジョニングAPI
(SCIM Server)
エンドユーザー向けWeb
アプリケーション
(OpenID Connect RP) 社内の
ユーザー追加・ 変更・削除
サービスAの
利用
管理者
エンドユーザー
利用企業A社
SaaS A社
ユーザー・ プロビジョニングAPI
(SCIM Server)
エンドユーザー向けWeb
アプリケーション
(OpenID Connect RP)
SaaS B社
サービスBの
利用
SCIM APIに従い、サービスBの
ユーザー追加・ 変更・削除
SCIM APIに従い、サービスAの
ユーザー追加・ 変更・削除
OpenID
Connectで認
証結果・属性情報要求
社内IDで
ログイン OpenID Connectで認証結果・属性情報要求
人事情報
システム
社内の
ユーザー追加・ 変更・削除
ID連携API
(OpenID
Connect IdP)
プロビジョニング機能(SCIM
Client)
Identity Provider (IdP)
アイデンティティ・認証提供側
Relying Party (RP)
アイデンティティ・認証利用側
OpenID ConnectとSCIM : 「アイデンティティ・ソリューション」を実現するための仕様
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
認可リクエスト/APIアクセス
OAuth 2.0による
API認可と統合
OpenIDの次期バージョン: OpenID Connect
OAuth 2.0仕様をベースに「アイデンティティ層」を拡張し、
認証結果や属性情報の連携、セッション管理などのAPIを標準化
14
アイデンティティ・プロバイダ
(IdP: ID情報提供側)
SSO / アクセス
管理システム
“Self-issued IdP”
リライング・パーティ
(RP: ID情報要求側)
Webアプリ
ケーション
モバイル
アプリケーション
OpenID
Connect
対応製品が
続々登場
ライブラリや
パッケージの
導入が不要
携帯端末がIdPに! ネイティブ(non-Web)
アプリでも利用可能
認証結果/属性情報提供
JWT * によって
セキュアに
ID情報を提供
* JSON Web Token
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OpenID Connectは「OpenID をOAuth 2.0ベースに作り直す」というだけではない
既存のID連携仕様
(SAML, WS-Federation)
の実世界での適用パ
ターン、そして事業者
独自のアイデンティ
ティAPI (Facebook
Connectなど) の特徴を
分析し、仕様に取り込
んでいる
15
Source: http://civics.com/openid-connect-webinar/
OpenID Connectの系図
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
SaaS/ASP事業者にとっては、SSO実現に要するユーザー企業の負担軽減こそが一番のメリット
複数のSSO/アクセス管理ソリューションがOpenID Connectに対応済、
もしくは対応予定
オープンソースのJWTライブラリを活用して内製することも可能
ユーザー企業(IdP: ID情報提供側) SaaS/ASP事業者 (RP: ID情報要求側)
SSO / アクセス
管理システム
Webアプリ
ケーション
従業員
1. サービスに
アクセス
5. アクセス許可
(サービス提供)
2. OpenID Connect
認可リクエスト
(ブラウザのリダイレクト)
3. ユーザー認証
4. 認証結果
(IDトークン *) 返却
(ブラウザのリダイレクト)
すでに複数の
ソリューションが
利用可能
オープンソースの
ライブラリを
用いて自作する
ことも現実的 *IDトークン
IdPにおけるユーザーの認証イベントの情報。JWT (JSON Web Token) 形式。
16
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
SCIM: プロビジョニングAPIの標準化 System for Cross-domain Identity Management
SCIM対応のクラウドサービスではユーザー・プロビジョニングAPIが
共通化されるため、ユーザー企業側の対応の手間が最小に
SCIMでは「スキーマ」と「プロトコル」を定義
スキーマ: ユーザーやグループなどのJSON表現。要件に応じて拡張可能
プロトコル: RESTful API。CRUD (生成/参照/更新/削除)、検索、ディスカ
バリ、一括(バルク)処理など
ユーザー企業A社
プロビ
ジョニング
システム
SCIM Service Provider
(RESTful API)
SaaS A社
SCIM Service Provider
(RESTful API)
SaaS B社
JSON
SCIM
Consumer
JSON
17
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
Enterprise Identity Working Group (EIWG) エンタープライズ・アイデンティティWG
2012年12月、OpenIDファウン
デーション・ジャパンとJNSA
アイデンティティ管理WGが共
同で設立
「OpenID ConnectとSCIMの
エンタープライズ利用ガイド
ライン(仮称)」を作成し、
エンタープライズID管理を
もっとシンプルにするための
啓蒙活動を行う
18
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
「OpenID ConnectとSCIMの
エンタープライズ利用ガイドライン(仮称)」
エンタープライズIT向けクラウドサービス事業者を
対象に、自社サービスにOpenID ConnectとSCIMを
利用するにあたり検討すべき項目と適用方法を解説
エンタープライズ環境特有の要件
▪例: ファイアウォール構成、認証レベル/再認証、属性更新など
日本のユーザー企業特有の要件
▪例: 組織階層や兼務所属の表現方法、漢字と読みの表記、一斉人
事異動など
ガイドラインは今後公開予定
19
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
EIWGに参加するには
SIer・システムベンダー
OpenIDファウンデーション・ジャパン会員になっていただく必要が
あります
エンタープライズ向けSaaS・クラウド・ASP事業者
OpenIDファウンデーション・ジャパン会員になっていただく必要は
ありません。そのままご参加頂けます
エンドユーザー企業(IT部門のID管理システム担当者)
OpenIDファウンデーション・ジャパン会員になっていただく必要は
ありません。そのままご参加頂けます
20
※詳細はOpenIDファウンデーション・ジャパンにお問い合わせください(後述)
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
OpenIDファウンデーション・ジャパン
2008年設立
日本におけるOpenID関連技術の普及・啓蒙活動を通じ、
オープンなAPIエコノミーの成長を支援
会員企業・団体42社 *
21
株式会社アグレックス 株式会社イーコンテクスト 伊藤忠テクノソリューションズ株式会社 株式会社イマーディオ 株式会社インターネットイニシアティブ エクスジェン・ネットワークス株式会社 NECビッグローブ株式会社 NKSJシステムズ株式会社 NTTコミュニケーションズ株式会社 エヌ・ティ・ティ・ソフトウェア株式会社 株式会社NTTドコモ オープンソース・ソリューション・テクノロジ株式会社 学校法人河合塾 クミナス株式会社 株式会社ケイ・オプティコム
KDDI株式会社 サイバートラスト株式会社 株式会社ジェーシービー シックス・アパート株式会社 株式会社スマートリンクネットワーク セコム株式会社 株式会社セブン銀行 ソフトバンクBB株式会社 東洋ビジネスエンジニアリング株式会社 凸版印刷株式会社 株式会社日経BP ニフティ株式会社 日本生命保険相互会社 日本電気株式会社 日本電信電話株式会社
日本ベリサイン株式会社 一般財団法人日本情報経済社会推進協会(JIPDEC) 株式会社野村総合研究所 Ping Identity Corporation 富士通株式会社 マネックス証券株式会社 株式会社ミクシィ 三井住友カード株式会社 株式会社三菱東京UFJ銀行 ヤフー株式会社 楽天株式会社 株式会社レジェンド・アプリケーションズ
* 2013年8月末時点
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
業界動向の把握と新市場創出の場をOpenID
ファウンデーション・ジャパンがサポートします
会員企業・組織になることで…
ワーキンググループへの参加を通じた、業界
イニシアティブへの関与
企業や業界を超えた標準仕様の作成や、
ビジネスモデル創出に関する検討
技術者コミュニティや会員企業間の情報交換を
通じたデジタル・アイデンティティ関連の技術
動向、ビジネス動向の収集
各種会員企業限定のセミナー、懇親会、
フォーラムへの参加
会員企業プロモーション支援
22
Copyright 2013 OpenID Foundation Japan - All Rights Reserved.
まとめ
クラウドサービスが普及するにつれて、ユーザー
企業は急激なコンシューマライゼーションと
新たなセキュリティの課題に直面しています。
「OpenID Connect」と「SCIM」は、ユーザー
企業が求める新たな「アイデンティティ・
ソリューション」を実現するための仕様です。
OpenIDファウンデーション・ジャパンは会員
企業・組織とともに、「エンタープライズ・
アイデンティティWG」を推進し、業界を
主導します。
23
http://flic.kr/p/5iJp6M
お問い合わせは事務局まで
03 6274 1451 [email protected]