はじめに
前回ご紹介した様に、インターネットを基軸としたビジネス基盤は既に確立され、新たなサービス展開を模索している企業も少なくありません。1企業単独でのサービス提供から複数の企業同士でコンシューマ向けサービスの提供や、社員向けサービスを外部委託したりとインターネットを基盤としたビジネスプロセスは益々複雑化してきています。この様な環境の中でユーザが簡単かつ安全にサービスを利用できるようにする為にIDをどう取り扱うかという課題を考える必要があります。
今回はこの課題を解決するために確立されたフェデレーションの概略と、CA SiteMinderによるフェデレーション適用方法についてご紹介します。フェデレーションは、英語で記載するとIdentity Federation、日本の中では同じものを指して『フェデレーション』や『アイデンティティ連携』、『ID連携』という記載がなされる場合があります。
フェデレーションの概略
昨今、インターネットテクノロジ等の標準規格により、企業間の枠を超えてアプリケーションやビジネスプロセスを統合することで、取引パートナー、ビジネス顧客、アウトソーサが複数の企業間のトランザクションに参加できるようになりました。
現在ほとんどの企業にはインターネットと業務処理アプリが存在します。しかしこうした分散アプリによるビジネス展開もシステムレベルでの情報交換を安全に行えなければ具体化することはできません。
そこでこの分散アプリを安全に接続してビジネス速度を高めるためにフェデレーション標準仕様が考えられました。
フェデレーションにより、企業と外部ビジネスパートナー或は他のサードパーティにまたがって、あたかもすべてが同じセキュリティドメインに属しているかのようにユーザやアプリが作業を行えるようになります。このフェデレーションによる目的を実現する為に策定された標準規格で広く知られているのがSAML標準規格です。標準化された仕様を活用することで、ID連携の基盤を構築し、さまざまな要件や使用方法に柔軟に対応していくことが出来るようになっています。
もともと「フェデレーション」とは柔軟に結合された独立企業組織を意味します。IDを連携する基盤が構築されると、企業はそれぞれのユーザに、信頼関係にあるパートナーが処理できる「セキュリティチケット」を発行します。このチケットを安全にやり取りすることで、IDの連携を実現しています(SAMLでは、フェデレーションで扱われるこのセキュリティチケットの構造、内容、認証方法、管理方法、検証方法、対応可能なサービス、対応すべきサービスなどを定義している)。
CA SiteMinderによるフェデレーションの使用事例
CA SiteMinderが提供するフェデレーションは、CA SiteMinder Federation Security Services(FSS)と呼ばれるオプション製品です。WebサーバマシンにWeb AgentとWeb Agent Option Packをインストールすることにより、CA SiteMinderフェデレーション環境を両サイトに構築することができるようになっています。このFSSはSAML 1.0、SAML 1.1およびSAML 2.0に対応し、何れもメニューから選択するような設定方法になっています。
フェデレーションの実行方式には、ブラウザベース、ドキュメントベースの2つの基本的な方式があります。
ブラウザベース方式はプル型とも呼ばれ、Webアプリを使用するユーザのブラウザを介して情報のやり取りが行われます。 一方ドキュメントベース方式はプッシュ型とも呼ばれ、Webサービス標準規格を利用して2つのセキュリティドメイン間で転送されるXML文書を使用します。
