第 1 章   Sun ONE Identity Server の紹介


Sun ONE Identity Server は、企業向けインフラストラクチャソリューションです。Sun ONE Identity Server は、すべてのビジネス関係、サービス、データ、およびアクセス許可の設定の鍵です。Identity Server によって、顧客、社員、提携業者、および供給業者を 1 つのオンラインディレクトリに統合することができます。また、企業内のどの情報にだれがアクセスできるかに関するポリシーと権限を確立する手段を提供します。Identity Server は、急速に拡大するエクストラネットやホスティングサービスの要求に対応できるように設計されています。この章では、Identity Server ソリューションについて紹介します。

この章には次のトピックがあります。

• Identity Server ソリューション

• 主な機能と利点

• Identity Server 6.0 の新機能

Identity Server ソリューション

---

Identity Server は Sun ONE サーバ、サービス、およびエージェントで構成されています。Identity Server は、Sun ONE Directory Server の基本的な機能を拡張し、ユーザデータ、サービスデータ、およびアクセスポリシーを統合して、1 つのコンソールでこれらすべてを効率的に管理できるようにします。Identity Server を使用して、企業内の Web リソースへのアクセスを制御するロールとポリシーを定義し、適用することができます。また、これらのロールとポリシーによって、ユーザアカウントの管理を管理者だけでなく、管理者でない人にも委託することが可能になります。Identity Server のプラグイン可能なアーキテクチャにより、比較的簡単に新しいサービスを追加してその構成をユーザおよびポリシーに合わせてカスタマイズできます。

Identity Server を購入すると、Identity Server ソリューションを構成する Sun ONE サーバおよびサービスをすべて受け取ることができます。

• Sun ONE Directory Server 5.1

• Identity Server ポリシーサービスおよび管理サービス

• Identity Server コンソール

• Identity Server スキーマ

• ドメイン間シングルサインオン (CDSSO) コンポーネント

• 共通ドメインサービス

Identity Server と連携する Web エージェントは、別個のコンポーネントとして使用できます。Identity Server Web エージェントの詳細は、「ポリシーエージェント」を参照してください。

Sun ONE Directory Server

Sun ONE Directory Server は、業界標準の Lightweight Directory Access Protocol (LDAP) に基づいた強力でスケーラブルな分散ディレクトリサーバです。Identity Server の導入では、Directory Server はユーザデータ、サービスデータ、およびアクセスポリシーの中央リポジトリになります。これにより、さまざまなサーバやアプリケーションが一貫性のあるデータを共有できます。

Identity Server ポリシーサービス

ポリシーサービスは、細分化され特化された 4 つのサービスで構成されています。認証、シングルサインオン、ログ、およびセッションです。これらのサービスが連携して、アクセスルールの適用を可能にします。アクセスルールは、アプリケーションへのログインをユーザに許可または拒否するポリシーを構成します。

認証

認証サービスは、アプリケーションにアクセスを試みるユーザのアイデンティティ (識別情報) を検証します。認証は、ログイン時にユーザの資格を検証するプラグイン可能ないくつかのモジュールによって実装されます。

シングルサインオン

シングルサインオン (SSO) サービスでは、アプリケーション間でユーザ情報を保存および転送するためのトークンを使用します。これにより、ユーザは企業に一度ログインすると、アプリケーションごとに認証をやり直さなくても複数の Web ベースアプリケーションにアクセスできます。サービスによって提供される Java API は、SSO トークンとエージェントを検証して、サーバに格納されている特定のページのアクセスルールとポリシーを適用します。

ログ

ログサービスは、ログ情報をログファイルまたはログデータベースに書き込みます。ログデータは、認証モジュールおよび Identity Server コンソールが使用します。

セッション

セッションサービスは、ユーザセッション情報と有効期間の情報を保持します。セッション情報は、シングルサインオンのトークンの検証に使用されます。

図 1-1    Identity Server アーキテクチャ

Identity Server 管理サービス

管理サービスは、細分化された 3 つのサービスで構成されています。ポリシー管理、アイデンティティ管理、およびサービス管理です。これらの 3 つのサービスは、Identity Server コンソールに統合され、1 箇所で企業管理を行うことができます。管理サービスを使って変更を行うと、Directory Server で自動的にそれらの変更が行われます。

ポリシー管理

ポリシー管理サービスは、組織およびサブ組織のアクセスルールとポリシーの作成、変更、および削除の手段を提供します。

アイデンティティの管理

アイデンティティ管理サービスは、ユーザ管理サービスとも呼ばれます。アイデンティティ管理は、ユーザ、ロール、グループ、ピープルコンテナ、組織、組織単位、およびサブ組織の作成および管理の手段を提供します。

サービス管理

サービス管理サービスは、サービスの登録と登録解除、およびディレクトリ内のオブジェクトに割り当てられたサービス属性の管理の手段を提供します。

Identity Server コンソール

Identity Server コンソールは、アイデンティティ、サービス、およびポリシーの管理を統合するグラフィカルインタフェースです。Identity Server コンソールを使用すると、ユーザ (管理者および非管理者のいずれの場合も) は、LDAP に関する知識がなくても、1 つのインタフェースを使って Directory Server でユーザアカウント、サービス属性、およびアクセスルールを作成および管理できます。

ドメイン間シングルサインオン

ドメイン間シングルサインオン (SSO) 機能により、ユーザは企業内の DNS ドメインで 1 回認証を行えば、別のドメインで実行中の Identity Server サービスにアクセスできます。このサービスは、ドメインにインストールしたコントローラとドメイン間シングルサインオン (CDSSO) コンポーネントを使って実装します。

ドメイン間コントローラ

ドメイン間コントローラ (CDC) コンポーネントは、アイデンティティ情報サービスのインストール時に自動的にインストールされます。このコントローラは、認証要求を適切に転送します。要求にシングルサインオン (SSO) 情報が含まれていない場合、コントローラはその要求を認証サービスに転送します。SSO 情報を含む要求は、照会文字列に付加された SSO 情報により、適切な CDSSO コンポーネントに送信されます。

ドメイン間のシングルサインオンコンポーネント

ドメイン間のシングルサインオン (CDSSO) コンポーネントは、主に、このコンポーネントが配備されたドメインの cookie の設定に使用されます。CDSSO コンポーネントは、関連 DNS ドメインとは別にインストールされます。

Web Server

Sun ONE Web Server は、製品 CD にスタンドアロン製品として含まれてはいませんが、Identity Server ソリューションの重要部分です。Sun ONE Web Server は、ポリシーサービスと管理サービスのインストール時に自動的にインストールされ設定されます。バックグラウンドで動作するこの専用 Web Server インスタンスは、ポリシーの適用、アイデンティティの管理、およびサービス管理のためのエンジンを提供します。また、グラフィカルユーザインタフェースも提供します。

共通ドメインサービス

共通ドメインサービスにより、共通ドメインをホスティングするマシンは、リダイレクト URL に渡されたパラメータに基づいて Cookie の読み取りと書き込みを行うことができます。IDP (Identity Service Provider) でユーザが認証されると、IDP はユーザがその IDP を使っていることを示すパラメータを使用して、共通ドメインにユーザのブラウザをリダイレクトします。共通ドメインのサーバは、この IDP を使用している IDP として識別する Cookie を書き込み、ユーザのブラウザを IDP にリダイレクトして戻します。

主な機能と利点

---

ビジネスが成長するにつれて、ネットワークのニーズも変わります。サービスの効率性、拡張性、迅速な導入、およびセキュリティの確保が、企業活動を円滑に継続し、システムの停止時間を最小限にとどめるための重要な要素になります。Identity Server では、拡大する企業の必要に応えるため、次の機能を提供します。

管理コンソール

アイデンティティ、サービス、およびポリシーの管理を統合するグラフィカルインタフェース。管理コンソールは、ユーザ (管理者および非管理者のいずれの場合も) が、LDAP に関する知識がなくても、1 つのインタフェースを使って Directory Server でユーザアカウント、サービス属性、およびアクセスルールを作成および管理できるようにします。

ポリシー管理

アクセスルールを作成および適用する手段。ユーザの資格、およびアクセスルールとポリシーに基づいて、ユーザにリソースへのアクセスを許可または拒否します。

サービス管理

サービスおよびサービス属性を登録する手段。ユーザを管理するために使うのと同じコンソールから、組織、グループ、または個々のユーザにサービス属性を割り当てることができます。

アイデンティティの管理

事前定義されたいくつかの管理者ロールをサポートするフレームワーク。組織、グループ、およびユーザを作成、変更、または削除するための手段を提供します。新しい組織または管理グループを作成するたびに、適切な管理者エントリ、ロール、およびアクセス制御命令 (ACI) を自動的に作成します。

認証

ユーザのアイデンティティを検証するための 1 つのフレームワークといくつかのモジュール。企業内のアプリケーションにログインするために資格情報を提示するようユーザに要求することにより、セキュリティを確保します。プラグインアーキテクチャにより、Sun ONE のユーザは Identity Server で独自のモジュールを作成して使用することができます。Identity Server には、次の認証モジュールが付属しています。

• LDAP

• RADIUS

• メンバーシップ

• 匿名

• 証明書に基づく認証モジュール

• Unix

• SafeWord

  
  

  ---

  注	UNIX 認証モジュールは、Solaris バージョンにのみ付属しています。

  ---

  
  

Web ベースのシングルサインオン

アプリケーション間でユーザ情報を保存および転送するためにトークンを使うメカニズム。1 つのセッションの間、アプリケーションごとに認証をやり直さなくても、ユーザが複数の Web ベースアプリケーションにアクセスできるようにします。

ポリシーエージェント

Web リソースを保護するアクセスルールとポリシーを適用するメカニズム。Web サーバにある保護されたファイルやページへのアクセスを試みるユーザにさらにアイデンティティを要求することにより、セキュリティを確保します。

SSL (Secure Socket Layer)

暗号化によりネットワークを介した通信を保護する転送プロトコル。SSL により、権限がない場合にはネットワークを介した通信を傍受できないようにします。

ディレクトリレプリケーションのサポート

Identity Server は、Directory Server のマルチマスターレプリケーション機能と連携して、読み取りと書き込みの両方の操作に対して可用性の高いディレクトリサービスを提供します。

サービスのロールとクラスのサポート

Identity Server は、Directory Server と連携して、エントリ間で属性をグループ化および共有するための柔軟なメカニズムを提供します。ロールまたは属性を 1 回変更するだけで、多数のユーザ、グループ、または組織のエントリをダイナミックに変更できるようにします。

負荷均衡アプリケーションのサポート

Identity Server は、Sun ONE Directory Access Router などの負荷均衡アプリケーションと連携して、高可用性とファイアウォールに似たセキュリティを実現します。

Identity Server 6.0 の新機能

---

Identity Server 6.0 には、次の新しい機能が組み込まれています。

• Liberty 仕様のサポート

• SAML のサポート

Liberty 仕様のサポート

私たちの個人情報は断片的に、銀行、クレジットカード会社、証券仲買会社、自動車関連部門、保険会社、社会保険庁、百貨店、ガソリンスタンド、電話会社などによって際限なく拡散しています。今日、私たちが仕事や地域社会を通じ、さらには個人的にやりとりを行うための主要なコミュニケーション手段であるインターネットによって、私たちの個人情報はなお一層断片的に広がっています。私たちの情報は、雇用者、ISP、電子掲示板、インスタントメッセージングシステム、オンラインビジネスなどによって使用される多くのコンピュータシステムやネットワーク全体に断片的に提供されています。これらすべてのシステムやネットワークは、私たちの側で調整、操作、あるいは管理することはほとんどできません。

個人情報の総合的な管理インフラストラクチャの構築は、このような状況を改善する鍵となっています。このようなインフラストラクチャの構築によって、ビジネスコストの低下およびインターネットや電子商取引の拡大の促進など、経済的利益の提供をもたらす新しいビジネスチャンスが生まれます。消費者にとっては、個人情報に関する新しいレベルのパーソナライズ、セキュリティ、および管理が約束されます。Liberty Alliance Project は、このようなすべてのインフラストラクチャを構築します。

SAML のサポート

SAML (Security Assertion Markup Language) は、セキュリティ当局間でセキュリティアサーションを交換するための XML フレームワークを定義します。これは、認証および承認サービスを提供するさまざまなベンダープラットフォーム間の相互運用性を実現することを主な目的としています。

次に、SAML によって実行される使用シナリオの一部を示します。

• 信頼関係にある提携業者間のシングルサインオンを有効にします。ユーザがソース Web サイトに認証されると、認証をやり直さなくても、異なるベンダーが管理する Web リソースにアクセスできます。

• ユーザの認証基準に基づくアプリケーションのアクセス許可を有効にします。

• 異なるセキュリティドメインにある 2 当事者の相互検証を有効にして、2 当事者間の商取引が続行されるようにします。

• 2 つのアプリケーション間のユーザセッションの共有を有効にします。

SAML の詳細情報と Identity Server での使用方法については、『Programmer's Guide』の第 8 章「Using SAML」を参照してください。