【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
OpenIDのこれまでとこれから――企業ITでも活用できるか
B2BでのID管理基盤作りには、各種標準仕様との相互運用が必須
(2008年05月19日)
エンタープライズ分野での利用シーンを検証
ここまでOpenIDを取り巻く状況と仕様の概要について述べてきた。それでは、エンタープライズ分野においてこのOpenIDはどのような意味を持つのであろうか。
実際のところ、利活用の事例はまだそれほど多くはないが、ここでは企業がOpenIDプロバイダーとなるケースとリライング・パーティとなるケースのそれぞれについて、利用シーンを含めて実世界での動向を紹介する。
社員を対象とするOpenIDプロバイダーの運用
まず想定されるのが、企業内アプリケーションへのアクセス管理やSSO基盤として、OpenIDプロバイダーのシステムを構築することである。
これまで企業では、独自プロトコルを用いたアクセス管理/SSO基盤を導入することで、アクセス制御を集中的に管理するのが一般的であった。しかし、今後、製品標準の機能としてOpenIDを受け入れる(リライング・パーティとして動作する)アプリケーションが社内に順次導入されていくような環境では、アクセス管理/SSO基盤自身がOpenIDプロバイダーとして機能することで、アプリケーション統合作業の効率化が図れる。
また、OpenIDプロバイダーを社内利用に限定せず、外部のWebアプリケーションとの連携も行われるようになってきた。先に述べたように、Sunは社員の身元保証のために「OpenID.sun.com」というOpenIDプロバイダーを運用している。Sunの社員は、このOpenIDプロバイダーから発行されたOpenID(URL)を、自社製品/サービスに関するフォーラムや、業界内の標準化団体において、メール・アドレスに代わる身元証明手段として活用することができる(図1)。
| 図1:社員を対象とするOpenIDプロバイダーの運用イメージ |
 |
取引相手を対象とするリライング・パーティの運用
次に考えられるのは、企業が取引相手/顧客企業へのサービス提供基盤としてOpenIDを活用するケースである。
企業向けアウトソーシング・サービスやパートナー向けサービスなどでは、通常、利用者のアカウントを個別に発行・管理している。その結果、ユーザーはサービスごとに個別のアカウントを用いなくてはならず、利便性の面でもセキュリティの面でも効率的とは言い難い。
こうした状況を改善するために、特に大規模企業向けサービスにおいては、以下に示すいずれかの方法によって、企業間でのアクセス管理/SSOを実現してきた。
- ベンダー独自の認証APIを用いて、連携を図る企業にSSOシステムを実装したり、サービス専用のアプライアンスを導入
- 包括的だが複雑な標準仕様、例えば「SAML(Security Assertion Markup Language)」や「WS-Federation」などを自社および相手企業の双方が実装してアイデンティティ連携を実現
上記2つに加えて、OpenIDはもう1つの選択肢を提供する。
- ベンダー独自の認証APIではない標準仕様に基づいた、比較的導入が容易な企業間のサービス連携
実際に企業向けリライング・パーティを運用している米国37signalsの例を挙げてみる。37signalsは、主に中小企業や個人事業者向けの業務アプリケーション・サービスを展開しているが、自社が提供する各種Webアプリケーションへのログインに、外部のOpenIDプロバイダーを利用することが可能である(図2)。
| 図2:取引相手を対象とするリライング・パーティの運用イメージ |
 |
