2008/07/18 Identity management

-

Identity management

Identity management
  • the management of the identity life cycle of entities (subjects or objects). (Wikipedia)

関連仕様メモ

ディレクトリ

  • X.500シリーズ(ITU-T), ISO/IEC 9594
    • Last 2005-08
    • ネットワークを利用する上で必要な情報(コンピュータ名、プリンタ名、ユーザ名など)を得る。
    • ユーザが検索しやすい方法で名前とプロパティの一式を提供する。
    • クライアント・サーバ方式で動作する。
    • DNSもディレクトリサービスの一つ

ディレクトリ・アクセス、ディレクトリ・データベース

  • LDAP v3 (IETF)
    • Lightweight Directory Access Protocol
    • v3、RFC4510~RFC4519(2006/01~06)他
    • X.500 DAPより軽量、TCP/IPのモデルに対応。
    • IETF: Internet Engineering Task Force
    • OpenLDAP
      • DBはBDB
    • ActiveDirestory
      • DBはJet

認証・認可サービス

規格
  • SAML 2.0 (OASIS*)
    • Security Assertion Markup Language
    • OASIS: Organization for the Advancement of Structured Information Standards
    • 2.0は2005-03-15承認
    • SAMLで相互運用
    • AuthXMLとS2ML(Security Services Markup Language)を統合
    • 同一IDによる名寄せ防止、プライバシーに配慮し他の認証サービスから最低限必要な属性だけ取得する。利用者の認証、属性、属性に対するアクセス制限を分けて管理する。
    • アサーションはユーザの認証情報や属性情報。SAMLオーソリティで発行される認証・許可情報が記述された証明書。IdPからSPに提供されるID情報
  • ID-FF 1.2 (Liberty)
    • 元はSunが立ち上げたコンソーシアム
  • OpenSAML 1.1 (Internet2)
  • WS-Federation
    • 元はMicrosoft、IBM、Verisignらが2004年に発表
  • OpenID (OpenID Foundation)
    • OpenID 2.0は2007-12
    • 元はSix ApartのBrad Fitzpatrick
    • ID発行サイト運営はBlogger (Google), Yahoo, LiveDoor, AOL, Flickr, LiveJournal, Orange (France Telecom), SmugMug, Technorati, Vox, WordPress.com, はてな, OpenID.ne.jp
  • サービス連携統一の流れ
    • [Internet2] SAML 1.0 --> OpenSAML 1.0 --> OpenSAML 1.1 --> SAML2.0
    • [OASIS] SAML 1.0 --> SAML 1.1 --> SAML 2.0
    • [Liberty Alliance] SAML 1.0 --> Liberty1.0 --> ID-FF 1.1 --> SAML 2.0
    • [Microsoft] WS-Federation --> SAML 2.0
  • Liberty AllianceとWS-Federation
    • 2004-04
    • WebSSO MEX Protocal, WebSSO Interop Profile
    • Project Tango(Javaと.NETの互換)へ
SAMLの実装
  • Shibboleth (Internet2)
  • Libety Alliance
  • OpenSSO (Sun)
    • 元はSun Access ManagerのOSS版、現在はOpenSSOの成果をAccess Managerとして商用化
  • JOSSO
    • Java Open Single Sign-On Project
  • .NET Passport (Microsoft)
  • Windows Live ID (Microsoft)
  • GetAccess (Entrust)
  • IceWall SSO (HP)
  • Tivoli Access Manager (IBM)
  • SUN/Java System Access Manager (Sun)
  • ADFS: Active Directory Federation Services (Microsoft), Windows 2003 R2
  • SiteMinder (CA)
    • Netegrityを2004年に買収
その他実装
  • CAS、CAS 2 (JA-SIG)
    • Central Authorization Service
    • 元はYale大学
    • 現在はJA-SIG: Java Architecture SIG), Sunが支援
  • winbind
  • SourceID (Ping Identity)
    • PingFederate

アクセス制御

定義言語
  • XACML 2.0 (OASIS)
    • eXtensible Access Control Markup Language
    • 2.0は2005-02-01承認
    • Rule要素
      • Subject(主体)
      • Resources(資源)
      • Action(動作)・・・Read, Write, Delete, ...
      • Condition(条件)
    • ポリシー
      • 複数のRule、Ruleの集合
      • Policy要素の子にTarget Rule、Obligations(責務)などを記述。
      • 責務の例)アクセスログを取る、注意事項を伝える
    • 実装方法
      • ポリシー名、リソースの場所(URL等)、Action(GET,POST等)を決め、ユーザやグループを選択する。
    • Role(役割)
      • 複数の権限と名前を紐づける。
      • 例)システム管理者Role、編集者Role、フォルダ作成者Role、オペレータRole、承認者Role(読込可、編集不可、承認可)
制御の実装
  • ファイアウォール(firewall)
  • ファイル、フォルダへのパーミッション設定
  • DBテーブル、レコード、フィールドへのアクセス権

プロビジョニング

  • SPML 2.0 (OASIS)
    • Service Provisioning Markup Language
    • 2.0は2006-04承認
    • プロビジョニング情報の交換、主にリソース割り当て管理(ディスク割当など)に使う。
  • HWリソースのプロビジョニング
    • DMTF: Distributed Management Task Force
    • OVF: Open Virtual Machine Format

ディレクトリ送受信

  • DSML v2 (OASIS)
    • Directory Services Markup Language
    • v2は2002-04承認

次世代リソース識別

  • XRI 2.0 (OASIS)
    • Extensible Resource Identifier
    • XML文書を取得するために、DNSでなくXRI Proxy Resolverで名前解決する。
    • 分散ディレクトリでのURIスキーマとURNの仕様。
    • URI(統一資源識別子)
      • URL(場所)
      • URN(名前)

Liberty Alliance仕様

  • ID-FF
    • Identity Federation Framework
    • アイデンティティ連携と管理、セッション管理、SSO
  • ID-WSF
    • Web Services Framework
    • Webサービスと認証のフレームワーク、属性共有、記述、ディスカバリ、セキュリティ、プライバシー
  • ID-SIS
    • Identity Service Interface Specifications
    • 個人プロファイル、位置情報サービス、コンタクト、プレゼンスなどのサービス
      • 国際ローミング

WS-Security / WS-SX

  • OASIS Web Services Secure Exchange (WS-SX) TC
  • 枠組み、位置付け
    • サービス統合 : WS-BPEL (OASIS)
    • サービス品質 : WS-Security / WS-SX (OASIS)
    • サービス品質 : WS-Reliability / WS-RX (OASIS)
    • サービス記述 : WSDL (W3C)
    • メッセージング : SOAP, WS-Addressing (W3C)
    • トランスポート : HTTP (IETF)

認証

  • いろいろあり選択可能
  • 認証プロトコルap1.0~5.0
  • 鍵配送と認証
    • Kerberos [RFC 1510]
    • 対象鍵暗号技術と鍵配送センター(KDC)を利用
    • V.5で複数認証サーバ、アクセス権委任、継続可能チケット
  • 公開鍵認証(CA)
    • ITU X.509 [ITU 1993]
AAA
  • Authentication(認証)
    • ユーザの正当性を確認する手続き
    • ユーザを識別する符号(ユーザID)
    • ユーザのみが知る識別子(パスワードなど)
  • Authorization(認可)
    • ユーザがアクセスするリソースに対して、アクセスが許可されているかチェックする。
  • Accounting(課金)
    • ユーザがシステムを利用した際のコストを計算する。
実装
  • /etc/passwd
  • NIS
  • LDAP
    • 匿名認証
    • 簡易認証
    • SSL/TLSを使用した簡易認証
    • SASL (Kerberos v4, GSSAPI, S/Key(OTP), External)
    • SASL/DIGEST-MD5
  • PAM(サービスごとに認証DBを切り替える)
  • NTLM
    • WindowsNTでの標準、チャレンジ・レスポンス方式

その他

  • ワークフロー(汎用)
    • Wf-XML, XPDL (WfMC)
    • Workflow Management Coalition
    • OpenWFE
      • Engine, Worklist, Webclient, Apre, Droflo(WF Design Tool)
    • WWF
      • .NET3.0 + WWF + BPEL for WWF
  • ログ形式
    • CBE (OASIS WSDM)
    • Common Base Event
    • ログ統合(CBEへの変換)
    • ログ分析
      • 関連付け(時間順並べ替えなど)
      • 表示(ヒューマンインターフェース)
      • アクション(型通りのアクションがあれば実行)
    • ログ収集サーバ、ログ管理サーバ(分散DB、改ざん対策)、ログ検索サーバ(一元検索)

SSO(シングルサインオン)メモ

SSO

  • ユーザID、パスワードの統合
    • プライバシーに配慮するため統合しない連携もある。(名寄せ防止)
  • 認証インターフェースの統合
  • アクセス制御の統合

クッキー(cookie)

  • 使用方法
    • サーバが発行、ブラウザが受信し保存
    • 後に同じサイトにアクセスするときに自動的に送り返される
    • 固有の番号を振り、入力省力、アクセス履歴参照に用いる
  • 第3者クッキー
    • 画像など別のドメインにリンクされている時、そこからのクッキーも受け入れてしまう。

サービス許可(アクセス制御)メモ

現状(問題点)

  • 利用者IDに権限情報が関連付けられている
  • その関連付け(マッピング)は利用者でなく提供者が行っている
  • アプリケーションごとに管理されている

目標(要件)

  • 異なるサイト間での統一した認証
    • SSO、認証フレームワークの確立
    • プライバシー保護の実現、認証用IDの隠蔽(情報連鎖や名寄せの断ち切り)
    • ID-FF 1.2の場合
      • サービスごとに仮IDを発行
      • 認証サーバで統一的IDと仮IDを紐付け
  • サービス認可のルール化・標準化
    • 権限管理技術の確立
    • 提供者による利用目的ポリシーの作成
    • 利用者による利用許諾意思ポリシーの作成
    • 適合チェック、調整結果応答

モニタリング

  • Auditデータ(ログ、イベント)の生成、収集
  • データ分析・可視化、データ加工、データ提示

IT統制との関係

  • アカウント管理、ID管理
    • →資源管理(正当な利用かどうか管理する)
    • →管理者管理
  • パスワード管理
    • →管理者管理
  • アクセス権限
    • →履歴(証跡)管理
  • 説明責任のための証明能力
    • ログ収集、ログ保護、システム保護)
  • チェックポイント
    • 未使用IDがないか
    • アクセスは正当化か
    • 操作は正当か
    • ポリシー通りか

コメント

コメントを投稿

このブログの人気の投稿

systemd-resolveの設定(Ubuntuなどの動的DNS設定)

-
systemd-resolveの設定(動的DNS設定) Ubuntuなど、systemd-resolveがデフォルトのDNSリゾルバーとなっているディストリビューションについて。 NetworkManagerやavahi-daemonの無効化、/etc/network/interfacesの設定はしなくて大丈夫です。 なお、下記のDNS設定を行わないと、Firefox Syncに失敗してしまいます。Google Chromeでのウェブ検索には影響はありませんが、Firefoxでは「support.mozilla.org」、「accounts.firefox.com」、「bugzilla.mozilla.org」などのサポートサイトの名前検索に失敗しますので、Mozilla のサービスを使うために、なんだか妙なのですが、Google の DNS を設定しましょう。 /etc/systemd/resolved.conf の編集 設定は下記のファイル順に構築されます。 /etc/systemd/resolved.conf /etc/systemd/resolved.conf.d/*.conf /run/systemd/resolved.conf.d/*.conf /usr/lib/systemd/resolved.conf.d/*.conf $ sudo vi /etc/systemd/resolved.conf おすすめはGoogleのPublic DNSを設定です。Googleを使うユーザーにとってはヒット率が高いようです。 [Resolve] DNS=8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860: 他のDNSとしては、ISPが提供しているDNSサーバーを指定する。プロバイダが提供しているDNSは接続ルータの管理者画面等で確認します。 [Resolve] DNS=xxx.xx.xxx.250 xxx.xx.xxx.254 systemd-resolve サービス再起動 $ sudo systemctl restart systemd-resolved.service 設定確認 GoogleのPublic DNSサーバー( 8.8
続きを読む

GRUB起動メニューのタイムアウト時間、起動するOSの変更

-
Ubuntu、Debian、など 設定の流れ /etc/default/grub ↓ (update-grubコマンドで反映させる) /boot/grub/grub.cfg /etc/default/grub を編集する ※コメントの先頭は # にすること。// の場合、反映(update-grub)がエラーになります。 タイムアウト(待ち時間)を5秒から10秒に変更 $ sudo vi /etc/default/grub    GRUB_TIMEOUT=5 -> GRUB_TIMEOUT=10 起動するOSのデフォルトを一番上のメニューエントから3番目に変更(メニューで選択可能だが何も触らない場合のデフォルト) $ sudo vi /etc/default/grub    GRUB_DEFAULT=0 -> GRUB_DEFAULT=2 1番上が 0 なので、上から3番目は 2 となる。 Grubで前回の選択をデフォルトにする GRUB_DEFAULT="saved" GRUB_SAVEDEFAULT="true" 設定を反映させる 方法1:update-grub $ sudo update-grub Generating grub configuration file ... Found background image: /usr/share/images/desktop-base/desktop-grub.png Linux イメージを見つけました: /boot/vmlinuz-4.19.0-13-amd64 Found initrd image: /boot/initrd.img-4.19.0-13-amd64 Linux イメージを見つけました: /boot/vmlinuz-4.19.0-12-amd64 Found initrd image: /boot/initrd.img-4.19.0-12-amd64 Linux イメージを見つけました: /boot/vmlinuz-4.19.0-10-amd64 Found initrd image: /boot/initrd.img-4.19.0-10-amd64 Found Windows Boot Manager on /dev/s
続きを読む

Salesforce Trailheadチャレンジメモ(Apex の基礎とデータベース)

-
(チャレンジの回答がどうしてもわからないとき) Trailblazer CommunityやStack Overflowで、問題文のタイトルやエラーメッセージで調べてみると回答についての投稿が見つかることがあります。 Salesforce Trailblazer Community https://success.salesforce.com/successHome Stack Overflow - Where Developers Learn, Share, & Build Careers https://stackoverflow.com/ モジュール「Apex の基礎とデータベース」 Apex の使用開始 Create an Apex class that returns an array (or list) of strings. public class StringArrayTest {     public static String[] generateStringArray(Integer numbers) {         List<String> arraylist = new List<String> ();         for(Integer i=0; i<numbers; i++) {             arraylist.add('Test ' + i);             // System.debug(arraylist[i]);         }        return arraylist;     } } あるいは、整数部分を文字列(String)にしてもチャレンジに成功します。             arraylist.add('Test ' + i);             arraylist.add('Test ' + i.format()); DML を使用したレコードの操作 Create a method for inserting accounts. public class AccountHandler {     public st
続きを読む