1. Cloud Identity Summit 2011 TOI
工藤達雄

2. このセッションにてお話しすること
• Cloud Identity Summit (CIS) 2011の TOI
(Transfer of Information) です。
• CIS 2011 のワークショップやセッションの中か
ら、興味深いネタをご紹介します。

3. Cloud Identity Summit 2011 とは
• www.cloudidentitysummit.com
• 「クラウド・アイデンティティ」に
フォーカスしたカンファレンス
• 今年で 2 回目
• 全4日間
– 7/18, 19: ワークショップ
– 7/20, 21: セッション

4. CIS 2011 のトピック
• モバイルとクラウドのアイデンティティ • クラウドの認可
• クラウドにおける統制 • サプライチェーンの統合
• 大規模クラウドアプリケーションの管 • カスタマー・エンゲージメント
理 • 複数アイデンティティの連鎖
• 散在するアプリケーション間の接続 • クラウド・ディレクトリの統合
• コンシューマ・サービスの ID 活用へ • クラウド API サービス
の対応 • ソーシャル・メディアと企業
• クラウド および SaaS におけるプロビ • RESTful なアイデンティティ API と
ジョニングの実現 OAuth
• 企業内におけるソーシャル・メディア
のアイデンティティ

5. 7/18, 19: ワークショップ
Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm

6. 7/20, 21: セッション
Source: http://www.cloudidentitysummit.com/program/Agenda-at-a-Glance.cfm

7. CIS 2011 を通じて感じたこと

8. 新しい標準への期待が高まっている
• API 認証は OAuth 2.0
• アイデンティティ API は OpenID Connect
• ユーザー・プロビジョニングは SCIM

9. Google のサポート
• “Years ago when it was InfoCards and SAML and OpenID and OAuth, it was
confusing to them. Now there is a simple message. Ignore the technology, it’s a
simple marketing message – it’s OAuth 2.0 [and OpenID Connect].
– Google gives testers new identity UI, OpenID Connect support
• https://www.pingidentity.com/blogs/pingtalk/index.cfm/2011/7/21/Google-gives-testers-new-
identity-UI-OpenID-Connect-support
Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate

10. OAuth 2.0 (w/ OpenID Connect)
@ Google
• アイデンティティ API は
OpenID Connectに統一
– CIS 開催に合わせて API を
公開
• その他のデータアクセス API
認証は OAuth 2.0 に統一
– Apps Marketplace の 2-
legged OAuth も
– Android の
AccountManager も
Source: https://sites.google.com/site/oauthgoog/Home/cisgoogintegrate

11. SCIM Simple Cloud Identity Management
• http://www.simplecloud.info/
• クラウド・サービスにおけるアイデンティ
ティ・プロビジョニング・インタフェースの共
通仕様（を目指す）
• 特長
– RESTful API
– CRUD (Create, Rename, Update, Delete)
に特化
– シンプルで拡張しやすいユーザー・ス
キーマ
– Salesforce.com, Google, Cisco (WebEx),
VMware など、有力クラウド・サービス・プ Source:
ロバイダが参加 http://www.simplecloud.info/specs/
draft-scim-scenarios-04.html
• Ping Identity, Sailpoint, UnboundID などの
ソリューション・プロバイダも参加

12. SCIM の例 （ユーザー生成）
POST /User HTTP/1.1 CSP HTTP/1.1 201 Created
Host: example.com （e.g. クラウドサービス事業者） Content-Type: application/json
Accept: application/json Location: http://example.com/v1/User/uid=bjensen,dc=example,dc=com
Authorization: Bearer h480djs93hd8 ETag: "e180ee84f0671b1"
Content-Length: ...
{
{ "schemas":["urn:scim:schemas:core:1.0"],
"schemas":["urn:scim:schemas:core:1.0"], "id":"uid=bjensen,dc=example,dc=com",
"userName":"bjensen", 追加 処理 "meta":{
"externalId":"bjensen",
リクエスト レスポンス "created":"2011-08-01T21:32:44.882Z",
"name":{
"lastModified":"2011-08-01T21:32:44.882Z"
"formatted":"Ms. Barbara J Jensen III",
"familyName":"Jensen", },
"givenName":"Barbara" "name":{
} "formatted":"Ms. Barbara J Jensen III",
} "familyName":"Jensen",
ECS "givenName":"Barbara"
（e.g. クラウドサービス利用企業） },
"userName":"bjensen"
}
Source: https://groups.google.com/forum/#!topic/cloud-directory/w-WgLPmw6gQ

13. SCIM in Action
See Also: http://www.cloudidentitysummit.com/images/presentations2011/2_Harding-Cloud_Identity_Summit_Keynote_2011.pdf

14. SCIM の今後
• V1.0 Dates
– 10/18: IIW にてデモ
– 10/30: バージョン 1.0
Draft 1 確定
– 11/30: インタロップ

15. その他のプロビジョニングネタ (1)
Just-in-Time Provisioning

16. その他のプロビジョニングネタ (2)
Cloud Identity & Access Governance

17. その他のプロビジョニングネタ (3)
BYOI (Bring Your Own Identity)
Source: http://www.cloudidentitysummit.com/images/presentations2011/2-4_A_Iverson_Hybrid_Identity_Management_for_the_Cloud_jjw_v4.pdf

18. モバイル対応
• 「スマートフォン対応ページ」
• 「アイデンティティ対応API」
「アイコンを小さくすること
なんて、モバイル対応の
うちに入らないよ」

19. 「アイデンティティ + コンテクストこそが境界となる」
（チャック・モーティモア）
Source: http://www.cloudidentitysummit.com/images/presentations2011/2-3_ChuckMortimoreCIS2011.pdf

20. ユーザー・エージェントの多様化
• モバイルはもちろん、「パートナー Web サイト」も
また、新たなユーザー・エージェント、ということ

21. ｑ
「API インタラクションの軸としてアイデンティティを
考えない人 → ゲーム終了」 （クレイグ・バートン）
See Also: http://prezi.com/wusbhfpm1ssf/identity-in-an-api-economy/

22. アイデンティティ業界関係者が総集合
• Bob Blakley さんの写真集
– http://flic.kr/s/aHsjvuYXY8

23. 超アットホーム!

24. まとめ

25. 旧き良き時代のエンタープライズ IdM
アクセス保護
企業 Web
アプリケーション オーソリテイティブ・
ソース（人事
認証 Web
システムなど）
アプリケーション
ユーザー アイデンティティ・
リポジトリ / プロビジョニング・
（Webブラウザ） システム
SSOシステム
Web
アプリケーション
プロビジョニング
アクセス Web
アプリケーション

26. 最近のエンタープライズ IdM
SaaSプロバイダ
企業 Web
オーソリテイティブ・
ソース（人事
アプリケーション
システムなど）
ユーザー アイデンティティ・
（Webブラウザ） リポジトリ /
SSOシステム
プロビジョニング・
システム
Web
アプリケーション
Web
アプリケーション

27. 今後のエンタープライズ IdM
ユーザー・
エージェント SaaS
API
（外部サービス） プロバイダ
ユーザー・
エージェント API SaaS
（モバイルApp） プロバイダ
アイデンティティ・
リポジトリ / SSO /
企業
トークン管理システム
ユーザー・ オーソリテイティブ・
エージェント ソース（人事
（Webサービス） システムなど）
ユーザー・ API Web
エージェント サービス
（デスクトップApp）
プロビジョニング・
ユーザー・ API Web
システム
エージェント サービス
（Webブラウザ）

28. さらに今後のエンタープライズ IdM
ユーザー・
SaaS オーソリテイティブ・
エージェント API
プロバイダ ソース（人事
（外部サービス）
SaaSなど）
メガSaaS
ユーザー・ プロバイダ
エージェント API
（モバイルApp） プロビジョニング /
アイデンティティ・
リポジトリ / SSO /
企業 トークン管理サービス
ユーザー・
エージェント プロビジョニング
（Webサービス） SaaS
ユーザー・
エージェント SaaS
（デスクトップApp） API プロバイダ
ユーザー・
エージェント SaaS
（Webブラウザ） API
プロバイダ

29. さらに今後のエンタープライズ IdM
ユーザー・
SaaS オーソリテイティブ・
エージェント API
プロバイダ ソース（人事
（外部サービス）
SaaSなど）
メガSaaS
ユーザー・
エージェント API 認証: API
プロバイダ
（モバイルApp） プロビジョニング /
OAuth 2.0 アイデンティティ・
リポジトリ / SSO /
企業 トークン管理サービス プロビジョニング
ユーザー・
エージェント アイデンティティ API: SCIM プロビジョニング
（Webサービス） SaaS
ユーザー・
API: OpenID
エージェント
（デスクトップApp）
Connect API プロバイダ
SaaS
ユーザー・
エージェント SaaS
（Webブラウザ） API
プロバイダ

30. リソース
• プレゼンテーション資料
– http://www.cloudidentitysummit.com/
Presentations-2011.cfm
• http://www.cloudidentitysummit.com/ の
「 2011 Presentations have been Posted!」 をクリック
• #cis2011 まとめ
– http://chirpstory.com/li/2042
– http://chirpstory.com/li/2049
• http://chirpstory.com/id/tkudos からたどるとよいかも

31. Thanks!
Tatsuo Kudo
linkedin.com/in/tatsuokudo