XML関連の標準化団体OASIS(Organization for the Advancement of Structured Information Standards)のメンバーは,シングル・サインオン仕様「Security Assertion Markup Language(SAML)v2.0」をOASIS標準(OASIS Standard)として承認した。OASISが米国時間3月14日に明らかにした。
SAMLは,XMLベースのWebサービス向けフレームワーク。異なるセキュリティ・ドメイン間で認証/属性/認定情報を安全に交換するための仕様。異なるベンダー/プロバイダが運営するWebサイト間で,安全なシングル・サインオン,電子商取引などを実現できる。XML,SOAP,Transport Layer Security(TLS),XML Signature(XMLSIG),XML Encryption(XMLENC)といった業界標準プロトコル/メッセージング・フレームワークを利用している。
バージョン2.0では,アイデンティティの連携に参加する企業間で行なわれる通信を向上させるために,新しい属性プロファイルとメタデータ仕様を追加している。
OASISセキュリティ・サービス技術委員会共同議長のPrateek Mishra氏は,「SAML v2.0は,v1.1を基に作成されており,インターネット上におけるアイデンティティ連携のための基盤を提供する。新版のいくつかの機能により,実際の導入の際に見られる重要なギャップを埋めることに成功している。たとえば,属性プロファイルとメタデータ仕様によって連携に参加する企業間の合意が簡単になった。また,暗号化,仮名,ユーザーの同意といったその他の機能により,ユーザー情報のプライバシが守られるようになっている」と説明している。
SAMLの開発には,米AOL,米BEA Systems,米Computer Associates,米Entrust,米Hewlett-Packard,米IBM,フィンランドのNokia,米Novell,米Oracle,米RSA Security,独SAP,米Oracle,米Sun Microsystemsを含め,27社を超える企業が参加している。
OASISと米一般調達局(GSA)は,2月に米サンフランシスコで開催された「2005 RSA Conference」においてSAML 2.0の相互接続デモを実施している。同デモには,認証技術の相互接続性などを検証するOASIS Federated Identity InterOp Lab,GSAの電子政府/電子認証に関する取り組みであるGSA E-Gov E-Authentication InitiativeとともにCA社,HP社,Entrust社,RSA Security社,Sun Microsystems社など13社が参加した。
◎関連記事
■ OASISと米一般調達局,シングル・サインオン仕様SAML 2.0の相互接続デモを実施
■ Liberty Allianceが「ID-WSF 2.0」草案を公開,SAMLに対応
■ Liberty Alliance,シングル・サインオン製品の相互運用性をデモ
■ Webサービスのセキュリティ仕様「SAML」,電子政府や金融分野での実用化に向け検討開始
■ Liberty Alliance Project,シングル・サインオン関連3仕様と実装ガイドラインのドラフト版を公開
[発表資料へ]
