異なるWebシステム同士でのシングル・サインオン環境を構築するための技術仕様を策定するリバティ・アライアンス・プロジェクト(以下,リバティ)は米国時間で3月11日,新たな認証アーキテクチャの概要とロードマップを発表した。新アーキテクチャで目指しているのは,ある認証システム(または認証機能を提供するWebサービス)が管理するユーザー属性情報を,不特定のWebサイト/サービスが必要に応じて参照できるような環境。今後のWebサービスの普及に備えた仕組みである。「フェデレーテッド・ネットワーク認証アーキテクチャ」と呼ぶ文書に記載されている。

 リバティは,2002年7月にシングル・サインオンのための仕様「リバティ・アライアンス仕様書」を策定済み。2003年1月には,その改訂版を作成し,「認証フェデレーション・フレームワーク」として公開した。ただ,従来の仕様では,不特定のWebサービスを提供するサイト同士を連携させる場合には,機能的に十分とは言い切れなかった。

 例えば,別々のシングル・サインオン環境にあるECサイトと決済機能を提供するWebサービスを連携させる場合。ECサイトから決済サービスに処理を依頼しようとしても,決済サービスはECサイト会員であるユーザーの属性情報を入手できない。このため,決済サービス側でユーザーのクレジットカード番号を入手する場合などは,ECサイト側からユーザー情報を提供するようにアプリケーションを作り込むか,ユーザーに入力を求めなければならない。ただ,こうした連携方法では,不特定のWebサービスとの連携は困難である。そこで,リバティは,認証ドメインが異なるWebサービス同士を動的に連携させられるような新しいアーキテクチャを考案した。

 フェデレーテッド・ネットワーク認証アーキテクチャでは,互いに信頼関係を築いたWebサービス同士で,認証機構は別々のまま,それぞれのユーザー情報を参照できるようにする。前述の例で言えば,ECサイトは決済処理を依頼するユーザーの認証済み証明書(プロキシ・サーティフィケート)と処理内容を決済サービスに送る。決済サービス側では,受け取ったサーティフィケートを使って,ECサイト側の認証システム/サービスにアクセスして,ユーザーの個人情報などを入手。このデータを基に,決済処理を進め,結果をECサイトに返す。こうした動的な連携が可能になれば,Webサービス同士を一層連携させやすくなる。

 構想では,リバティは2段階で仕様策定を進める。まず,2003年半ばまでに「ID-WSF(認証Webサービス・フレームワーク)」と呼ぶ枠組みを規定する。WebサイトやWebサービスが必要に応じてほかのサービスの認証システムから認証情報や属性情報を取得できるように,必要な共通仕様を決める。次に,2003年末から2004年をめどに,「ID-SIS(認証サービス・インタフェース仕様)」を策定する。この仕様は,ID-WSFで規定した共通仕様上に,さまざまなサービスを実装し,利用するときの仕様を決めたものになる。具体的には,機能を呼び出すためのXMLベースのデータ形式と,そのXMLデータを送受信する手順などを規定する。例えば,プロファイル登録/提供,連絡先リスト,カレンダ,位置情報,通知といった機能を提供/利用するインタフェース仕様を決める。(H.J.)