JICS2014レポート(5) 1/15中編 基調講演、エンプラトラック
- 基調講演
- エンタープライズトラック
基調講演
パーソナルデータ利活用の最前線
- 牧野さん @tomoe @ twitter
- twitterのデータ提供と活用について
- twのデータをパーソナルデータとして活用してもらうために
- tw
- アクティブユーザー 2.3億人
- 日本は世界でもかなりtwを使っている。ユーザー数は米国に次いで2番目に多い
- 5億ツイート/日
- モバイルからのアクセス 75%以上
- 140文字という制限はSMS利用を想定していた
- アクティブユーザー 2.3億人
- twからのデータ提供を考えた場合のtweetデータの特徴
- Real Time
- Public
- Conversational
- テキストベースなので解析しやすい
- 情報利用とプライバシー保護
- 公開APIでの無料利用
- 検索で取得できるtw数の制限
- 全データから1%までしか取得できない
- 全ての日本語ツイートデータ提供
- NTT dataが再販パートナー
- コンシューマ向けのデータ利用
- Y!とNTT Dataがリアルタイムサーチを提供
- 活用事例
- インプレッション指数
- 投稿数 = unique user数
- インプレッション数: そのツイートを何人が見たか
「楽天のデータサイエンスによるEC革命〜おもてなしと興奮をデザインする〜」
- 北川さん @ 楽天
- 楽天の紹介
- Rakuten Diversity
- 感情価値をどうビジネス上で表現するのか、どう顧客のベネフィットに変えていくのか
- Rakuten Global Expansion
- 日本発の感情価値、「おもてなし」などをいかに世界に発信していくか
- B to B to C
- ネットモールとしての成り立ち
- 共通IDによってなしとげられること
- 店舗さんのempowerment
- 「おもてなし」のプラットフォームを作る
- ものを売る・買うことそのもののサービス向上
- Shopping Entertainment
- 日本のEC率 4% (イギリスは10%くらい)
- 感情価値による購売
- 便利さは買い続ける理由ではあるが買い始める理由ではない
- 感情価値は買い始める理由になる
- 感情価値による購売
- 楽天市場、店舗さん、お客さんによる感情価値のエンパワー
エンタープライズトラック
14:40- #enterprise
Developing Modern Identity and Access Solutions
- Vittorio Bertocci @ Microsoft
- MSのIDaaS (Azure Active Directory Service) について
- Agenda
- Identity workloads in the cloud era
- An example of Identity as a Service offering: Windows Azure AD
- Developing for an IDaaS platform
Identity workloads in the cloud era
- ディレクトリはオンプレで使うために作られた。いまでもほとんどの使い方はそうだ
- オンプレのディレクトリの回りにリソースやアプリを配置していく。もちろんユーザーもオンプレで活用していた。管理者にとってはパラダイスであった。
- 管理者にとってはパラダイスであった。すべてをコントロールできた
- 境界が進化し、パブリッククラウドができると様変わりしてしまった
- 会社バウンダリの外に活用したいリソースを設けるようになった
- 2つの問題が出てきた
- 境界の外にあるものの認証
- firewall背後のdirectoryへのアプリからのクエリ
- 影のITの出現: クレジットカードでIT部門の許可なくサービスを購入できるようになった
- BYODの台頭によって、オンプレで管理できるリソースは縮小した。 デバイスはドメインに参加しないので、本当に必要なところはアクセスできない。モバイルデバイスなので置き忘れによるトラブルも発生。管理者は怒り心頭
- 従来のディレクトリに問題があるわけではないが、リソースは増える、デバイスが使えるアプリは増える。そして従来のperimeterは消えつつある
- パブリッククラウでも活用できるIDaaSがこれを解決する。Active Directoryをなくすのではなく、機能拡張することにした。新たにクラウド上で展開可能
An example of Identity as a Service offering: Windows Azure AD
- Windows Azure AD
- 従来のオンプレディレクトリがあり、user, group, 証明書などがある。クラウドの先にWindows Azure ADがある
- クラウドに常駐するアプリからオンプレディレクトリにはクエリがかけられないので、クラウド上にディレクトリをコピーする
- クラウドはテナント構成になっており、your tenant, your domainと呼ぶ
- dir sync: 定期的にコピーを同期する。Office 365において一部差分をコピーするために長年使っているもの
- デフォルトでユーザー、グループをコピーするが、クレデンシャルは知らない。認証する場合にはオンプレのディレクトリにリダイレクトする。ここでID連携技術を使う
- クレデンシャルをクラウド上に置くことも可能。もちろん生パスワードをコピーするのではなく、ハッシュをコピーする
- 中小企業や分散拠点であれば、クラウド上のディレクトリだけで完結することも可能
- ユーザーによるIDaaSの活用
- エントリポイントはWindows Azure Management Portal
- AzureはPaaSである。そのひとつであるADにナビゲーションする
- マルチテナントサービスのうち、特定のUIから入ることも可能
- まずアドミンとして入る。左下のほうにあるActive Directoryを選ぶ
- user, group, applicationがリストされる。アプリは自作のものも3rd partyのものもある
- アプリ追加の方法は2つ、ひとつめは自社開発のもの、もうひとつはプリインテグレートされている3rd-partyアプリ(500以上ある、salesforce, dropboxなど)
- ポータルからはSSOでアプリを使うことができる。twitterとか。ユーザーはSSOが使え、管理者はクレデンシャルを管理する必要がない
- Graph APIもサポートしている。従来のLDAPに相当する役割を持つ。RESTful APIになっていて、オブジェクトにアクセスすることができる
- Developer視点での開発
- 認証エンドポイントも提供している: SSOにはSAML, WS-federation、WEB APIやプログラムにはOAuth、WEB Service+WEB SSOとしてOpenID Connect
- IDaaSシステムを介したアプリ開発
- 従来のIDシステムと同様にパラメータを設定する。アプリが何であるかを使用プロトコルのパラメータ、暗号化方式などを記述する
- 従来型よりも使いやすくなっている。オンプレでは管理者が独自の判断でディレクトリに合わせたパラメータを指定していた。今後はconsistentな方法で設定ができる
- 従来型ディレクトリは管理者のみがアクセスするように設計されていた。しかしAzure ADではプログラムベースになっているため、delegation前提で設定されている。アプリから見て統一的なアクセスが可能
- ADに対するアプリを開発する方法は2つある。ディレクトリに対してアプリ記述を提供する方法。マネジメントポータルを使う方法と、Visual Studioを使って記述する方法
- 大事なことはアプリがオープンプロトコルのどれかを話すこと。ここだけ守ればプラットフォームに依存せずに開発できる
- SDKが提供されているので、例えば認証プロトコルで何が起こっているかを知らずにアプリに認証機能を作ることができる
- Web Sign Onでは、SAMLまたはWS-Federationを活用する。Azure ADのメリットとして多要素認証やレポーティングなどをすぐ使える
Developing for an IDaaS platform
まとめ
- IDaaSでハーモニー
パネル・ディスカッション
- そろそろ「社員IDでログインできます」始めてみませんか?
- 〜 サービス・プロバイダーの立場から考える「エンタープライズ・アイデンティティ」活用の課題と今後
- パネリスト
- 工藤さん: ASPやSaaSが出てきたので、ログインも個別に持っていたものから、企業IDやコンシューマIDを使うようになってきた
- ユーザー企業において今後利用するもののヒントになるだろう
- 2001〜2002年にSAMLやLiberty Alliance製品が出てきた
- 2008年のスライドでは社外サービスを使うにあたって社外IDを使う、社外ユーザーへのサービス提供のようなことを言っていた
- 2013年のITRさんの発表: フェデレーション市場が増加。クラウドサービスの連携が牽引力となっている
- 応用はさらに進んでいる。昨日のPat Pattersonのsalesforceの発表では、SFがCRMユーザー管理まで引き受けるというところまで進んでいる
- SAMLはまだまだ使われている。SAMLでいいというのはベースラインとしてある。しかし広い形で使われているとはいえない。特定のサービスでのみ使われている。それでいいのか
- 関根さん
- 浅賀さん
- 河野さん
お題
- 工藤さん: 10年前からID連携はあったが、ここに来て対応が進んだ理由とは
- 関根さん: オンプレに置いた社内での連携というのはこれまでもあった。クラウドになってからのニーズが2〜3年前から。googleなどクラウドサービスの台頭が効いている。salesforce, google appsなどからのそのままのIDでのSSOをしたいお客様が多かった。なぜSAMLかというのは→ OIDCも対応していきたい(よく聞きとれなかった)
- 工藤さん: SAML使いたいというよりはすでにログインしているIDが使いたいという要望なんでしょうか
- 浅賀さん: お客様としてはID連携ができると知らない人もいる。競合ができるからやらざるを得ないというモチベーション。RFPに入ったりはしていない
- 河野さん: 競合がID連携しているかどうかは知らない。お客様要望により対応しているのが現状
- 工藤さん: 始めてみてこういう話があった、ようなエピソードは?
- 工藤さん: ID連携は部署単位のほうが多い?
- 関根さん: ID連携というと全社レベルの方が多い。部署単位だとSSOだけあればいいということが多い。5〜10のクラウドサービスを使っている場合に、自社IDでSSOしたいという要望につながることが多い。ユーザーとしてはSSOの利便性になるが、情シスからは管理コストが重要になってくる。パスワード更新なども1人×サービス数で効いてくる
- 河野さん: コールセンターコストではID忘れの問合せが減った。社員番号を忘れる人は少ない
- 工藤さん: SAML対応した結果、ここがいい、ここが悪い?
- 浅賀さん: IdPアラアンスだと他社とやりやすいということがある。仕様の細かい部分で合わないことがあった。Azure ADとはうまくつながらない
- 浅賀さん・関根さん: 他のサービス、アライアンス連携ではSAMLはだいたいサポートしているので組みやすい。そのままで行かないケースが多い
- 工藤さん: 自社でSAML環境を構築して使ってくださいということはあるか
- 河野さん: 見積りを作ったこともあったが、コストに見合わなかった
- 工藤さん: 何千、何万もお客様がいるところではうまくいっている印象がある。
- 工藤さん: お客様にこういう仕様でやってくださいと言うとSAMLの知識が必要になると思うがどうか
- 工藤さん: 統制できない他社サービス、どういう使い分け?
- 河野さん: Y!さんと直接連携するわけではない。社内で使っているIDをいただいて会員IDとのセットで扱うというような使い方
- 工藤さん: Y!で悪いことをしてアカウントを止められちゃったなど、統制不能な場合はどう考えている?
- 河野さん: 他社で使えなくなったというような情報がこっちに来るわけでもないので難しい
- 工藤さん: 契約関係のないサービスとうまくやるのは難しい
- 工藤さん: コンシューマIDの受け入れはビジネス的には大きい?
- 関根さん: 少人数になればなるほど、管理可能かどうかより利便性を優先することが多い
- 工藤さん: 認証と認可とは別だが、認可を使うということは?
- 浅賀さん: 権限管理が同一ではないので逆に難しい
- 工藤さん: プロビジョニングは?
- 浅賀さん: ほとんどはアカウントの自動生成までを使っていただいている感じ
- 河野さん: 役員だけはサービスレベルを上げるということは対応している。人事情報を取り込んで設定するような仕組がある
- 工藤さん: SCIMなどの標準化は?
- 河野さん: 標準化よりはお客様のご都合に合わせることが多い。
- 工藤さん: サービスから使ってくださいと言わないとユーザー企業さんに詳しい人がいるわけでもないから難しいと思うがどうか。CSVでこういう風にカンマで区切ってくださいとか
- 浅賀さん: ITスキルの高くないお客様も多いので、カンタンでないと使ってもらえない。プロビジョニング、フェデレーションをなんのためにやるのかということを機能として見せる、ハードルを下げるしかけが必要
- 工藤さん: google market placeに乗るなどのやり方はあるのではないか
- 工藤さん: ビジネス的な位置づけはあるか
- 河野さん: うちは福利厚生なので、入っていただいた後、利用していただかないといけない。利用率を上げるための最大のハードルはログインするところ。社員番号で手軽にログインできるのが付加価値
- 工藤さん: IDaaSのようなユーザー企業自体でID管理を持たずにsalesforceやAzure ADを使っている場合、どういうインパクトがあるか
- 工藤さん: 最後にエンタープライズアイデンティティの活用としてはOIDFとしてもWGを作っている。ID連携やプロビジョニングのAPIが標準化されようとしている。なかなか日本からの参加が少ない中で活動している