2008년 08월 26일
RSA 2008에서 열렸던 Information Card 상호운용성 시험 결과의 분석자료 (2/2)
RSA 2008에서 열렸던 Information Card 상호운용성 시험 결과의 분석자료 (1/2) 에서 객관적인 수치를 나열했습니다. 이제 상호운용성 시험에서 도출된 문제, 교훈, 향후 작업에 대해 알아봅시다.
문제
4번째 상호운용성 테스트는 9월의 DIDW(Digital ID World)에서 시연될 예정입니다. 관련 내용은 http://codeplex.com/osisinterop 를 통해 준비될 계획이라는데, 아직은 별다른 내용이 없네요.
개인적인 평가
우선 OSIS의 상호운용성 테스트는 여러 가지로 아쉬운 점이 많습니다. 너무 많은 것을 테스트하고, 너무 많은 것을 Option으로 남겨두어서 테스트를 받는 목적이 애매합니다. 물론 OSIS 측은 상호운용성 테스트는 '성공','실패'로 구분되는 결과를 내지 않고 단순히 어떤 기능을 얼마나 호환되게 만들었는지 가늠하기 위해서라고 규정지었습니다. 하지만 상호운용성 테스트는 몇가지 핵심적인 기능 및 테스트 항목을 정해놓고, 통과 여부에 따라서 '이 제품은 상호운용성을 지원한다/못한다'로 깔끔하게 표현되어야지 권위도 올라가고 테스트를 받는 목적도 명확해집니다. 그렇지 못하기 때문에 테스트 결과를 보면 'Not Applicable'이라고 아에 구현조차 안한 항목이 절반을 차지하죠. 실제로 참여하면 다른 입장을 보이겠지만, 방관자 입장에서는 제품을 개발하는 과정에 진행 상황을 체크하기 위한 테스팅에 불과하다고 생각됩니다.
그래도 갈수록 많은 업체가 참가할 것이고, 이슈가 될 것입니다. ICF(Information Card Foundation)의 상호운용성 테스트는 OSIS와는 달리, 제가 말한 방향으로 진행되면 좋을 것 같습니다. 아. 참고로 ETRI는 ICF에 가입했습니다.
문제
- 테스트 관련 정보(설명, 테스트 방법, 결과)가 있는 인프라가 없음 -> wiki를 새로 만들었음
- 해당 role로 수행할 수 있는 많은 테스트 항목 중에 본인과 관계없는 항목이 존재함 -> 테스트 하지 않고 'Not Applicable'이라고 표시함
- ISIP 문서에서 언급된 이외의 내용이 테스트 항목에 포함됨 -> 그런 항목은 Optional로 표시함. 그러나 몇몇 참가자는 자신들이 테스트 항목을 못 준수한 것처럼 보일까 우려함
- 제품 간 테스트 과정에서 많은 시간 소요
- Negative 테스트 수행의 어려움
- ISIP 문서에 대한 이해도 증가 : non-audit card, RequiresAppliesTo, AudienceRestrictionCondition,
- 새로운 시나리오 추가 : holder-of-key SAML [SAML] token
- IS(Identity Selector)의 X.509 인증서 인증 방법 지원
- OpenID의 PAPE 스펙 지원
- 메일링 리스트 등을 통해 토론하면서 모두의 이해도가 높아질 수 있음
- 메일링 리스트와 컨퍼런스 콜이 유용하게 사용되었음
- 상호운용성 시험 데모를 통해 IT 업계 관계자들의 주의를 환기시켰음
- Managed Cards backed by Kerberos tickets
- Managed Cards backed by X.509 Certificates
- SAML 2.0 token support
- Support for symmetric and asymmetric bindings (transport binding is common)
- Optional Audit Cards
- Identity Selector capability advertisement
- SOAP 1.2 Support
- WS-Trust 1.3 Support
- WS-SecurityPolicy 1.2 Support
- Managed Card Refresh Support
- SOAP Fault recognition and action
- Internationalization (note many products are internationalized – but OSIS has not focused here)
- Token timestamp validation
4번째 상호운용성 테스트는 9월의 DIDW(Digital ID World)에서 시연될 예정입니다. 관련 내용은 http://codeplex.com/osisinterop 를 통해 준비될 계획이라는데, 아직은 별다른 내용이 없네요.
개인적인 평가
우선 OSIS의 상호운용성 테스트는 여러 가지로 아쉬운 점이 많습니다. 너무 많은 것을 테스트하고, 너무 많은 것을 Option으로 남겨두어서 테스트를 받는 목적이 애매합니다. 물론 OSIS 측은 상호운용성 테스트는 '성공','실패'로 구분되는 결과를 내지 않고 단순히 어떤 기능을 얼마나 호환되게 만들었는지 가늠하기 위해서라고 규정지었습니다. 하지만 상호운용성 테스트는 몇가지 핵심적인 기능 및 테스트 항목을 정해놓고, 통과 여부에 따라서 '이 제품은 상호운용성을 지원한다/못한다'로 깔끔하게 표현되어야지 권위도 올라가고 테스트를 받는 목적도 명확해집니다. 그렇지 못하기 때문에 테스트 결과를 보면 'Not Applicable'이라고 아에 구현조차 안한 항목이 절반을 차지하죠. 실제로 참여하면 다른 입장을 보이겠지만, 방관자 입장에서는 제품을 개발하는 과정에 진행 상황을 체크하기 위한 테스팅에 불과하다고 생각됩니다.
그래도 갈수록 많은 업체가 참가할 것이고, 이슈가 될 것입니다. ICF(Information Card Foundation)의 상호운용성 테스트는 OSIS와는 달리, 제가 말한 방향으로 진행되면 좋을 것 같습니다. 아. 참고로 ETRI는 ICF에 가입했습니다.
# by | 2008/08/26 22:10 | 기타 ID 동향 | 트랙백
