2009년 10월 07일
마이크로소프트, SAML 2.0 상호운용성 시험 통과
지난 9월 30일, Kantara Initiative와 Liberty Alliance는 SAML 2.0 상호운용성 시험 결과를 공개하였습니다. 이번 시험은 SAML 테스트 문서 v3.2.2[5]와 eGovernment 프로파일[6]을 대상으로 참가한 기업 제품들을 full matrix로 테스트하였습니다.
SAML 테스트 문서는 저희가 2005년에 처음 상호운용성 시험을 할 때는 약 30여 단계의 간단한 테스트 절차였는데, 계속 버전업을 하면서 세부 기능까지 테스트하도록 변경되었습니다.
gGov 프로파일의 경우, SAML의 여러 프로파일 중에서 덴마크, 뉴질랜드, 미국 정부의 요청으로 인해 추가로 개발된 항목들입니다. 여러 SP에 로그아웃하는 시나리오, IDP와 RP의 인증 방법을 비교하는 절차를 비롯하여 정부 서비스에서 요구되는 상호운용성, 프라이버시, 보안, 투명성을 지원합니다. 현재 1.5 버전이 공개 리뷰 단계에 있습니다.[6]
테스트 결과는 [7]와 같습니다. Entrust, IBM, Microsoft, Novell, Ping, SAP, Siemens가 참여했습니다. 7월 14일부터 9월 4일까지 테스트가 이루어졌고, 모든 기업이 테스트를 통과했습니다. Microsoft는 ADFS(Activie Directory Federation Service) 제품으로 IDP Lite, SP Lite, eGov 1.5 프로파일을 통과하였습니다. LIte 버전은 Full 버전에서 MNI(Managed Name Identifier) 기능을 제외한 것인데, MNI 기능은 IDP와 SP간에 federated된 사용자 identifier를 변경 갱신하는 부분입니다. SAML 동작에 필수적인 부분은 아니지만, 보안을 위해서 정기적으로 identifier를 변경할 때 사용됩니다.
이번 테스트의 최종 보고서는 [9]에서 보실 수 있습니다.
Microsoft는 원래 WS-Federation을 비롯한 WS-* 표준이 존재하기 때문에, 처음부터 SAML과는 반대 입장이었습니다. 하지만 현실적으로 WS-*보다 SAML이 더 많이 사용되고 활발하게 개발되었습니다. 그리고 몇년전부터 Microsoft가 주창한 Identity Metasystem은 모든 프로토콜을 지원하는 개념이기 때문에 SAML을 지원해야 했습니다. 더욱이 Microsoft의 CardSpace는 인증 토큰으로 SAML1.1 Assertion을 사용했습니다.
그래도 Microsoft가 SAML 상호운용성 시험까지 통과할 줄은 몰랐습니다. SAML 2.0을 공식적으로 지원하게 된 이유로는 Microsoft가 작년에 공개한 ID 프레임워크인 ADFS(Active Directory Federation Services) 2.0 (코드네임 Geneva) 이었습니다. ADFS는 개발자가 ID Metasystem을 자유롭게 개발할 수 있는 플랫폼을 제공하는데, Microsoft는 여기에 SAML 2.0을 지원하면서 상호운용성 시험까지 통과하겠다고 올해 초에 공표했습니다. 이번 상호운용성 시험 통과는 Microsoft가 약속을 지킨 것입니다.
Geneva가 공개되었을 때는 많은 것이 바뀌리라 예상했습니다. 웹사이트 개발자들은 Geneva를 통해 쉽고 안전하게 사이트를 개발하고, 사용자들은 Vista에 기본 탑재된 CardSpace로 로그인하는 모습을 떠올렸습니다. 하지만 실제로 Geneva는 전혀 주목을 받지 못했고 사장되는 분위기입니다. Microsoft 측에서도 적극적으로 공략하지 않고 있구요. 그 이유 중의 하나로 여러 프로토콜을 지원하지 않는다고 판단하고, SAML 2.0을 정식으로 지원하기로 했습니다. 이를 통해 SAML 2.0을 지원하는 사이트도 쉽게 개발할 수 있게 될 것입니다. 올해 하반기에 출시되는 ADFS 2.0이 얼마나 이슈가 될지 궁금합니다.
레퍼런스
[1] http://blogs.msdn.com/card/archive/2009/10/01/ad-fs-v2-0-passes-liberty-alliance-saml-2-0-interoperability-testing.aspx
[2] http://www.identityblog.com/?p=1069
[3] http://self-issued.info/?p=226
[4] http://kantarainitiative.org/wordpress/2009/09/entrust-ibm-microsoft-novell-ping-identity-sap-and-siemens-pass-liberty-alliance-saml-2-0-interoperability-testing/
[5] http://www.projectliberty.org/liberty/content/download/4709/32204/file/Liberty_Interoperability_SAML_Test_Plan_v3.2.2%20.pdf
[6] http://tinyurl.com/y9geb94
[7] http://media.projectliberty.org/saml_2_0_test_procedure_v3_2_2_full_matrix_implementation_table_q309/
[8] http://news.idg.no/cw/art.cfm?id=0C502573-1A64-67EA-E45820C94D08EBD7
[9] http://projectliberty.org/liberty/content/download/4732/32917/file/SAML_3Q09_+IOP_Test_Event_Final_Report.pdf
SAML 테스트 문서는 저희가 2005년에 처음 상호운용성 시험을 할 때는 약 30여 단계의 간단한 테스트 절차였는데, 계속 버전업을 하면서 세부 기능까지 테스트하도록 변경되었습니다.
gGov 프로파일의 경우, SAML의 여러 프로파일 중에서 덴마크, 뉴질랜드, 미국 정부의 요청으로 인해 추가로 개발된 항목들입니다. 여러 SP에 로그아웃하는 시나리오, IDP와 RP의 인증 방법을 비교하는 절차를 비롯하여 정부 서비스에서 요구되는 상호운용성, 프라이버시, 보안, 투명성을 지원합니다. 현재 1.5 버전이 공개 리뷰 단계에 있습니다.[6]
테스트 결과는 [7]와 같습니다. Entrust, IBM, Microsoft, Novell, Ping, SAP, Siemens가 참여했습니다. 7월 14일부터 9월 4일까지 테스트가 이루어졌고, 모든 기업이 테스트를 통과했습니다. Microsoft는 ADFS(Activie Directory Federation Service) 제품으로 IDP Lite, SP Lite, eGov 1.5 프로파일을 통과하였습니다. LIte 버전은 Full 버전에서 MNI(Managed Name Identifier) 기능을 제외한 것인데, MNI 기능은 IDP와 SP간에 federated된 사용자 identifier를 변경 갱신하는 부분입니다. SAML 동작에 필수적인 부분은 아니지만, 보안을 위해서 정기적으로 identifier를 변경할 때 사용됩니다.
이번 테스트의 최종 보고서는 [9]에서 보실 수 있습니다.
그래도 Microsoft가 SAML 상호운용성 시험까지 통과할 줄은 몰랐습니다. SAML 2.0을 공식적으로 지원하게 된 이유로는 Microsoft가 작년에 공개한 ID 프레임워크인 ADFS(Active Directory Federation Services) 2.0 (코드네임 Geneva) 이었습니다. ADFS는 개발자가 ID Metasystem을 자유롭게 개발할 수 있는 플랫폼을 제공하는데, Microsoft는 여기에 SAML 2.0을 지원하면서 상호운용성 시험까지 통과하겠다고 올해 초에 공표했습니다. 이번 상호운용성 시험 통과는 Microsoft가 약속을 지킨 것입니다.
Microsoft participated in the testing with Active Directory Federation Services 2.0 (formerly code-named Geneva), which is slated to ship later this year. ADFS 2.0 is part of a larger identity platform that includes Windows Identity Foundation and Windows Cardspace.
Microsoft said earlier this year it would have SAML 2.0 certification before it released Geneva. The SAML profiles ADFS 2.0 supports cover the core features of federation.[8]
Geneva가 공개되었을 때는 많은 것이 바뀌리라 예상했습니다. 웹사이트 개발자들은 Geneva를 통해 쉽고 안전하게 사이트를 개발하고, 사용자들은 Vista에 기본 탑재된 CardSpace로 로그인하는 모습을 떠올렸습니다. 하지만 실제로 Geneva는 전혀 주목을 받지 못했고 사장되는 분위기입니다. Microsoft 측에서도 적극적으로 공략하지 않고 있구요. 그 이유 중의 하나로 여러 프로토콜을 지원하지 않는다고 판단하고, SAML 2.0을 정식으로 지원하기로 했습니다. 이를 통해 SAML 2.0을 지원하는 사이트도 쉽게 개발할 수 있게 될 것입니다. 올해 하반기에 출시되는 ADFS 2.0이 얼마나 이슈가 될지 궁금합니다.
레퍼런스
[1] http://blogs.msdn.com/card/archive/2009/10/01/ad-fs-v2-0-passes-liberty-alliance-saml-2-0-interoperability-testing.aspx
[2] http://www.identityblog.com/?p=1069
[3] http://self-issued.info/?p=226
[4] http://kantarainitiative.org/wordpress/2009/09/entrust-ibm-microsoft-novell-ping-identity-sap-and-siemens-pass-liberty-alliance-saml-2-0-interoperability-testing/
[5] http://www.projectliberty.org/liberty/content/download/4709/32204/file/Liberty_Interoperability_SAML_Test_Plan_v3.2.2%20.pdf
[6] http://tinyurl.com/y9geb94
[7] http://media.projectliberty.org/saml_2_0_test_procedure_v3_2_2_full_matrix_implementation_table_q309/
[8] http://news.idg.no/cw/art.cfm?id=0C502573-1A64-67EA-E45820C94D08EBD7
[9] http://projectliberty.org/liberty/content/download/4732/32917/file/SAML_3Q09_+IOP_Test_Event_Final_Report.pdf
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- ayo의 트위터 - 2009년 09월 30일 by S_H_Kim
- ayo의 트위터 - 2009년 09월 24일 by S_H_Kim
# by | 2009/10/07 22:40 | CardSpace | 트랙백
