はじめてのBluemixでシングルサインオン ～ 雲間を越えて、つなげたい『希望編！』

1. 雲間を越えて、つなげたい

2. Self Introduction

3.  現職: アイレット株式会社 cloudpack事業部
 クラウドエンジニア見習い中！
 過去の経歴
 SIer でガラケーやカーナビのミドルウェア開発 (C/C++)
 Web系開発 (Ruby on Rails, Phalcon PHP Framework)
 お世話になっているコミュニティ
 Japan AWS User Group (JAWSUG)
 Japan Azure User Group (JAZUG) や qpstudy 、DevLOVE 、PHP界隈 など、他多数
 [JAWSUGでは恒例] 好きなAWSサービス
 AWS Lambda もしくは Amazon Cognito と言えるようになりたい！（語感が好き）

4.  仕事は、Amazon Web Services
 趣味で、Microsoft Azure
 今日は、IBM Cloud / SoftLayer / Bluemix !
 SoftLayer はなぜか10%ディスカウントクーポンが発行される
 Bluemixは引き続き利用中！

5. Ideals and setbacks

6. Ideals

7. IBM Cloud

8. How?

9.  シングルサインオンとは？
 “一度の認証処理によって複数のコンピュータ上のリソースが利用可能になる認証機
能である。” (Wikipediaより引用)
 実現方法
 SAML
 OpenID Connect
 OAuth
 WS-Federation

10. Bluemix の Single Sign On サービス

12.  Bluemix のアプリにポリシーベースの認証サービスを提供してくれる
 扱える言語
 Node.js
 Liberty for Java
 公式ドキュメント

13.  SAML Enterprise
 SAML 2.0 でID連携
 IDプロバイダーのフェデレーション情報を登録し、連携させる
 Cloud Directory
 Bluemix側にID情報を保存する
 ソーシャル連携
 Facebook, LinkedIn, Google+

17.  IDやアクセス管理ができる
 Microsoft Active Directory のクラウド版
 が、製品版の Active Directory とはちょっと異なる立ち位置
 Azure AD でIDディレクトリを作成することもできる
 オンプレミスの Active Directory や OpenID を組み合わせて使える
 シングルサインオン機能の提供
 他要素認証（MFA）によるアクセス管理も可能
 IDプロバイダーにもなれる

19.  現時点では、Bluemixでシングルサインオンサービスと連携するところまでは
できました。
 Node.js のWebフレームワーク Express 上で、配布される passport-idaas-
openidconnect モジュールを用いて、Single Sign On サービスと連携するところまで
はできました。
 残す課題は、Single Sign On サービスにSAMLプロトコルで連結できてない。
 Single Sign Onサービスが要求する NameIDFormat を扱えるIDプロバイダーが用意で
きていない。

20. Setbacks

22.  Bluemix アプリ
 OK !
 Bluemix Single Sign On サービス
 OK !
 Bluemix アプリに Single Sign On サービスを組込む実装
 OK !
 SAML 2.0 プロトコルを扱えるIDプロバイダー
 これが問題…

24.  Azure AD が発行した SAML 2.0 のメタデータが、エラーでインポートできませ
んでした。
 「emailAddress をもつ NameIDFormat タグが規約に沿っていません。」

26.  Bluemixドキュメント
「Single Sign On - SAML概要」
 “The SAML Enterprise Identity Source supports only the
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress name identifier
format, HTTP POST binding, and identity provider initiated SAML SSO flow.”
 Azureドキュメント(technet)
「Use a SAML 2.0 identity provider to implement single sign-on」
 “Azure AD currently supports the following NameID Format URI for SAML
2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.”

28.  SAML 2.0 プロトコルを扱える製品
 Windows Server Active Directory
 Shibboleth
 IDaaSと呼ばれるID連携・管理を提供するサービス
 Azure Active Directory (既出)
 PingFederate (調査中)
 OneLogin (調査中)

31.  Bluemixコンソール
 https://console.ng.bluemix.net/
 デモアプリ
 http://bluemix-sso-service-demo.mybluemix.net/login
 http://bluemix-sso-service-demo.mybluemix.net/logout

32. Something Else

33.  CLI を使うと Node.js アプリ配下の node_modules のモジュールがデプロイで
きない
 Liberty for Java に切り替えるも、デフォルトでは使わない server.xml の編集
が必要らしい
 server.xml は、IBM WebSphere Liberty Server でアプリを Packaged Server と
してデプロイするらしい
 Eclipse に Liberty Server の環境として、Liberty Profile プラグインをインス
トールしようにも、リポジトリにアクセスできない
 IBM Bluemix Tools for Eclipse も同上… （どうやらメンテ中だったらしいです、
返して私の半日…！）
 Packaged Server でなんとかデプロイしてみたものの、シングルサインオンの
処理はサンプルコードなし…？(Node.js ではサンプルが提供されている）

34.  Amazon.co.jp で頼んだ、プロジェクタ接続用のDVI変換ケーブルが来ない！
（配送中だったのに、管理画面上でエラー発生…（しかもプライム会員 orz ）
 会社のを借りてなんとか…
 次の日届いていたw
 早めに行って、スライドを完成させなければ！
 会場を間違えるという最大の過ち…！！！
 今日の会場に来ましたw
 なんとか、京橋着…
 ぜーはーぜーはー

35.  「こっちじゃない、RGBだ……」
 詳しくは「クラウド女子の理想と挫折――SoftLayer×Bluemix Girls Group
Meetup (3/3)」
EnterpriseZine（エンタープライズジン）