アイデンティティフェデレーションにおけるグループ管理UI提供のためのSCIM拡張の詳細設計と実装

様々なサービスでグループの機能が実現されている．サービスごとに作成されるグループは，それぞれのサービス内に限定され，他のサービスで使用することが難しい．ある 1 つのグループを複数のサービスで使用したい場合，グループの共通化が求められる．これに対して，著者らはグループを属性プロバイダーとして管理するためのサービスとして，「mAP Core」を開発し運用している．一般ユーザは，グループ管理のためのサービスが独立しているという認識がない場合が多く，利用するサービス経由でグループ管理をしようとするときに，mAP Core 上のインターフェースが異なりすぎて，混乱を招くことが多々発生していた．さらに，サービスによっては，mAP Core と連携する際に，大幅なシステム改修が発生する場合もあった．そこで，インターフェースを統一し，システム改修を容易にするために，サービスが呼び出すための API（Application Programming Interface）の開発が求められた．API の開発は，サービスとの連携を容易にできるよう，SCIM（System for Cross-domain Identity Management）をベースとし，その上で mAP Core の API を実装した．一般的な SCIM 実装では，トラステッド DB の管理者などが操作者となるが，一方 mAP Core ではアイデンティティフェデレーション上で提供されているものであるため，操作者はサービス管理者となり，操作者が持つ権限が自明でないという課題がある．この課題を解決するため，本研究では，SCIM サーバにロールとアクセス権の処理を導入し，操作者ごとに権限の整理を行うことを実現した．本論文では，SCIM の拡張で用いたロールとアクセス権などに関する詳細設計と，詳細設計にもとづいて実装した mAP Core API について紹介する．

Group functions are implemented in various services. Groups created for each service are limited within each service and are difficult to use in other services. If you want to use one group for multiple services, group sharing is required. In contrast, the authors develop and operate "mAP Core" as a service for managing groups as attribute providers. General users often do not recognize that the services for group management are independent, and when trying to manage groups via the services they use, the interfaces on mAP Core are too different, causing confusion. A lot of things were happening. Furthermore, depending on the service, there were cases where major system modifications occurred when linking with mAP Core. Therefore, in order to unify the interface and facilitate system modification, it was required to develop an API (Application Programming Interface) for calling services. The development of the API was based on SCIM (System for Cross-domain Identity Management) to facilitate linking with services, and on top of that, the mAP Core API was implemented. In a typical SCIM implementation, the administrator of the trusted DB is the operator, but mAP Core is provided on the identity federation, so the person who accesses the API of mAP Core is the service administrator. There is a problem that the authority possessed by the operator is not self-evident. In order to solve this problem, in this research, we introduced the role and access right processing to the SCIM server, and realized to organize the rights for each operator. This paper introduces the detailed design of the roles and access rights as the SCIM extension, and the mAP Core API implemented based on the detailed design.