User-Managed Access

User-Managed Access (UMA)

User-Managed Access（UMA）は、OAuthを基盤としたアクセス管理のためのプロトコルです。このプロトコルは特に、オンラインサービス間でのデータの共有やリソースへのアクセスをリソースオーナー（RO）が制御できるように設計されています。「自律的なアクセス要求者（RqP）」がROの承認を得る構成が特徴となっており、ユーザーが自分のデータに対するアクセス権限を管理する能力を向上させます。

UMAの経緯と背景

元々、Kantara InitiativeのUMAワーキンググループは、2009年に創設されました。その起源は2008年に遡り、サン・マイクロシステムズ社が開発したProtectServeプロトコルに関連しています。ProtectServeは、OAuth 1.0と結びついており、後に発展を遂げる中で、さまざまなベンダー関係管理（VRM）や「feeds-based VRM」と呼ばれる活動に影響を受けました。

このご時世、OAuthはWRAP（Web Resource Authorization Protocol）仕様から、OAuth 2.0への移行を果たしましたが、UMAはこれに追随し、現在ではOAuth 2.0の仕様を応用しています。興味深いことに、UMAはOpenIDをユーザー認証の方法として利用していないものの、必要に応じてOAuthに基づくOpenID Connectプロトコルを参照することがあります。また、XACML（eXtensible Access Control Markup Language）を必須とはしませんが、アクセス権限の定義やユーザーポリシーの形式に柔軟性をもたせています。

標準化の進捗

Kantara Initiative内のUMAグループは、IETF（Internet Engineering Task Force）に対しても貢献を行っています。特に、OAuthに関連したいくつかのInternet-Draftに参加し、OAuthの発展に寄与してきました。

UMAの導入と現在の状況

UMAのプロトコルには実際に数多くのオープンソース実装が存在し、その中でもForgeRock、Gluu、MITREid Connect、Atricoreなどが有名です。これらの企業は、アプリケーションやデバイスに対してUMAのprotection API や 認可APIの導入をサポートするために、さまざまなプログラミング言語での開発を進めています。プロダクトの利用には、主にGluuやJericho Systemsなどから提供されています。

OAuth 2.0との関係

UMAは従来のOAuth 2.0のフローに新しい概念を追加しました。例えば、クライアントアプリケーションを運用するリソースオーナーは、承認サーバーにリダイレクトされ、リソースサーバーへのアクセスを許可することが求められますが、UMAはここに自律的なRqPの概念を導入しました。これにより、ROは事前にポリシーを設定することで、場合によってはトークン発行の許可を実行しなくても良くなります。アクセス要求者の信頼性に基づいて、必要なアクセストークンが発行される仕組みも、一つの大きな特長です。

利用ケース

UMAのアーキテクチャは多様なユースケースに対応可能です。特に「ヘルスケアIT」や「消費者健康」などの分野での実用例が挙げられます。「HEART（Health Relationship Trust）」というワーキンググループでは、個人が健康関連データの共有に対してアクセス認可を制御できる仕様の開発が進められています。また、パーソナルデータサービスの分野においても、個々のユーザーがリソースの共有を管理するためのダッシュボードを持つことが可能です。

まとめ

User-Managed Accessは、リソースオーナーに新たな管理手法を提供し、デジタル時代におけるプライバシーとセキュリティの向上を目指しています。多様なユースケースを通じて、さまざまな業界におけるデータ共有とアクセス管理の新たなスタンダードとしての地位を築くことが期待されています。

もう一度検索