マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

ID連携・クレームベース認証とは

ID連携とは、

  • アイデンティティ(ID)
    & フェデレーション(ID連携)

↓↓↓

  • アイデンティティ(ID)
    • = ユーザを特徴づける属性情報
    • ≠ ユーザID(Identifier)

↓↓↓

  • フェデレーション(ID連携)
    このユーザ属性情報をクレームセットに同梱してユーザに渡す( = ID連携)。

↓↓↓

  • クレームベース認証
    クレームセットを使用して認証する。

ID連携・クレームベース認証の目的

  • IDの一元管理
    • アプリ側に重複したユーザストアを持たせない。
    • 同期不要。一元管理された、最新のIDを利用する。
  • SSO(シングルサインオン)
    • パスワードをユーザに分散管理させたくない。
    • クラウド上のサービスを自社内で認証したい。
    • コンシューマー向けアプリをSNS認証で利用させたい。

クレームベース認証の仕組み

SAML / WS-FEDとか、OpenID / OAuth / OpenID Connectなど、
大体、認証後に発行するトークン(クレーム)的なものを使用して認可(認証)する仕掛けになっている。

  • 認証は、Idp(Identity Provider)が行う。
  • トークン(クレーム)の発行はSTS(Security Token Service)が行う。
    クレームは、
    • Idp(Identity Provider)によって発行され、
    • STS(Security Token Service)によって
      • 1 つ以上の値が指定されてから、
      • STSが発行するセキュリティ トークンにパッケージ化される。
  • 認可は、SP(Service Provider)が行う。

このSTS(Security Token Service)が発行する
トークン(クレーム)的なものにより、認証(Idp)と認可/認証(SP)を分離できる。

  • OAuthに関しては、トークンとクレームの発行が分離されている。
    トークン発行までがOAuthの仕様なので、認証用のクレーム発行は拡張仕様を実装する必要がある。

以下が参考になる。

用語

各用語については下記を参照。

認証/認可

認証(Authentication)

  • 本人性を確認する
  • ID/パスワード認証、生体認証、ワンタイム・パスワード認証

認可(Authorization)

あるリソースへアクセスするための権限を与える(認証後のアクセス制御)

ID連携(IDフェデレーション)

意味

フェデレーションは、「連携」の意味。

  • SAML、OpenIDなどの認証・認可に関わるプロトコルやその仕組みの総称として使われることがある。
  • IDやパスワードの発行者(IdP:Identity Provider)と、IDの利用者(RP:Relying Party)の2つに役割を分担する。
  • ID連携(IDフェデレーション)
    • IdP と SP の間でユーザーアカウントを紐付けることを意味する。
    • IdP と SP は信頼関係を結んだ後、アカウント連携を行う必要がある。

利点

それによって、以下の様な利点が発生する。

  • サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていない。
    ∴ サービス・プロバイダへのネットワーク経路上をパスワードが流れない。
  • サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていない。
    ∴ アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよい。
    イントラネット上のアイデンティティ・プロバイダを利用して、
    • クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になり、
    • イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、
      セキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。

アサーション(Assertions)

クレームベース認証界隈のコンテキストでは、

  • IdP/STSが発行する認証・認可の情報
    (認証情報やユーザーや属性、アクセス権限等の情報)。
  • SAMLJWTなどのフォーマットが使用される。

SAML / WS-FED

OpenID / OAuth / OpenID Connect

種類

SAML / WS-FED

OpenID / OAuth / OpenID Connect

選定

以下の辺りを読むと、

SAML / WS-FED

OpenID / OAuth / OpenID Connect

その他

SCIM

参考

デジタル・アイデンティティ

歴史的背景

Identity | @_Nat Zone

http://www.sakimura.org/category/identity/

Windowsで構築する、クラウド・サービスと社内システムのSSO環境


Tags: :認証基盤, :クレームベース認証


添付ファイル: fileOAuth_And_OIDC.xlsx 62件 [詳細] fileOAuth_And_OIDC.png 177件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-10-27 (土) 15:06:22 (21d)