マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

NIST (米国国立標準技術研究所)の公式ドキュメント、
NIST SP 800-63で要求事項を具体的に定めている。

SP 800-63-3

(Digital Authentication Guideline)
https://pages.nist.gov/800-63-3/

#DocumentTitleURL
1SP 800-63-3Digital Identity Guidelineshttps://doi.org/10.6028/NIST.SP.800-63-3
2SP 800-63AEnrollment and Identity Proofinghttps://doi.org/10.6028/NIST.SP.800-63a
3SP 800-63BAuthentication and Lifecycle Managementhttps://doi.org/10.6028/NIST.SP.800-63b
4SP 800-63CFederation and Assertionshttps://doi.org/10.6028/NIST.SP.800-63c

保証タイプ

#レベル略号段階
1Identity Assurance LevelIALLv.1 – Lv.3 までの3段階
2Authenticator Assurance LevelAALLv.1 – Lv.3 までの3段階
3Federation Assurance LevelFALLv.1 – Lv.4 までの4段階

Identity Assurance Level (IAL)

ユーザが申請者(Applicant)として新規登録(SignUp?)する際に、
CSP(Credential Service Provider)が行う本人確認(Identity Proofing)の厳密さ、強度を示す。

Lv説明
1本人確認不要、自己申告での登録でよい
2サービス内容により識別に用いられる属性をリモートまたは対面で確認する必要あり
3識別に用いられる属性を対面で確認する必要があり、確認書類の検証担当者は有資格者

Authenticator Assurance Level (AAL)

登録済みユーザ(Claimant)がログインする際の認証プロセス(単要素認証 or 多要素認証、認証手段)の強度を示す。

Lv説明
1単要素認証でOK
22要素認証が必要、2要素目の認証手段はソフトウェアベースのものでOK
32要素認証が必要、かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等)

Federation Assurance Level (FAL)

米国連邦政府 Federal Identity Credential and Access Management (FICAM) 信頼フレームワークによって規定される4段階の保証

  • Assertion と Federation Protocol の特徴をカテゴリ分類し、それらの組み合わせによって FAL を定義している。
  • IDトークンやSAML Assertion等、Assertionのフォーマットやデータやり取りの仕方の強度を示す。
Lv説明
1Assertion(RPに送るIdPでの認証結果データ)への署名
2Assertion(RPに送るIdPでの認証結果データ)への署名
3署名に加え、対象RPのみが復号可能な暗号化
4Lv.3に加え、Holder-of-Key Assertionの利用
ユーザごとの鍵とIdPが発行したAssertionを紐づけてRPに送り、
RPはユーザがそのAssertionに紐づいた鍵を持っているかを確認

LoA定義

LoAIALAALFAL
1111
222 or 32
322 or 32
4334

詳細

保証レベル

LoA 1

  • 最も基本的な第1保証レベル
    • 使用されるたびに特定の資格が同じ人物を表すという合理的な保証を提供。
    • 一般的なインターネットのアイデンティティに関連するおおまかな信頼。
  • 定義
    • IAL: 1
    • AAL: 1
    • FAL: 1

LoA 2

  • 基本的な金融取引に適合する第2保証レベル
    • 個人の身元を合理的に保証する身元証明要件を持つ。
    • 基本的な金融取引におおよそ適切なセキュリティレベルを提供。
  • 定義
    • IAL: 2
    • AAL: 2 or 3
    • FAL: 2

LoA 3

2との違いは...。

  • 定義
    • IAL: 2
    • AAL: 2 or 3
    • FAL: 2

識別子

LoA 1

urn:mace:incommon:iap:bronze

LoA 2

urn:mace:incommon:iap:silver

参考

NIST SP 800-63

JIPDEC

InCommon?

InCommon?によって、LoA 1、LoA 2の保証プログラムが提供されている。


Tags: :IT国際標準, :認証基盤


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-12-01 (土) 17:10:35 (16d)