クレームベース認証 のバックアップ(No.12)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• クレームベース認証 へ行く。
  • 1 (2015-07-27 (月) 23:15:26)
  • 2 (2015-07-28 (火) 01:15:46)
  • 3 (2015-08-03 (月) 00:46:34)
  • 4 (2015-08-11 (火) 14:57:34)
  • 5 (2015-08-24 (月) 09:27:55)
  • 6 (2015-09-07 (月) 01:17:31)
  • 7 (2016-01-14 (木) 13:24:18)
  • 8 (2016-01-14 (木) 18:22:23)
  • 9 (2016-01-18 (月) 10:58:25)
  • 10 (2016-01-18 (月) 11:24:56)
  • 11 (2016-01-19 (火) 13:59:48)
  • 12 (2016-01-19 (火) 15:06:29)
  • 13 (2016-01-19 (火) 19:58:16)
  • 14 (2016-01-22 (金) 14:47:47)
  • 15 (2016-01-26 (火) 18:36:56)
  • 16 (2016-02-18 (木) 17:38:13)
  • 17 (2016-03-09 (水) 12:46:33)
  • 18 (2016-12-12 (月) 14:54:36)
  • 19 (2016-12-12 (月) 15:19:25)
  • 20 (2016-12-21 (水) 12:43:03)
  • 21 (2017-01-04 (水) 15:52:09)
  • 22 (2017-01-06 (金) 13:54:55)
  • 23 (2017-01-06 (金) 21:42:36)
  • 24 (2017-01-15 (日) 14:31:43)
  • 25 (2017-03-27 (月) 10:47:47)
  • 26 (2017-05-08 (月) 12:02:20)
  • 27 (2017-05-26 (金) 13:42:01)
  • 28 (2017-07-14 (金) 14:33:57)
  • 29 (2017-07-27 (木) 11:25:31)
  • 30 (2017-10-29 (日) 16:30:26)
  • 31 (2017-10-29 (日) 16:45:51)
  • 32 (2017-12-09 (土) 17:15:34)
  • 33 (2017-12-11 (月) 11:42:40)
  • 34 (2017-12-18 (月) 21:46:40)
  • 35 (2018-01-29 (月) 16:08:09)
  • 36 (2018-03-05 (月) 10:49:04)
  • 37 (2018-05-30 (水) 10:35:27)
  • 38 (2018-10-27 (土) 15:06:22)
  • 39 (2018-11-22 (木) 09:20:09)
  • 40 (2019-02-27 (水) 21:22:32)
  • 41 (2019-06-05 (水) 17:51:03)
  • 42 (2019-08-28 (水) 15:02:59)
  • 43 (2019-11-29 (金) 16:58:02)
  • 44 (2019-11-29 (金) 20:58:57)
  • 45 (2019-12-03 (火) 11:03:02)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

目次 †

概要 †

認証連携（IDフェデレーション）とか、OpenID / OAuth / OpenID Connectとか、

大体、認証で発行するクレーム（トークン）的なものを使用して認可する仕掛けになっている。

• 認証は、Idp（Identity Provider）が行う。
• クレーム（トークン）の発行はSTS（Security Token Service）が行う。
• 認可は、SP（Service Provider）が行う。

このSTS（Security Token Service）が発行する
クレーム（トークン）的なものにより、認証（Idp）と認可（SP）を分離できるのが醍醐味。

従って、分散型の認証方式を提供するオープンな認証システムと言える。

用語 †

各用語については下記を参照。

認証連携（IDフェデレーション） †

• Service Providers, Identity Providers & Security Token Services
  http://www.empowerid.com/learningcenter/technologies/service-identity-providers

Microsoft Platform †

Active Directory Federation ServicesやWIF（Windows Identity Foundation）に関連する用語。

• WIF
  Windows Identity Foundation
• ADDS
  Active Directory Domain Services
• ADFS
  Active Directory Federation Services
• AZAD
  Azure Active Directory

Claims-based identity term definitions †

• IdP & CP
  • IdP : Identity Provider ( = ADDS )
  • CP : Claim Provider( = Idp at WS-Federation model)

• STS : Security Token Service ( = ADFS or AZAD )

• SP & RP
  • SP : Service Provider( = ASP.NET WebSite?)
  • RP : Relying Party( = SP at WS-Federation model)

その他 †

• Federation Trust
  • 要求プロバイダー信頼
    Claim Provider Trust(CP Trust)
  • 証明書利用者信頼
    Relying Party Trust(RP Trust)

• 要求プロバイダー信頼と証明書利用者信頼
  http://azuread.net/2014/02/19/%E8%A6%81%E6%B1%82%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E4%BF%A1%E9%A0%BC%E3%81%A8%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%88%A9%E7%94%A8%E8%80%85%E4%BF%A1%E9%A0%BC/

• Claim Rules
  要求規則（クレーム ルール）

OpenID / OAuth / OpenID Connect †

• OpenIDの仕様と技術（1）：仕様から学ぶOpenIDのキホン (3/3) - ＠IT
  http://www.atmarkit.co.jp/ait/articles/0707/06/news135_3.html
• OpenIDの仕様と技術（5）：OpenID Authentication 2.0時代の幕開け (1/3) - ＠IT
  http://www.atmarkit.co.jp/ait/articles/0802/19/news133.html
• 誰にも頼まれてないのに次世代Identifier用語集を勝手に定義してみた - 豆無日記
  http://nobeans.hatenablog.com/entry/20090202/1233585856

OpenID †

• Consumer
  
  • End Userが入力したID(Identifier)を使用し、IdP(Identify Provider)に対して認証要求するWebサービス
  • ConsumerはいずれのIdP(Identify Provider)に対しても認証要求を遂行する必要がある。
  • OpenID 2.0からはRelying Party(RP)と名称が変更されている。
    OpenIDでは、STS相当が独立しておらず、当該機能がRPとIdp内に同梱されている。

• End User
  • Consumerに対して自分のIdentityの認証を要求しようとするユーザ
  • 自分のIdentityを認証しConsumerに紹介状を送るIdPに加入する必要がある。

• User-Agent
  
  • End Userが所有するWebブラウザ
  • 特別なプラグインやJavaScriptは不要

• Identifier
  
  • End Userが所有するURL(httpまたはhttpsをschemeとするURI)を使用して認証
  • OpenID 2.0からはXRIというURIを拡張した形式で表されたものを指す。

• Claimed Identifier
  
  • End Userが自分で所有していると主張するIdentifier
  • Consumerによってまだ確認されていないIdentifier

• Verified Identifier
  ConsumerがEnd Userが所有していると認めたIdentifier

• User-Supplied Identifier
  OpenID 2.0からの用語で、
  • End UserによってRPに対して提示されるIdentifier
  • Claimed IdentifierまたはOP Identifierの総称

• Identify Provider(Idp)
  
  • End Userが所有するClaimed Identifierの暗号化された証明（紹介状）を発行。
  • OpenID 2.0からはOpenID Provider(OP)とも呼ばれる。

• OpenID 2.0から追加されたOpenID Provider(OP)用語

• OP Identifier
  OPを表すIdentifier

• OP EndPoint? URL
  OPのエンドポイントのURL

• OP-Local Identifier
  • 使用するOPが内部的に使用するユーザID。
  • OPがOP上の認証処理等で使用する。

OAuth †

OpenIDと≒。

• Resource Owner (User)
  アクセス権限の付与を行うユーザー自身

• OAuth Server (OAuth Service Provider)
  OAuthをサポートしたAPIを提供しているサービス
  • Twitter
  • Facebook

• OAuth Client (旧 OAuth Consumer)
  OAuth Serverが提供するAPIを利用する側のサービス
  • Instagram
  • Foursquare
  • Pinterest

• OAuth Access Token

OpenID Connect †

種類 †

認証連携（IDフェデレーション） †

特徴 †

• OpenAM、ADFS などの実績のあるSSOをサポートする認証連携（IDフェデレーション）基盤

• 異なるベンダのアクセス制御製品間の相互運用性を推進し、
  企業間の独立したサービスをグローバルなSSOで連携させることが可能。

• 認証されたアカウントを偽装するにはカスタムの実装が必要。

• 認証連携（IDフェデレーション）の利点
  http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
  • 上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証（IDやパスワードの入力）を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。
    もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。
  • これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。
    また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。

プロトコル †

• クッキー認証チケットを使用しない。
  • クッキーを第三者が不正使用してなりすましを許す可能性がある。
  • クッキーはクッキードメインの中でしか有効ではない。

• SAML

• SAML Core
  • SAML Assertions
  • SAML Protocols

• SAML Bindings

• SAML Profiles
  • SAML Assertions
  • SAML Protocols
  • SAML Bindings

• SAML Metadata

• WS-Federation

• Assertionsには、SAML Assertionsを使用。

• 以下のプロファイルがある。
  パッシブリクエスタプロファイル（Webアプリ用）
  アクティブリクエスタプロファイル（Webサービス用）

製品 †

• OpenAM
• ADFS

OpenID / OAuth / OpenID Connect †

中央集権型でない、分散ID認証システムのオープン仕様。

• ブラウザベースの認証APIの標準化から始まった。

• 認可するクレーム（トークン）として、
  紹介状を受け取るか、合鍵を受け取るかの違いがある。

OpenID †

要求元であるWebサイトに対して、

• あるユーザが認証された旨の情報、
• 認証をどのように行ったかの情報、
• 当該ユーザの属性情報を、

紹介状として、提供元となるIdpが転送するプロトコル。

• OpenID 1.1?：Consumer経由で紹介状を作成して送信する公証人Idpを呼び出す。
• OpenID 2.0?：RP経由で紹介状を作成して送信する公証人OPを呼び出す。

• OpenIDの仕様上、誰でもConsumer（RP）やIdp（OP）になれるという点から、
  特にConsumer（RP）はどのIdp（OP）を信用したらよいかという問題が残る。

OAuth †

「認可情報の委譲」のためのプロトコル。

• ユーザが外部サービスにパスワードを教えることなく、
  サービス間でユーザの同意のもとにセキュアにユーザの権限を受け渡しする。

• エンドユーザはサービスAに対してあるサービスB上のリソースや機能に
  取得／追加／更新／削除などのアクセス許可を与える。
• サービスAは、エンドユーザの許可を受けたサービスB上のリソースや機能にアクセスする。

• OAuthでは、紹介状ではなく、合鍵を受け取る。
  • OAuthで合鍵を作成して送信するXをYと呼ぶ。
  • 合鍵をもらったほうが色々とサービス提供に便利。
  • OpenIDよりもOAuth認証をしたいというサイトが増えてきている。
  • 合鍵として、JSON Web Token というAccess Tokenを使用する。

OpenID Connect †

OAuthで正しく認証する。

• サイトにアクセスする方法はOAuthのResource Access と同じ。
• 違いは、紹介状のコピーだけが入っているロッカーの鍵を渡す所。
  • 紹介状：OpenIDトークン
  • ロッカー：UserInfo? （ユーザ情報）Endpoint
  • 鍵は、OAuthと異なり、UserInfo? Endpoint が発行する。
  • SP(Service Provider)はこの鍵の発行者を信頼し、鍵の正統性の検証が可能。

参考 †

• 非技術者のためのOAuth認証(？)とOpenIDの違い入門
  @_Nat Zone - Identity, Privacy and Music
  http://www.sakimura.org/2011/05/1087/

• OpenID
  • OpenIDの仕様と技術 連載インデックス - ＠IT
    http://www.atmarkit.co.jp/fsecurity/index/index_openid.html

• OAuth
  • デジタル・アイデンティティ技術最新動向（1）：
    「OAuth」の基本動作を知る (1/2) - ＠IT
    http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
  • 第1回　OAuthとは？―OAuthの概念とOAuthでできること：
    ゼロから学ぶOAuth｜gihyo.jp … 技術評論社
    http://gihyo.jp/dev/feature/01/oauth/0001

選定 †

認証連携（IDフェデレーション） †

SAML †

WS-Federation †

OpenID / OAuth / OpenID Connect †

OpenID †

OAuth †

OpenID Connect †

デジタル・アイデンティティ †

• デジタルアイデンティティ - Wikipedia
  https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3

• 非技術者のためのデジタル・アイデンティティ入門
  http://www.sakimura.org/2011/06/1124/

• デジタルアイデンティティ Digital Identity
  http://shop.oreilly.com/product/9780596008789.do

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.061 sec.