Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[認証基盤]]
--[[その他、開発の色々]]

* 目次 [#m08b54ac]
#contents

*概要 [#f64b233c]
[[認証連携(IDフェデレーション)>#z111c7bd]]とか、[[OpenID / OAuth>#bd876705]]とか。

**ID連携・クレームベース認証とは [#aaa90086]
ID連携とは、

-アイデンティティ(ID)~
& フェデレーション(ID連携)

-クレームベース認証~
クレームセットを使用して認証する。

***アイデンティティ(ID) [#n9872982]
-= ユーザを特徴づける属性情報
-≠ ユーザID(Identifier)

***フェデレーション(ID連携) [#ued87deb]
このユーザ属性情報をクレームセットに~
同梱してユーザに渡す( = ID連携)。

**ID連携・クレームベース認証の目的 [#l4dc0ed8]

***IDの一元管理 [#v11bf336]
-アプリ側に重複したユーザストアを持たせない。
-同期不要。一元管理された、最新のIDを利用する。

***SSO(シングルサインオン) [#gc7ba3de]
-パスワードをユーザに分散管理させたくない。
-クラウド上のサービスを自社内で認証したい。
-コンシューマー向けアプリをSNS認証で利用させたい。

**クレームベース認証の仕組み [#badd4a52]
[[SAML / WS-FED>#z111c7bd]]とか、[[OpenID / OAuth / OpenID Connect>#bd876705]]など、~
大体、認証後に発行するトークン(クレーム)的なものを使用して認可(認証)する仕掛けになっている。

***役割 [#f0389c59]
-Idp(Identity Provider)~
認証を行う。

-STS(Security Token Service)~
トークン(クレーム)の発行を行う。クレームは、
--Idp(Identity Provider)によって発行され、
--STS(Security Token Service)によって
---1 つ以上の値が指定されてから、~
---STSが発行するセキュリティ トークンにパッケージ化される。

-SP(Service Provider)~
認可を行う。

***特徴 [#u3743c8a]
このSTS(Security Token Service)が発行する~
トークン(クレーム)的なものにより、認証(Idp)と認可/認証(SP)を分離できる。

-分散型の認証方式を提供するオープンな認証システムと言える~
(これを世の中では[[認証連携(IDフェデレーション)>#i5c2d8e8]]と呼んでいる)。

-[[OAuth]]に関しては、トークンとクレームの発行が分離されている。~
トークン発行までがOAuthの仕様なので、認証用のクレーム発行は拡張仕様を実装する必要がある。

***参考 [#mbd5ee12]
以下が参考になる。

-IdM実験室: 早わかり!クレイムベースのアイデンティティ&アクセス管理~
http://idmlab.eidentity.jp/2010/04/blog-post.html

*用語 [#h4a44b62]
Service Providers, Identity Providers & Security Token Services~
http://www.empowerid.com/learningcenter/technologies/service-identity-providers
各用語については下記を参照。

**Microsoft Platform [#x529dcd7]
-WIF~
Windows Identity Foundation
-[[ADDS>ドメイン サービス (AD DS)]]~
Active Directory Domain Services
-[[ADFS>フェデレーション サービス (AD FS)]]~
Active Directory Federation Services
-AZAD~
Azure Active Directory
**真正性 (authenticity) [#bbda9812]
ある「主体」(subject)又は資源が、~
「主張」(claim)どおりであることを~

**Claims-based identity term definitions [#xc4899e2]
-IdP~
Identity Provider ( = ADDS )
--CP~
Claim Provider( = Idp at WS-Federation model)
確実にする特性。

-STS~
Security Token Service ( = ADFS or AZAD )
***主体(subject) [#gcaae579]
UserID、メアド、ユーザ名等。

-SP~
Service Provider( = ASP.NET WebSite)
--RP~
Relying Party( = SP at WS-Federation model)
***主張(claim) [#q8616b1e]
主体の主張、主体の属性。

**その他 [#s5d7cb56]
-要求プロバイダー信頼~
Claim Provider Trust(CP Trust)
-証明書利用者信頼~
Relying Party Trust(RP Trust)
**認証/認可 [#i20aee18]

-要求プロバイダー信頼と証明書利用者信頼~
http://azuread.net/2014/02/19/%E8%A6%81%E6%B1%82%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E4%BF%A1%E9%A0%BC%E3%81%A8%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%88%A9%E7%94%A8%E8%80%85%E4%BF%A1%E9%A0%BC/
***認証(Authentication) [#s73253e0]
-本人性を確認する
-ID/パスワード認証、生体認証、ワンタイム・パスワード認証

-[[要求規則(クレーム ルール)>フェデレーション サービス (AD FS)#w4002b44]]
***認可(Authorization) [#c769bfc2]
あるリソースへアクセスするための権限を与える(認証後のアクセス制御)

*種類 [#pa0ef406]
**認証連携(IDフェデレーション) [#z111c7bd]
***特徴 [#j361796e]
**ID連携(IDフェデレーション) [#i5c2d8e8]

-OpenAM、[[ADFS>フェデレーション サービス (AD FS)]]
などの実績のあるSSOをサポートする認証連携(IDフェデレーション)基盤
***意味 [#d20b62f2]
フェデレーションは、「連携」の意味。

-異なるベンダのアクセス制御製品間の相互運用性を推進し、~
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
-[[SAML]]、OpenIDなどの認証・認可に関わるプロトコルやその仕組みの総称として使われることがある。
-IDやパスワードの発行者(IdP:Identity Provider)と、IDの利用者(RP:Relying Party)の2つに役割を分担する。
-ID連携(IDフェデレーション)
--IdP と SP の間でユーザーアカウントを紐付けることを意味する。
--IdP と SP は信頼関係を結んだ後、アカウント連携を行う必要がある。

-認証されたアカウントを偽装するにはカスタムの実装が必要。
***利点 [#secb0045]
それによって、以下の様な利点が発生する。

-認証連携(IDフェデレーション)の利点~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
>上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。
>これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。
-サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていない。~
∴ サービス・プロバイダへのネットワーク経路上をパスワードが流れない。
-サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていない。~
∴ アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよい。~
イントラネット上のアイデンティティ・プロバイダを利用して、
--クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になり、~
--イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、~
セキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。

***プロトコル [#sa6cf928]
**[[アサーション(Assertions)>トークン#xbeb945f]] [#c536655a]
クレームベース認証界隈のコンテキストでは、~
[[SAML]]や[[JWT]]などのフォーマットが使用される。

-クッキー認証チケットを使用しない。
--クッキーを第三者が不正使用してなりすましを許す可能性がある。
--クッキーはクッキードメインの中でしか有効ではない。
***トークン [#v1041482]
IdP/STSが発行する認証・認可の情報~
(認証情報やユーザーや属性、アクセス権限等の情報)。

-[[SAML]]
***クレームセット [#l27f5914]
[[認証連携(IDフェデレーション)>#i5c2d8e8]]で連携されるユーザ属性情報

--SAML Core
---SAML Assertions
---SAML Protocols
**プロトコル [#wb1614f3]

--SAML Bindings
***[[SAML / WS-FED>SAML / WS-FED#p6153af7]] [#o0d18ba5]

--SAML Profiles
---SAML Assertions
---SAML Protocols
---SAML Bindings
***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf76f7e0]] [#sdca2e87]

--SAML Metadata
**役割関連用語の対応表 [#c44e4a44]
紛らわしい、クレームベース認証の役割関連用語の対応表をまとめてみた。

-[[WS-Federation]]
|#|>|XML系|>|>|OpenID系|>|OAuth2.0/OIDC系|h
|~|SAML|WS-FED|OpenID1.0|OpenID2.0|OAuth1.0|認可の4役割|OIDCの認証を考慮した呼称|h
|1|>|Subject|>|End User|User|>|Resource Owner|
|2|>|SP (Service Provider), RP (Relying Party)|RP (Relying Party)|Consumer|OAuth Consumer|Client (Public Client, Confidential Client)|Client, RP (Relying Party)|
|3|>|IdP (Identity Provider), CP (Claim Provider)&br;STS (Security Token Service )|IdP (Identity Provider)|OP (OpenID Provider)|OAuth Service Provider|Authorization Server (AuthZ)|Authentication Server (AuthN)、&br;若しくは、IdP/STS(OP:OpenID Provider)|
|4|>|>|>|-認証のみなので対応する概念が存在しない-|~|>|Resource Server|

--Assertionsには、SAML Assertionsを使用。
-一般向けには、SAML系の用語が良く使われる(IdP/STS、SP、RP辺りは、結局OIDCでも使われているので)。
-最近は、OAuth2/OIDCの隆盛に伴い、上記表中の「認可の4役割」用語も利用される。
-説明資料によって、上記表中の横並びの役割は混同されていることが多い(意味も同じ)。
-「#3」は、ユーザストア機能とトークン発行機能に分けて表現されることがある(IdP/STSなど、CPも≒STSか。)。

--以下のプロファイルがある。~
パッシブリクエスタプロファイル(Webアプリ用)~
アクティブリクエスタプロファイル(Webサービス用)
*詳細 [#pa0ef406]

***製品 [#ccf56f5a]
-OpenAM
-[[ADFS>フェデレーション サービス (AD FS)]]
**プロトコル [#b5162084]

**OpenID / OAuth [#bd876705]
-OpenIDの仕様と技術 連載インデックス - @IT~
http://www.atmarkit.co.jp/fsecurity/index/index_openid.html
-非技術者のためのOAuth認証()とOpenIDの違い入門~
@_Nat Zone - Identity, Privacy and Music~
http://www.sakimura.org/2011/05/1087/
***[[SAML / WS-FED>SAML / WS-FED#n6b097e6]] [#z111c7bd]

***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf72e401]] [#bd876705]

**[[STS系ミドルウェア]] [#u214f5ce]

*選定 [#uc590139]

**認証連携(IDフェデレーション) [#tf6b40d2]
**プロトコル [#te1570ea]
-SAMLとOAuth/OpenID Connect:~
新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - @IT~
http://www.atmarkit.co.jp/ait/articles/1402/10/news074.html

**OpenID / OAuth [#h2bbea7c]
***[[SAML / WS-FED>SAML / WS-FED#s5929af2]] [#tf6b40d2]

***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#i71c7e02]] [#h2bbea7c]

**[[STS系ミドルウェア]] [#j7ac4e77]

*その他 [#fbe42215]

**[[SCIM]] [#e9117bfd]

**[[PPID]] [#n98fbf85]

*参考 [#g91780b4]
-オッス!オラ認証周りをまとめてみた - どんまいこのネタ帳~
http://mnakajima18.hatenablog.com/entry/2016/05/04/205713

-アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構~
https://www.ipa.go.jp/security/idm/
--アイデンティティ管理技術解説 PDFファイル (PDFファイル 10.1MB)
--アイデンティティ管理技術解説 ZIPファイル (ZIPファイル 8.70MB)

**デジタル・アイデンティティ [#ra858f1a]
-デジタルアイデンティティ - Wikipedia~
https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3

-デジタルアイデンティティ Digital Identity~
http://shop.oreilly.com/product/9780596008789.do

**slideshare.net/matake [#tc8ff194]
-SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014~
http://www.slideshare.net/matake/idit-2014

**Identity | @_Nat Zone [#h35c4901]
http://www.sakimura.org/category/identity/

-非技術者のためのデジタル・アイデンティティ入門~
http://www.sakimura.org/2011/06/1124/

**Windowsで構築する、クラウド・サービスと社内システムのSSO環境 [#j88d036c]
-Windowsで構築する、クラウド・サービスと社内システムのSSO環境 - @IT
--第1回 クラウド・コンピューティングとアイデンティティ管理の概要~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第2回 クラウド・コンピューティング時代の認証技術~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第3回 クラウド・サービスと社内ADとのSSOを実現する(前)~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html
--第4回 クラウド・サービスと社内ADとのSSOを実現する(後)~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html

----
Tags: [[:認証基盤]], [[:クレームベース認証]]


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS