「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
NIST (米国国立標準技術研究所)の公式ドキュメント、
SP 800-63-3で要求事項を具体的に定めている。
LoA定義 †
LoA | IAL | AAL | FAL |
1 | 1 | 1 | 1 |
2 | 2 | 2 or 3 | 2 |
3 | 2 | 2 or 3 | 2 |
4 | 3 | 3 | 4 |
詳細 †
保証タイプ †
Identity Assurance Level (IAL) †
ユーザが申請者(Applicant)として新規登録(SignUp?)する際に、
CSP(Credential Service Provider)が行う本人確認(Identity Proofing)の厳密さ、強度を示す。
Lv | 説明 |
1 | 本人確認不要、自己申告での登録でよい |
2 | サービス内容により識別に用いられる属性をリモートまたは対面で確認する必要あり |
3 | 識別に用いられる属性を対面で確認する必要があり、確認書類の検証担当者は有資格者 |
Authenticator Assurance Level (AAL) †
登録済みユーザ(Claimant)がログインする際の認証プロセス(単要素認証 or 多要素認証、認証手段)の強度を示す。
Lv | 説明 |
1 | 単要素認証でOK |
2 | 2要素認証が必要、2要素目の認証手段はソフトウェアベースのものでOK |
3 | 2要素認証が必要、かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等) |
Federation Assurance Level (FAL) †
米国連邦政府 Federal Identity Credential and Access Management (FICAM) 信頼フレームワークによって規定される4段階の保証
- Assertion と Federation Protocol の特徴をカテゴリ分類し、それらの組み合わせによって FAL を定義している。
- IDトークンやSAML Assertion等、Assertionのフォーマットやデータやり取りの仕方の強度を示す。
Lv | 説明 |
1 | Assertion(RPに送るIdPでの認証結果データ)への署名 |
2 | Assertion(RPに送るIdPでの認証結果データ)への署名 |
3 | 署名に加え、対象RPのみが復号可能な暗号化 |
4 | Lv.3に加え、Holder-of-Key Assertionの利用 ユーザごとの鍵とIdPが発行したAssertionを紐づけてRPに送り、 RPはユーザがそのAssertionに紐づいた鍵を持っているかを確認 |
保証レベル †
LoA 1 †
- 最も基本的な第1保証レベル
- 使用されるたびに特定の資格が同じ人物を表すという合理的な保証を提供。
- 一般的なインターネットのアイデンティティに関連するおおまかな信頼。
- 識別子
urn:mace:incommon:iap:bronze
LoA 2 †
- 基本的な金融取引に適合する第2保証レベル
- 個人の身元を合理的に保証する身元証明要件を持つ。
- 基本的な金融取引におおよそ適切なセキュリティレベルを提供。
- 定義
- IAL: 2
- AAL: 2 or 3
- FAL: 2
- 識別子
urn:mace:incommon:iap:silver
LoA 3 †
2との違いは...。
- 定義
- IAL: 2
- AAL: 2 or 3
- FAL: 2
参考 †
InCommon? †
InCommon?によって、LoA 1、LoA 2の保証プログラムが提供されている。
Tags: :IT国際標準, :認証基盤