認証基盤のバックアップ(No.55) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
種類
選定
ユーザストア
- Identity Provider (IdP)
- IDプロビジョニング
  - FIM/MIM
  - Azure AD Connect
参考

概要 †

認証基盤の選定や実装について纏めています。

種類 †

HTTPの認証 †

HTTPのライブラリに組み込まれている。
通常サービスの実行アカウントで実行される。
（偽装を設定すれば）匿名の実行アカウントで実行される。

匿名アクセス †

匿名アクセスを許可する。

基本認証 †

ユーザー名とパスワードを入力するためのダイアログボックスが表示される。
アカウント情報は暗号化されないBase64文字列でサーバに送られる。

ダイジェスト認証 †

ハッシングテクノロジーを使用し、解読不能な方法でユーザー情報を送信する。
チャレンジ & レスポンス認証と異なり、サーバ側に平文は不要。

参考
- Digest認証 - Wikipedia
  https://ja.wikipedia.org/wiki/Digest%E8%AA%8D%E8%A8%BC

Windows認証 †

HTTPやSMBなどの通信ライブラリに組み込まれており、
実行アカウントを使用しオートネゴシエートで認証することが可能。

通常サービスの実行アカウントで実行される。
（偽装を設定すれば）匿名の実行アカウントで実行される。

NTLM認証 †

チャレンジ & レスポンス認証方式を利用する。
ミラーアカウントでも、Active Directoryでも可能。
（偽装をおこなえば）認証されたアカウントで実行される。

ケルベロス認証 †

「Active Directory」が必要、インターネットに拡大できない。
（偽装をおこなえば）認証されたアカウントで実行される。

Cookie認証チケット型 †

Cookie認証チケットを発行するタイプ

統合認証基盤型 †

企業ドメイン内のSSOを実装できる。

以下のようなタイプがある。
- エージェント型（ISAPやmod_isapi）
- リバース・プロキシ型

製品としては以下が有名。
- SiteMinder?
- IceWall?

ライブラリ型 †

各アプリケーション（や、使用しているフレームワーク）に
認証クッキーの発行と認証等の機能を実装している方式。

クレームベース認証型 †

認証連携（IDフェデレーション）を使用して認証。
クロスドメインのSSOを実現できる。

SAML / WS-FED †

OpenID / OAuth / OpenID Connect †

Pairwise Pseudonymous Identifier (PPID) †

ライブラリ型と統合認証基盤型 †

Web標準ではあるものの、プロダクト毎に方言が在る。

汎用的に実装するにはプロトコル知識とプロダクト仕様を知る必要がある。

このため、

IdP/STS毎（や言語毎）にライブラリは別になっているケースが多い。

Keycloakクライアントアダプターを利用してAPIサービスを構築してみよう (1/4)：Keycloak超入門（3） - ＠IT
https://www.atmarkit.co.jp/ait/articles/1711/08/news009.html

[WIF] ADFS 2.0 を使用するシングルサインオンの認証でフォーム画面を使用して認証を行わせる - Netplanetes
http://www.pine4.net/Memo/Article/Archives/406

SAML Identity Provider Open Source Resources & Toolkits | OneLogin?
https://www.onelogin.com/resource-center/saml-toolkits

統合認証基盤型のソリューションを検討するのも手。

多要素認証 †

多要素認証で使われる要素には 3 つの種類がある。

多要素認証では、3 要素の中から 2 つ以上の要素で認証する。
2要素の場合が多く、2要素認証（2FA : Two Factor Authentication）と呼ばれる。
同じ種類の要素を使用する場合、n 段階認証と、多要素認証と区別して呼ばれることがある。

ユーザが知っていること（知識情報） †

Something You Know – 知識情報
例：ID・パスワード、PIN 番号、秘密の質問

ユーザが持っているもの（所持情報） †

Something You Have – 所持情報

例
- IC キャッシュカード
- ワンタイム・パスワード
- 暗号表認証、マトリックス認証
- USB トークン、Bluetooth Smart認証デバイス

FIDO認証器（TPMの所有と組み合わせ）
- ＋なし（Yubico、Googleの物理キー ≒ TPM）
- ＋知識情報（Windows 10 ≒ TPMのPIN入力や、スマホ）
- ＋生体情報（生体認証機能付きのFIDO認証器 ≒ TPM）

プッシュ通知からのスマホアプリ認証

ユーザ自身の特徴（生体情報） †

Something You Are – 生体情報
例：静脈認証、虹彩認証、網膜認証、顔認証、指紋認証

※ 多要素認証と多段階認証 †

パスワード・ログイン後に別の要素での認証を求めるケースは、
二要素認証（多要素認証）はなく、二段階認証（多段階認証）と、
区別して呼ばれることがある。

E-mail、SMS、ボイスコールなどが該当。

E-mailは、Something You Haveではなく、≒ メアドのPWDで、
ログインのPWDと同じSomething You Knowと言う説もある。

SMSは、非推奨の流れと、標準化の流れがある模様。

二要素認証のトリガとしては、以下がある。

二要素認証用のブラウザ・クッキーを未所持

リスクベース認証による不審なログインの検出

その他 †

ワンタイム・パスワード †

生体認証 †

FIDO認証 †

FIDOは「Fast IDentity Online（素早いオンライン認証）」の略。
上記の、知識情報, 所持情報, 生体情報などを組み合わせて利用できる。

FIDO
- FIDO1, FIDO2, FIDO認証器
- Web Authentication API

Windows Hello + Microsoft Passport
- Windows Hello
- Microsoft Passport

リスクベース認証 †

ちょっと古い系（IPA） †

インターネット・バンキング

ディレクトリサービス、RADIUS、TACACS/TACACS+

選定 †

HTTPの認証 †

HTTPの認証なのでWebサーバでサポートされる。

Windwos認証 †

Windows環境であれば。

NTLM認証をサポートするクライアントも多い。

SambaでLinux環境のケルベロス認証も可能。
- Samba4でのActive Directory構築 - OSSでLinuxサーバ構築
  http://www.oss-d.net/samba4/ad

NTLM認証 †

ミラーアカウントでも、Active Directoryでも可能。
デスクトップへのログインと連動したSSO認証が可能。
ただし、ミラーアカウントの場合は、アカウントの管理が面倒。

ベースクライアント認証でのダブルホップが不可能。
ADが無いので、別途DBなどを用意して追加の承認の機能を実装できる。

ケルベロス認証 †

「Active Directory」が存在する場合。
デスクトップへのログインと連動したSSO認証が可能。

ベースクライアント認証でのダブルホップが可能。
ADが有るので、各アプリケーションにLDAPを使用した追加の承認の機能を実装できる。

Cookie認証チケット型 †

各アプリケーションに認証情報を使用した承認の機能を実装する。

統合認証基盤型 †

認証をISAPIレイヤで処理するので、基盤構築作業として対応でき、
Webアプリケーション側に特別な作り込みは必要ないため、大きなメリットがある。

ディレクトリ・サービスと連携している場合、
各アプリケーションにこの情報を使用した追加の承認の機能を実装できる。

ライブラリ型 †

各アプリケーション（や、使用しているフレームワーク）に認証処理を実装する場合、こちらの方式になる。

昨今、OpenID系のクレームベース認証の機能を実装しているケースもある。

以下、ASP.NETでは、以下の様なライブラリ型のフレームワーク or ライブラリを使用できる。

Forms認証
Webアプリケーション毎に認証Formを作成

ASP.NET MembershipProvider?
LDAPやユーザマスタテーブルなどの資格情報ストアを使用した認証のフレームワーク。

ASP.NET Identity、ASP.NET Core Identity
- Forms認証ではなく、OWINの認証用ミドルウェアを使用している。
- 新しいミドルウェアのため、B2Cの認証サイトに必要な機能が充実している。

参考
- ASP.NET Forms認証 vs ASP.NET Identity

クレームベース認証 †

ライブラリ型で、言語が混在になると、個別の部品を整備する必要があり面倒になる。

ASP.NET Forms認証
独自Frameworkの独自認証

また、コレをクリアするには、統合認証基盤型の認証基盤製品を導入する必要があった。
このため、近年、下記のような認証/認可の仕組みのプロトコルレベルでの標準化が進んでいる（クレームベース認証）。

SAML、WS-FED †

OpenID / OAuth / OpenID Connect †

ベターユース †

クレームベース認証の登場により、認証基盤の設計が難しくなりました。

ただ、以下のようにすれば、割りとシンプルなんじゃないかな？と思います。

IdP(CP)、STSを1つに集約してSP(RP)側から連携するのが良い。

基本的に、STSは、
- 開発するものではなく、構築するもの。
- ASP.NET Identityなどを使用すればOAuth2対応のSTSを開発可能だが、難易度が高い。
これにより、IDフェデレーションやソーシャルログイン対応の実装をするポイントをIdP(CP)・STSの1箇所に集約できる。

SP(RP)側では、STSと連携した外部ログインを行った後、Forms認証などの枯れた仕組みを使用してCookie認証チケットを発行すれば良い。
Web APIの認証も、OAuth 2.0等が前提でない限りForms認証のCookie認証チケットを使用すればイイ。

ワンタイム・パスワード †

ワンタイム・パスワードを使用して認証を強化できる。

多要素認証として使用される他
単品利用で、パスワードレスも一部実現されている。

生体認証 †

生体情報を使用して認証を強化できる。

多要素認証として使用される他
情報の機密性や認証の精度によるが、
単品利用で、パスワードレスも一部実現されている。

FIDO認証 †

デバイス＋生体認証情報などが一般的認識。

その他、デバイス＋PIN、デバイス＋キータッチなども。
生体認証と同じような使用方法が多いが、
デバイスとセットで必要になるので、認証の制度は低めでも
機密性の高い情報に対して利用することができる（顔認証など）。

多要素認証 †

多要素認証を使用して認証を強化できる。

ユーザが知っていること（知識情報） †

選定に関するトピック...。

ユーザが持っているもの（所持情報） †

選定に関するトピック...。

ユーザ自身の特徴（生体情報） †

選定に関するトピック...。

その他 †

ユーザストア †

Identity Provider (IdP) †

IDを格納するユーザストアで、
IDを提供するため、Identity Provider (IdP)と呼ばれる。

基本的には、フレームワークに準拠すると良いと思う。
- ASP.NET Identity
- ASP.NET Core Identity

参考
- Qiita
  - 独自パスワード認証でやってきたサービスが
    Google、Facebookのようなアカウントと連携する際の基本的な考え方
    https://qiita.com/ritou/items/42dc774e348cfb0d8255
  - アプリ時代のメールアドレス確認処理について考えたメモ
    https://qiita.com/ritou/items/1ead46f7c7ec1db60641
  - アカウント登録時に後からメールアドレス確認を行うために必要な処理
    https://qiita.com/ritou/items/2fbf9bc9232c52598474

IDプロビジョニング †

IDを格納するユーザストア間のマッピングと同期を行う。

FIM/MIM †

Azure AD Connect †

参考 †

チャレンジ & レスポンス認証 †

LoA(Level of Assurance) †

トークン †

認証基盤の開発に使えるトークン。

JWT †

SAML †

様々な認証 †

WebAPIの認証 †

ASP.NET Core における認証 †

ASP.NETとSSRSの連携と認証 †

SQL Server の認証 †

Tags: :認証基盤, :Active Directory, :クレームベース認証