「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
NIST (米国国立標準技術研究所)の公式ドキュメント、
NIST SP 800-63で要求事項を具体的に定めている。
(Digital Authentication Guideline)
https://pages.nist.gov/800-63-3/
# | Document | Title | URL |
1 | SP 800-63-3 | Digital Identity Guidelines | https://doi.org/10.6028/NIST.SP.800-63-3 |
2 | SP 800-63A | Enrollment and Identity Proofing | https://doi.org/10.6028/NIST.SP.800-63a |
3 | SP 800-63B | Authentication and Lifecycle Management | https://doi.org/10.6028/NIST.SP.800-63b |
4 | SP 800-63C | Federation and Assertions | https://doi.org/10.6028/NIST.SP.800-63c |
# | レベル | 略号 | 段階 |
1 | Identity Assurance Level | IAL | Lv.1 – Lv.3 までの3段階 |
2 | Authenticator Assurance Level | AAL | Lv.1 – Lv.3 までの3段階 |
3 | Federation Assurance Level | FAL | Lv.1 – Lv.4 までの4段階 |
ユーザが申請者(Applicant)として新規登録(SignUp?)する際に、
CSP(Credential Service Provider)が行う本人確認(Identity Proofing)の厳密さ、強度を示す。
Lv | 説明 |
1 | 本人確認不要、自己申告での登録でよい |
2 | サービス内容により識別に用いられる属性をリモートまたは対面で確認する必要あり |
3 | 識別に用いられる属性を対面で確認する必要があり、確認書類の検証担当者は有資格者 |
登録済みユーザ(Claimant)がログインする際の認証プロセス(単要素認証 or 多要素認証、認証手段)の強度を示す。
Lv | 説明 |
1 | 単要素認証でOK |
2 | 2要素認証が必要、2要素目の認証手段はソフトウェアベースのものでOK |
3 | 2要素認証が必要、かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等) |
米国連邦政府 Federal Identity Credential and Access Management (FICAM) 信頼フレームワークによって規定される4段階の保証
Lv | 説明 |
1 | Assertion(RPに送るIdPでの認証結果データ)への署名 |
2 | Assertion(RPに送るIdPでの認証結果データ)への署名 |
3 | 署名に加え、対象RPのみが復号可能な暗号化 |
4 | Lv.3に加え、Holder-of-Key Assertionの利用 ユーザごとの鍵とIdPが発行したAssertionを紐づけてRPに送り、RPはユーザがそのAssertionに紐づいた鍵を持っているかを確認 |
LoA | IAL | AAL | FAL |
1 | 1 | 1 | 1 |
2 | 2 | 2 or 3 | 2 |
3 | 2 | 2 or 3 | 2 |
4 | 3 | 3 | 4 |
2との違いは...。
urn:mace:incommon:iap:bronze
urn:mace:incommon:iap:silver
InCommon?によって、LoA 1、LoA 2の保証プログラムが提供されている。