「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>認証基盤]] * 目次 [#tb53bfc1] #contents *概要 [#v1a0edfa] NIST (米国国立標準技術研究所)の公式ドキュメント、~ NIST SP 800-63で要求事項を具体的に定めている。 **SP 800-63-3 [#c894f8e6] (Digital Authentication Guideline)~ https://pages.nist.gov/800-63-3/ |#|Document|Title|URL|h |1|SP 800-63-3|Digital Identity Guidelines|https://doi.org/10.6028/NIST.SP.800-63-3| |2|SP 800-63A|Enrollment and Identity Proofing|https://doi.org/10.6028/NIST.SP.800-63a| |3|SP 800-63B|Authentication and Lifecycle Management|https://doi.org/10.6028/NIST.SP.800-63b| |4|SP 800-63C|Federation and Assertions|https://doi.org/10.6028/NIST.SP.800-63c| **保証タイプ [#jd474429] |#|レベル|略号|段階|h |1|[[Identity Assurance Level>#bca1c5e1]]|IAL|Lv.1 – Lv.3 までの3段階| |2|[[Authenticator Assurance Level>#q3271f20]]|AAL|Lv.1 – Lv.3 までの3段階| |3|[[Federation Assurance Level>#q4311a1f]]|FAL|Lv.1 – Lv.4 までの4段階| ***Identity Assurance Level (IAL) [#bca1c5e1] ユーザが申請者(Applicant)として新規登録(SignUp)する際に、~ CSP(Credential Service Provider)が行う本人確認(Identity Proofing)の厳密さ、強度を示す。 |Lv|説明|h |1|本人確認不要、自己申告での登録でよい| |2|サービス内容により識別に用いられる属性をリモートまたは対面で確認する必要あり| |3|識別に用いられる属性を対面で確認する必要があり、確認書類の検証担当者は有資格者| ***Authenticator Assurance Level (AAL) [#q3271f20] 登録済みユーザ(Claimant)がログインする際の認証プロセス(単要素認証 or 多要素認証、認証手段)の強度を示す。 |Lv|説明|h |1|単要素認証でOK| |2|2要素認証が必要、2要素目の認証手段はソフトウェアベースのものでOK| |3|2要素認証が必要、かつ2要素目の認証手段はハードウェアを用いたもの(ハードウェアトークン等)| ***Federation Assurance Level (FAL) [#q4311a1f] 米国連邦政府 Federal Identity Credential and Access Management (FICAM) 信頼フレームワークによって規定される4段階の保証 -Assertion と Federation Protocol の特徴をカテゴリ分類し、それらの組み合わせによって FAL を定義している。 -IDトークンやSAML Assertion等、Assertionのフォーマットやデータやり取りの仕方の強度を示す。 |Lv|説明|h |1|Assertion(RPに送るIdPでの認証結果データ)への署名| |2|Assertion(RPに送るIdPでの認証結果データ)への署名| |3|署名に加え、対象RPのみが復号可能な暗号化| |4|Lv.3に加え、Holder-of-Key Assertionの利用&br;ユーザごとの鍵とIdPが発行したAssertionを紐づけてRPに送り、&br;RPはユーザがそのAssertionに紐づいた鍵を持っているかを確認| **LoA定義 [#ibfa1f7e] |LoA|IAL|AAL|FAL|h |1|1|1|1| |2|2|2 or 3|2| |3|2|2 or 3|2| |4|3|3|4| *詳細 [#n5a2bf49] **保証レベル [#m58ab5b9] ***LoA 1 [#y930161c] -最も基本的な第1保証レベル --使用されるたびに特定の資格が同じ人物を表すという合理的な保証を提供。 --一般的なインターネットのアイデンティティに関連するおおまかな信頼。 -定義 --IAL: 1 --AAL: 1 --FAL: 1 ***LoA 2 [#bc4bdb6f] -基本的な金融取引に適合する第2保証レベル --個人の身元を合理的に保証する身元証明要件を持つ。 --基本的な金融取引におおよそ適切なセキュリティレベルを提供。 -定義 --IAL: 2 --AAL: 2 or 3 --FAL: 2 ***LoA 3 [#kdf5a643] 2との違いは...。 -定義 --IAL: 2 --AAL: 2 or 3 --FAL: 2 **識別子 [#yf497d76] ***LoA 1 [#r9e400b0] urn:mace:incommon:iap:bronze ***LoA 2 [#f2cfd559] urn:mace:incommon:iap:silver *参考 [#k306f337] -認証連携普及のために~信頼フレームワークの構築~ | NTTデータ~ http://www.nttdata.com/jp/ja/insights/trend_keyword/2013121901.html -認証にまつわるセキュリティの新常識 - Speaker Deck~ https://speakerdeck.com/kthrtty/ren-zheng-nimatuwarusekiyuriteifalsexin-chang-shi~ **NIST SP 800-63 [#yb128dee] -NIST SP 800-63 Digital Identity Guidelines~ https://pages.nist.gov/800-63-3/ -NIST 800-63C を翻訳しました - OAuth.jp~ https://oauth.jp/blog/2016/07/15/nist-800-63c/ -[[世界の電子認証基準が変わる:NIST SP800-63-3を読み解く – サポート − IDaaS シングルサインオン「SKUID」 by GMO>https://support.sku.id/hc/ja/articles/115004031154-%E4%B8%96%E7%95%8C%E3%81%AE%E9%9B%BB%E5%AD%90%E8%AA%8D%E8%A8%BC%E5%9F%BA%E6%BA%96%E3%81%8C%E5%A4%89%E3%82%8F%E3%82%8B-NIST-SP800-63-3%E3%82%92%E8%AA%AD%E3%81%BF%E8%A7%A3%E3%81%8F]]~ ***JIPDEC [#j2a98034] -一般財団法人日本情報経済社会推進協会(JIPDEC) --NIST SP 800-63-3の概要と今回の改訂がもたらす影響~ https://www.jipdec.or.jp/library/report/20171127.html --OIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」~ https://www.jipdec.or.jp/topics/event/20171013.html **InCommon [#ob5bfb31] InCommonによって、LoA 1、LoA 2の保証プログラムが提供されている。 -InCommon: Security, Privacy and Trust for the Research and Education Community~ https://www.incommon.org/index.html -About InCommon https://www.incommon.org/about.html -InCommon Assurance Program~ https://www.incommon.org/assurance/ --InCommon Assurance Profile Summaries~ https://www.incommon.org/assurance/profilesummary.html ---- Tags: [[:IT国際標準]], [[:認証基盤]]