クレームベース認証 のバックアップの現在との差分(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• クレームベース認証 へ行く。
  • 1 (2015-07-27 (月) 23:15:26)
  • 2 (2015-07-28 (火) 01:15:46)
  • 3 (2015-08-03 (月) 00:46:34)
  • 4 (2015-08-11 (火) 14:57:34)
  • 5 (2015-08-24 (月) 09:27:55)
  • 6 (2015-09-07 (月) 01:17:31)
  • 7 (2016-01-14 (木) 13:24:18)
  • 8 (2016-01-14 (木) 18:22:23)
  • 9 (2016-01-18 (月) 10:58:25)
  • 10 (2016-01-18 (月) 11:24:56)
  • 11 (2016-01-19 (火) 13:59:48)
  • 12 (2016-01-19 (火) 15:06:29)
  • 13 (2016-01-19 (火) 19:58:16)
  • 14 (2016-01-22 (金) 14:47:47)
  • 15 (2016-01-26 (火) 18:36:56)
  • 16 (2016-02-18 (木) 17:38:13)
  • 17 (2016-03-09 (水) 12:46:33)
  • 18 (2016-12-12 (月) 14:54:36)
  • 19 (2016-12-12 (月) 15:19:25)
  • 20 (2016-12-21 (水) 12:43:03)
  • 21 (2017-01-04 (水) 15:52:09)
  • 22 (2017-01-06 (金) 13:54:55)
  • 23 (2017-01-06 (金) 21:42:36)
  • 24 (2017-01-15 (日) 14:31:43)
  • 25 (2017-03-27 (月) 10:47:47)
  • 26 (2017-05-08 (月) 12:02:20)
  • 27 (2017-05-26 (金) 13:42:01)
  • 28 (2017-07-14 (金) 14:33:57)
  • 29 (2017-07-27 (木) 11:25:31)
  • 30 (2017-10-29 (日) 16:30:26)
  • 31 (2017-10-29 (日) 16:45:51)
  • 32 (2017-12-09 (土) 17:15:34)
  • 33 (2017-12-11 (月) 11:42:40)
  • 34 (2017-12-18 (月) 21:46:40)
  • 35 (2018-01-29 (月) 16:08:09)
  • 36 (2018-03-05 (月) 10:49:04)
  • 37 (2018-05-30 (水) 10:35:27)
  • 38 (2018-10-27 (土) 15:06:22)
  • 39 (2018-11-22 (木) 09:20:09)
  • 40 (2019-02-27 (水) 21:22:32)
  • 41 (2019-06-05 (水) 17:51:03)
  • 42 (2019-08-28 (水) 15:02:59)
  • 43 (2019-11-29 (金) 16:58:02)
  • 44 (2019-11-29 (金) 20:58:57)
  • 45 (2019-12-03 (火) 11:03:02)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[認証基盤]]
--[[その他、開発の色々]]

* 目次 [#m08b54ac]
#contents

*概要 [#f64b233c]

*種類 [#pa0ef406]
**認証連携（IDフェデレーション） [#z111c7bd]
***特徴 [#j361796e]
**ID連携・クレームベース認証とは [#aaa90086]
ID連携とは、

-OpenAM、[[ADFS>フェデレーション サービス (AD FS)]]
などの実績のあるSSOをサポートする認証連携（IDフェデレーション）基盤
-アイデンティティ（ID）~
& フェデレーション（ID連携）

-異なるベンダのアクセス制御製品間の相互運用性を推進し、~
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
-クレームベース認証~
クレームセットを使用して認証する。

-認証されたアカウントを偽装するにはカスタムの実装が必要。
***アイデンティティ（ID） [#n9872982]
-＝ ユーザを特徴づける属性情報
-≠ ユーザID（Identifier）

-認証連携（IDフェデレーション）の利点~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
>上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証（IDやパスワードの入力）を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。
>これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。
***フェデレーション（ID連携） [#ued87deb]
このユーザ属性情報をクレームセットに~
同梱してユーザに渡す（ ＝ ID連携）。

***プロトコル [#sa6cf928]
**ID連携・クレームベース認証の目的 [#l4dc0ed8]

-クッキー認証チケットを使用しない。
--クッキーを第三者が不正使用してなりすましを許す可能性がある。
--クッキーはクッキードメインの中でしか有効ではない。
***IDの一元管理 [#v11bf336]
-アプリ側に重複したユーザストアを持たせない。
-同期不要。一元管理された、最新のIDを利用する。

-標準化仕様
***SSO（シングルサインオン） [#gc7ba3de]
-パスワードをユーザに分散管理させたくない。
-クラウド上のサービスを自社内で認証したい。
-コンシューマー向けアプリをSNS認証で利用させたい。

--[[SAML]]
**クレームベース認証の仕組み [#badd4a52]
[[SAML / WS-FED>#z111c7bd]]とか、[[OpenID / OAuth / OpenID Connect>#bd876705]]など、~
大体、認証後に発行するトークン（クレーム）的なものを使用して認可（認証）する仕掛けになっている。

---SAML Core~
SAML Assertions~
SAML Protocols
***役割 [#f0389c59]
-Idp（Identity Provider）~
認証を行う。

---SAML Bindings
-STS（Security Token Service）~
トークン（クレーム）の発行を行う。クレームは、
--Idp（Identity Provider）によって発行され、
--STS（Security Token Service）によって
---1 つ以上の値が指定されてから、~
---STSが発行するセキュリティ トークンにパッケージ化される。

---SAML Profiles
-SP（Service Provider）~
認可を行う。

---SAML Metadata
***特徴 [#u3743c8a]
このSTS（Security Token Service）が発行する~
トークン（クレーム）的なものにより、認証（Idp）と認可/認証（SP）を分離できる。

--[[WS-Federation]]
-分散型の認証方式を提供するオープンな認証システムと言える~
（これを世の中では[[認証連携（IDフェデレーション）>#i5c2d8e8]]と呼んでいる）。

---Assertionsには、SAML Assertionsを使用。
-[[OAuth]]に関しては、トークンとクレームの発行が分離されている。~
トークン発行までがOAuthの仕様なので、認証用のクレーム発行は拡張仕様を実装する必要がある。

---以下のプロファイルがある。~
パッシブリクエスタプロファイル（Webアプリ用）~
アクティブリクエスタプロファイル（Webサービス用）
***参考 [#mbd5ee12]
以下が参考になる。

--[[OpenID / OAuth]]
-IdM実験室: 早わかり！クレイムベースのアイデンティティ＆アクセス管理~
http://idmlab.eidentity.jp/2010/04/blog-post.html

***製品 [#ccf56f5a]
-OpenAM
-[[ADFS>フェデレーション サービス (AD FS)]]
*用語 [#h4a44b62]
各用語については下記を参照。

**Open ID Connect [#bd876705]
**真正性 (authenticity) [#bbda9812]
ある「主体」（subject）又は資源が、~
「主張」（claim）どおりであることを~

確実にする特性。

***主体（subject） [#gcaae579]
UserID、メアド、ユーザ名等。

***主張（claim） [#q8616b1e]
主体の主張、主体の属性。

**認証/認可 [#i20aee18]

***認証（Authentication） [#s73253e0]
-本人性を確認する
-ID/パスワード認証、生体認証、ワンタイム・パスワード認証

***認可（Authorization） [#c769bfc2]
あるリソースへアクセスするための権限を与える（認証後のアクセス制御）

**ID連携（IDフェデレーション） [#i5c2d8e8]

***意味 [#d20b62f2]
フェデレーションは、「連携」の意味。

-[[SAML]]、OpenIDなどの認証・認可に関わるプロトコルやその仕組みの総称として使われることがある。
-IDやパスワードの発行者（IdP：Identity Provider）と、IDの利用者（RP：Relying Party）の2つに役割を分担する。
-ID連携（IDフェデレーション）
--IdP と SP の間でユーザーアカウントを紐付けることを意味する。
--IdP と SP は信頼関係を結んだ後、アカウント連携を行う必要がある。

***利点 [#secb0045]
それによって、以下の様な利点が発生する。

-サービス・プロバイダ側で直接認証（IDやパスワードの入力）を行っていない。~
∴ サービス・プロバイダへのネットワーク経路上をパスワードが流れない。
-サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていない。~
∴ アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよい。~
イントラネット上のアイデンティティ・プロバイダを利用して、
--クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になり、~
--イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、~
セキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。

**[[アサーション（Assertions）>トークン#xbeb945f]] [#c536655a]
クレームベース認証界隈のコンテキストでは、~
[[SAML]]や[[JWT]]などのフォーマットが使用される。

***トークン [#v1041482]
IdP/STSが発行する認証・認可の情報~
（認証情報やユーザーや属性、アクセス権限等の情報）。

***クレームセット [#l27f5914]
[[認証連携（IDフェデレーション）>#i5c2d8e8]]で連携されるユーザ属性情報

**プロトコル [#wb1614f3]

***[[SAML / WS-FED>SAML / WS-FED#p6153af7]] [#o0d18ba5]

***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf76f7e0]] [#sdca2e87]

**役割関連用語の対応表 [#c44e4a44]
紛らわしい、クレームベース認証の役割関連用語の対応表をまとめてみた。

|#|>|XML系|>|>|OpenID系|>|OAuth2.0/OIDC系|h
|~|SAML|WS-FED|OpenID1.0|OpenID2.0|OAuth1.0|認可の４役割|OIDCの認証を考慮した呼称|h
|1|>|Subject|>|End User|User|>|Resource Owner|
|2|>|SP (Service Provider), RP (Relying Party)|RP (Relying Party)|Consumer|OAuth Consumer|Client (Public Client, Confidential Client)|Client, RP (Relying Party)|
|3|>|IdP (Identity Provider), CP (Claim Provider)&br;STS (Security Token Service )|IdP (Identity Provider)|OP (OpenID Provider)|OAuth Service Provider|Authorization Server (AuthZ)|Authentication Server (AuthN)、&br;若しくは、IdP/STS（OP:OpenID Provider）|
|4|>|>|>|－認証のみなので対応する概念が存在しない－|~|>|Resource Server|

-一般向けには、SAML系の用語が良く使われる（IdP/STS、SP、RP辺りは、結局OIDCでも使われているので）。
-最近は、OAuth2/OIDCの隆盛に伴い、上記表中の「認可の４役割」用語も利用される。
-説明資料によって、上記表中の横並びの役割は混同されていることが多い（意味も同じ）。
-「#3」は、ユーザストア機能とトークン発行機能に分けて表現されることがある（IdP/STSなど、CPも≒STSか。）。

*詳細 [#pa0ef406]

**プロトコル [#b5162084]

***[[SAML / WS-FED>SAML / WS-FED#n6b097e6]] [#z111c7bd]

***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf72e401]] [#bd876705]

**[[STS系ミドルウェア]] [#u214f5ce]

*選定 [#uc590139]
**認証連携（IDフェデレーション） [#tf6b40d2]

・・・
**プロトコル [#te1570ea]
-SAMLとOAuth／OpenID Connect：~
新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1402/10/news074.html

***[[SAML / WS-FED>SAML / WS-FED#s5929af2]] [#tf6b40d2]

***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#i71c7e02]] [#h2bbea7c]

**[[STS系ミドルウェア]] [#j7ac4e77]

*その他 [#fbe42215]

**[[SCIM]] [#e9117bfd]

**[[PPID]] [#n98fbf85]

*参考 [#g91780b4]
-オッス！オラ認証周りをまとめてみた - どんまいこのネタ帳~
http://mnakajima18.hatenablog.com/entry/2016/05/04/205713

-アイデンティティ管理技術解説：IPA 独立行政法人 情報処理推進機構~
https://www.ipa.go.jp/security/idm/
--アイデンティティ管理技術解説 PDFファイル （PDFファイル 10.1MB）
--アイデンティティ管理技術解説 ZIPファイル （ZIPファイル 8.70MB）

**デジタル・アイデンティティ [#ra858f1a]
-デジタルアイデンティティ - Wikipedia~
https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3

-デジタルアイデンティティ Digital Identity~
http://shop.oreilly.com/product/9780596008789.do

**slideshare.net/matake [#tc8ff194]
-SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014~
http://www.slideshare.net/matake/idit-2014

**Identity | @_Nat Zone [#h35c4901]
http://www.sakimura.org/category/identity/

-非技術者のためのデジタル・アイデンティティ入門~
http://www.sakimura.org/2011/06/1124/

**Windowsで構築する、クラウド・サービスと社内システムのSSO環境 [#j88d036c]
-Windowsで構築する、クラウド・サービスと社内システムのSSO環境 - ＠IT
--第1回　クラウド・コンピューティングとアイデンティティ管理の概要~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第2回　クラウド・コンピューティング時代の認証技術~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第3回　クラウド・サービスと社内ADとのSSOを実現する（前）~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html
--第4回　クラウド・サービスと社内ADとのSSOを実現する（後）~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html

----
Tags: [[:認証基盤]], [[:クレームベース認証]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.034 sec.