クレームベース認証 のバックアップの現在との差分(No.17)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• クレームベース認証 へ行く。
  • 1 (2015-07-27 (月) 23:15:26)
  • 2 (2015-07-28 (火) 01:15:46)
  • 3 (2015-08-03 (月) 00:46:34)
  • 4 (2015-08-11 (火) 14:57:34)
  • 5 (2015-08-24 (月) 09:27:55)
  • 6 (2015-09-07 (月) 01:17:31)
  • 7 (2016-01-14 (木) 13:24:18)
  • 8 (2016-01-14 (木) 18:22:23)
  • 9 (2016-01-18 (月) 10:58:25)
  • 10 (2016-01-18 (月) 11:24:56)
  • 11 (2016-01-19 (火) 13:59:48)
  • 12 (2016-01-19 (火) 15:06:29)
  • 13 (2016-01-19 (火) 19:58:16)
  • 14 (2016-01-22 (金) 14:47:47)
  • 15 (2016-01-26 (火) 18:36:56)
  • 16 (2016-02-18 (木) 17:38:13)
  • 17 (2016-03-09 (水) 12:46:33)
  • 18 (2016-12-12 (月) 14:54:36)
  • 19 (2016-12-12 (月) 15:19:25)
  • 20 (2016-12-21 (水) 12:43:03)
  • 21 (2017-01-04 (水) 15:52:09)
  • 22 (2017-01-06 (金) 13:54:55)
  • 23 (2017-01-06 (金) 21:42:36)
  • 24 (2017-01-15 (日) 14:31:43)
  • 25 (2017-03-27 (月) 10:47:47)
  • 26 (2017-05-08 (月) 12:02:20)
  • 27 (2017-05-26 (金) 13:42:01)
  • 28 (2017-07-14 (金) 14:33:57)
  • 29 (2017-07-27 (木) 11:25:31)
  • 30 (2017-10-29 (日) 16:30:26)
  • 31 (2017-10-29 (日) 16:45:51)
  • 32 (2017-12-09 (土) 17:15:34)
  • 33 (2017-12-11 (月) 11:42:40)
  • 34 (2017-12-18 (月) 21:46:40)
  • 35 (2018-01-29 (月) 16:08:09)
  • 36 (2018-03-05 (月) 10:49:04)
  • 37 (2018-05-30 (水) 10:35:27)
  • 38 (2018-10-27 (土) 15:06:22)
  • 39 (2018-11-22 (木) 09:20:09)
  • 40 (2019-02-27 (水) 21:22:32)
  • 41 (2019-06-05 (水) 17:51:03)
  • 42 (2019-08-28 (水) 15:02:59)
  • 43 (2019-11-29 (金) 16:58:02)
  • 44 (2019-11-29 (金) 20:58:57)
  • 45 (2019-12-03 (火) 11:03:02)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-戻る
--[[認証基盤]]
--[[その他、開発の色々]]

* 目次 [#m08b54ac]
#contents

*概要 [#f64b233c]
[[認証連携（IDフェデレーション）>#z111c7bd]]とか、[[OpenID / OAuth / OpenID Connect>#bd876705]]とか、

大体、認証で発行するクレーム（トークン）的なものを使用して認可する仕掛けになっている。
**ID連携・クレームベース認証とは [#aaa90086]
ID連携とは、

-認証は、Idp（Identity Provider）が行う。
-クレーム（トークン）の発行はSTS（Security Token Service）が行う。
-認可は、SP（Service Provider）が行う。
-アイデンティティ（ID）~
& フェデレーション（ID連携）

このSTS（Security Token Service）が発行する~
クレーム（トークン）的なものにより、認証（Idp）と認可（SP）を分離できるのが醍醐味。
-クレームベース認証~
クレームセットを使用して認証する。

従って、分散型の認証方式を提供するオープンな認証システムと言える。
***アイデンティティ（ID） [#n9872982]
-＝ ユーザを特徴づける属性情報
-≠ ユーザID（Identifier）

*用語 [#h4a44b62]
各用語については下記を参照。
***フェデレーション（ID連携） [#ued87deb]
このユーザ属性情報をクレームセットに~
同梱してユーザに渡す（ ＝ ID連携）。

**[[認証連携（IDフェデレーション）>#z111c7bd]] [#o0d18ba5]
-Service Providers, Identity Providers & Security Token Services~
http://www.empowerid.com/learningcenter/technologies/service-identity-providers
**ID連携・クレームベース認証の目的 [#l4dc0ed8]

***Microsoft Platform [#x529dcd7]
Active Directory Federation ServicesやWIF（Windows Identity Foundation）に関連する用語。
***IDの一元管理 [#v11bf336]
-アプリ側に重複したユーザストアを持たせない。
-同期不要。一元管理された、最新のIDを利用する。

-[[WIF]]~
Windows Identity Foundation
***SSO（シングルサインオン） [#gc7ba3de]
-パスワードをユーザに分散管理させたくない。
-クラウド上のサービスを自社内で認証したい。
-コンシューマー向けアプリをSNS認証で利用させたい。

-[[ADDS>ドメイン サービス (AD DS)]]~
Active Directory Domain Services
**クレームベース認証の仕組み [#badd4a52]
[[SAML / WS-FED>#z111c7bd]]とか、[[OpenID / OAuth / OpenID Connect>#bd876705]]など、~
大体、認証後に発行するトークン（クレーム）的なものを使用して認可（認証）する仕掛けになっている。

-[[ADFS>フェデレーション サービス (AD FS)]]~
Active Directory Federation Services
***役割 [#f0389c59]
-Idp（Identity Provider）~
認証を行う。

-AZAD~
Azure Active Directory
-STS（Security Token Service）~
トークン（クレーム）の発行を行う。クレームは、
--Idp（Identity Provider）によって発行され、
--STS（Security Token Service）によって
---1 つ以上の値が指定されてから、~
---STSが発行するセキュリティ トークンにパッケージ化される。

***Claims-based identity term definitions [#xc4899e2]
-IdP & CP
--IdP : Identity Provider ( = ADDS )
--CP : Claim Provider( = Idp at WS-Federation model)
-SP（Service Provider）~
認可を行う。

-STS : Security Token Service ( = ADFS or AZAD )
***特徴 [#u3743c8a]
このSTS（Security Token Service）が発行する~
トークン（クレーム）的なものにより、認証（Idp）と認可/認証（SP）を分離できる。

-SP & RP
--SP : Service Provider( = ASP.NET WebSite)
--RP : Relying Party( = SP at WS-Federation model)
-分散型の認証方式を提供するオープンな認証システムと言える~
（これを世の中では[[認証連携（IDフェデレーション）>#i5c2d8e8]]と呼んでいる）。

***その他 [#s5d7cb56]
-Federation Trust
--要求プロバイダー信頼~
Claim Provider Trust(CP Trust)
--証明書利用者信頼~
Relying Party Trust(RP Trust)
-[[OAuth]]に関しては、トークンとクレームの発行が分離されている。~
トークン発行までがOAuthの仕様なので、認証用のクレーム発行は拡張仕様を実装する必要がある。

--要求プロバイダー信頼と証明書利用者信頼~
http://azuread.net/2014/02/19/%E8%A6%81%E6%B1%82%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%83%BC%E4%BF%A1%E9%A0%BC%E3%81%A8%E8%A8%BC%E6%98%8E%E6%9B%B8%E5%88%A9%E7%94%A8%E8%80%85%E4%BF%A1%E9%A0%BC/
***参考 [#mbd5ee12]
以下が参考になる。

-Claim Rules~
[[要求規則（クレーム ルール）>フェデレーション サービス (AD FS)#w4002b44]] 
-IdM実験室: 早わかり！クレイムベースのアイデンティティ＆アクセス管理~
http://idmlab.eidentity.jp/2010/04/blog-post.html

**[[OpenID / OAuth / OpenID Connect>#bd876705]] [#sdca2e87]
*用語 [#h4a44b62]
各用語については下記を参照。

-OpenIDの仕様と技術（1）：仕様から学ぶOpenIDのキホン (3/3) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/0707/06/news135_3.html
-OpenIDの仕様と技術（5）：OpenID Authentication 2.0時代の幕開け (1/3) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/0802/19/news133.html
-誰にも頼まれてないのに次世代Identifier用語集を勝手に定義してみた - 豆無日記~
http://nobeans.hatenablog.com/entry/20090202/1233585856
**真正性 (authenticity) [#bbda9812]
ある「主体」（subject）又は資源が、~
「主張」（claim）どおりであることを~

***[[OpenID]] [#w507f337]
-Consumer~
--End Userが入力したID(Identifier)を使用し、IdP(Identify Provider)に対して認証要求するWebサービス
--ConsumerはいずれのIdP(Identify Provider)に対しても認証要求を遂行する必要がある。
--&color(red){OpenID 2.0};からはRelying Party(RP)と名称が変更されている。~
OpenIDでは、STS相当が独立しておらず、当該機能がRPとIdp内に同梱されている。
確実にする特性。

-End User
--Consumerに対して自分のIdentityの認証を要求しようとするユーザ
--自分のIdentityを認証しConsumerに紹介状（OpenIDトークン）を送るIdPに加入する必要がある。
***主体（subject） [#gcaae579]
UserID、メアド、ユーザ名等。

-User-Agent~
--End Userが所有するWebブラウザ
--特別なプラグインやJavaScriptは不要
***主張（claim） [#q8616b1e]
主体の主張、主体の属性。

-Identifier~
--End Userが所有するURL(httpまたはhttpsをschemeとするURI)を使用して認証
--&color(red){OpenID 2.0};からはXRIというURIを拡張した形式で表されたものを指す。
**認証/認可 [#i20aee18]

--Claimed Identifier~
---End Userが自分で所有していると主張するIdentifier
---Consumerによってまだ確認されていないIdentifier
***認証（Authentication） [#s73253e0]
-本人性を確認する
-ID/パスワード認証、生体認証、ワンタイム・パスワード認証

--Verified Identifier~
ConsumerがEnd Userが所有していると認めたIdentifier
***認可（Authorization） [#c769bfc2]
あるリソースへアクセスするための権限を与える（認証後のアクセス制御）

--User-Supplied Identifier~
&color(red){OpenID 2.0};からの用語で、
---End UserによってRPに対して提示されるIdentifier
---Claimed IdentifierまたはOP Identifierの総称
**ID連携（IDフェデレーション） [#i5c2d8e8]

-Identify Provider(Idp)~
--End Userが所有するClaimed Identifierの暗号化された証明（紹介状）を発行。
--&color(red){OpenID 2.0};からはOpenID Provider(OP)とも呼ばれる。
***意味 [#d20b62f2]
フェデレーションは、「連携」の意味。

-&color(red){OpenID 2.0};から追加されたOpenID Provider(OP)用語
-[[SAML]]、OpenIDなどの認証・認可に関わるプロトコルやその仕組みの総称として使われることがある。
-IDやパスワードの発行者（IdP：Identity Provider）と、IDの利用者（RP：Relying Party）の2つに役割を分担する。
-ID連携（IDフェデレーション）
--IdP と SP の間でユーザーアカウントを紐付けることを意味する。
--IdP と SP は信頼関係を結んだ後、アカウント連携を行う必要がある。

--OP Identifier~
OPを表すIdentifier
***利点 [#secb0045]
それによって、以下の様な利点が発生する。

--OP EndPoint URL~
OPのエンドポイントのURL
-サービス・プロバイダ側で直接認証（IDやパスワードの入力）を行っていない。~
∴ サービス・プロバイダへのネットワーク経路上をパスワードが流れない。
-サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていない。~
∴ アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよい。~
イントラネット上のアイデンティティ・プロバイダを利用して、
--クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になり、~
--イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、~
セキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。

--OP-Local Identifier
---使用するOPが内部的に使用するユーザID。
---OPがOP上の認証処理等で使用する。
**[[アサーション（Assertions）>トークン#xbeb945f]] [#c536655a]
クレームベース認証界隈のコンテキストでは、~
[[SAML]]や[[JWT]]などのフォーマットが使用される。

***[[OAuth]] [#qa5b24ca]
[[OpenID]]と≒。
***トークン [#v1041482]
IdP/STSが発行する認証・認可の情報~
（認証情報やユーザーや属性、アクセス権限等の情報）。

-Resource Owner (User)~
アクセス権限の付与を行うユーザー自身
***クレームセット [#l27f5914]
[[認証連携（IDフェデレーション）>#i5c2d8e8]]で連携されるユーザ属性情報

-OAuth Server (OAuth Service Provider)~
OAuthをサポートしたAPIを提供しているサービス
--Twitter
--Facebook
**プロトコル [#wb1614f3]

-OAuth Client (旧 OAuth Consumer)~
OAuth Serverが提供するAPIを利用する側のサービス
--Instagram
--Foursquare
--Pinterest
***[[SAML / WS-FED>SAML / WS-FED#p6153af7]] [#o0d18ba5]

-OAuth Access Token
***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf76f7e0]] [#sdca2e87]

***[[OpenID Connect]] [#q37553ef]
OpenID Authentication 2.0の置き換えであるため、OPなどの用語を使用しているので、~
[[OpenID Authentication 2.0の用語>#w507f337]]を使用する（ただし実装は、OAuthの拡張）。
**役割関連用語の対応表 [#c44e4a44]
紛らわしい、クレームベース認証の役割関連用語の対応表をまとめてみた。

*種類 [#pa0ef406]
**認証連携（IDフェデレーション） [#z111c7bd]
***特徴 [#j361796e]
|#|>|XML系|>|>|OpenID系|>|OAuth2.0/OIDC系|h
|~|SAML|WS-FED|OpenID1.0|OpenID2.0|OAuth1.0|認可の４役割|OIDCの認証を考慮した呼称|h
|1|>|Subject|>|End User|User|>|Resource Owner|
|2|>|SP (Service Provider), RP (Relying Party)|RP (Relying Party)|Consumer|OAuth Consumer|Client (Public Client, Confidential Client)|Client, RP (Relying Party)|
|3|>|IdP (Identity Provider), CP (Claim Provider)&br;STS (Security Token Service )|IdP (Identity Provider)|OP (OpenID Provider)|OAuth Service Provider|Authorization Server (AuthZ)|Authentication Server (AuthN)、&br;若しくは、IdP/STS（OP:OpenID Provider）|
|4|>|>|>|－認証のみなので対応する概念が存在しない－|~|>|Resource Server|

-OpenAM、[[ADFS>フェデレーション サービス (AD FS)]]
などの実績のあるSSOをサポートする認証連携（IDフェデレーション）基盤
-一般向けには、SAML系の用語が良く使われる（IdP/STS、SP、RP辺りは、結局OIDCでも使われているので）。
-最近は、OAuth2/OIDCの隆盛に伴い、上記表中の「認可の４役割」用語も利用される。
-説明資料によって、上記表中の横並びの役割は混同されていることが多い（意味も同じ）。
-「#3」は、ユーザストア機能とトークン発行機能に分けて表現されることがある（IdP/STSなど、CPも≒STSか。）。

-異なるベンダのアクセス制御製品間の相互運用性を推進し、~
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
*詳細 [#pa0ef406]

-認証されたアカウントを偽装するにはカスタムの実装が必要。
**プロトコル [#b5162084]

-認証連携（IDフェデレーション）の利点~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--上記のフェデレーションの動作におけるポイントの1つとしては、サービス・プロバイダ側で直接認証（IDやパスワードの入力）を行っていないので、サービス・プロバイダへのネットワーク経路上をパスワードが流れないという点がある。~
もう1つ、サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていないので、アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよいという点も挙げられる。
--これらにより、イントラネット上のアイデンティティ・プロバイダを利用して、クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になる。~
また同時に、イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、イントラネットとクラウドにまたがったセキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。
***[[SAML / WS-FED>SAML / WS-FED#n6b097e6]] [#z111c7bd]

***プロトコル [#sa6cf928]
***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#cf72e401]] [#bd876705]

-クッキー認証チケットを使用しない。
--クッキーを第三者が不正使用してなりすましを許す可能性がある。
--クッキーはクッキードメインの中でしか有効ではない。
**[[STS系ミドルウェア]] [#u214f5ce]

-[[SAML]]

--SAML Core
---SAML Assertions
---SAML Protocols

--SAML Bindings

--SAML Profiles
---SAML Assertions
---SAML Protocols
---SAML Bindings

--SAML Metadata

-[[WS-Federation]]

--Assertionsには、SAML Assertionsを使用。

--以下のプロファイルがある。~
パッシブリクエスタプロファイル（Webアプリ用）~
アクティブリクエスタプロファイル（Webサービス用）

***製品 [#ccf56f5a]
-OpenAM
-[[ADFS>フェデレーション サービス (AD FS)]]

***ライブラリ [#i89b5ff2]
-[[WIF]]

**[[OpenID]] / [[OAuth]] / [[OpenID Connect]] [#bd876705]
中央集権型でない、分散ID認証システムのオープン仕様。

-ブラウザベースの認証APIの標準化から始まった。

-認可するクレーム（トークン）として、~
紹介状（OpenIDトークン）を受け取るか、合鍵を受け取るかの違いがある。

***[[OpenID]] [#td7a8a84]
OpenID財団の登録商標。

代表的な使用例として、
-OpenID Authentication 2.0
-OpenID Connect
-OpenID Foundation 

などがあるが、

ここでは、OpenID Authentication 1.1, 2.0を指す。

要求元であるWebサイトに対して、
-あるユーザが認証された旨の情報、
-認証をどのように行ったかの情報、
-当該ユーザの属性情報を、

紹介状（OpenIDトークン）として、提供元となるIdpが転送するプロトコル。

-OpenID 1.1：Consumer経由で紹介状を作成して送信する公証人Idpを呼び出す。
-&color(red){OpenID 2.0};：RP経由で紹介状を作成して送信する公証人OPを呼び出す。

-[[OpenID]]の仕様上、誰でもConsumer（RP）やIdp（OP）になれるという点から、~
特にConsumer（RP）はどのIdp（OP）を信用したらよいかという問題が残る。

***[[OAuth]] [#k66961ce]
-紹介状（OpenIDトークン）ではなく、~
合鍵を渡し、認証＋権限付与を行うプロトコル。

-ユーザが外部サービスにパスワードを教えることなく、~
サービス間でユーザの同意のもとにセキュアにユーザの権限情報（合鍵）を受け渡しする。

--エンドユーザはサービスAに対してあるサービスB上のリソースや機能に~
取得／追加／更新／削除などのアクセス許可を与える。

--サービスAは、エンドユーザの許可を受けたサービスB上のリソースや機能にアクセスする。

-[[OpenID]]よりもOAuth認証をしたいというサイトが増えてきている。

***[[OpenID Connect]] [#ya3d2a7b]
-OpenID Authentication 2.0 のプロトコルを引き継ぐことをせず、~
[[OAuth]] 2.0を拡張し、正しく認証する次世代のOpenID。

-OpenID Authentication 2.0 は、[[OpenID Connect]]によって置換えられた。

-サイトにアクセスする方法は[[OAuth]]のResource Access と同じ。

-違いは、紹介状（OpenIDトークン）のコピーだけが入っているロッカーの鍵を渡す所。
--ロッカー：UserInfo （ユーザ情報）Endpoint
--鍵は、[[OAuth]]と異なり、UserInfo Endpoint が発行する。
--SP(Service Provider)はこの鍵の発行者を信頼し、鍵の正統性の検証が可能。

-NIST SP 800-63-1で定義されている全ユーザ認証要件（LoA）への対応が可能。~
金融システムや電子政府／行政システムにも利用できることを意味している。

-設計思想
--モジュラーデザイン
--簡単なことは簡単に
--難しいことも可能に

***参考 [#z1b67156]
-非技術者のためのOAuth認証(？)とOpenIDの違い入門~
@_Nat Zone - Identity, Privacy and Music~
http://www.sakimura.org/2011/05/1087/

-[[OpenID]]
--OpenIDの仕様と技術 連載インデックス - ＠IT~
http://www.atmarkit.co.jp/fsecurity/index/index_openid.html

-[[OAuth]]
--デジタル・アイデンティティ技術最新動向（1）：~
「OAuth」の基本動作を知る (1/2) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
--第1回　OAuthとは？―OAuthの概念とOAuthでできること：~
ゼロから学ぶOAuth｜gihyo.jp … 技術評論社~
http://gihyo.jp/dev/feature/01/oauth/0001

-[[OpenID Connect]]
--デジタル・アイデンティティ技術最新動向（4）：~
「OpenID Connect」を理解する (1/2) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1209/27/news138.html
--~OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜~
http://www.slideshare.net/kura_lab/openid-connect-id

*選定 [#uc590139]

**[[認証連携（IDフェデレーション）>#z111c7bd]] [#tf6b40d2]
**プロトコル [#te1570ea]
-SAMLとOAuth／OpenID Connect：~
新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1402/10/news074.html

***SAML [#j6f22d8d]
***[[SAML / WS-FED>SAML / WS-FED#s5929af2]] [#tf6b40d2]

***WS-Federation [#fa1f759b]
***[[OpenID / OAuth / OpenID Connect>OpenID / OAuth / OpenID Connect#i71c7e02]] [#h2bbea7c]

**[[OpenID / OAuth / OpenID Connect>#bd876705]] [#h2bbea7c]
-OpenID 2.0とOAuth 1.0
--仕様は、同時期に策定された。
--ユーザから見た画面遷移もほぼ同じ
--開発者の間で機能が比較された。
**[[STS系ミドルウェア]] [#j7ac4e77]

-"OpenID 2.0とOAuth 2.0"と、OpenID Connect~
OAuth 2.0を拡張して、OpenID 2.0を置き換えたもの。
*その他 [#fbe42215]

***[[OpenID]] [#m176502c]
**[[SCIM]] [#e9117bfd]

OpenID 2.0
**[[PPID]] [#n98fbf85]

-メリット
--一度の実装で複数のOPに対応できる。
--新たなOPが増えた場合もコストをかけずに対応が可能
*参考 [#g91780b4]
-オッス！オラ認証周りをまとめてみた - どんまいこのネタ帳~
http://mnakajima18.hatenablog.com/entry/2016/05/04/205713

-デメリット
--OAuth 1.0のように、サービス上のAPIに権限を付与する機能はない。
-アイデンティティ管理技術解説：IPA 独立行政法人 情報処理推進機構~
https://www.ipa.go.jp/security/idm/
--アイデンティティ管理技術解説 PDFファイル （PDFファイル 10.1MB）
--アイデンティティ管理技術解説 ZIPファイル （ZIPファイル 8.70MB）

***[[OAuth]] [#o4faf978]
**デジタル・アイデンティティ [#ra858f1a]
-デジタルアイデンティティ - Wikipedia~
https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3

OAuth 1.0
-デジタルアイデンティティ Digital Identity~
http://shop.oreilly.com/product/9780596008789.do

-メリット
--認証＋APIに対する権限付与ができる。
--プロフィール情報を取得できるAPIが提供されれば認証＋認可ができる。
**slideshare.net/matake [#tc8ff194]
-SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014~
http://www.slideshare.net/matake/idit-2014

-デメリット
--認証結果と属性情報（クレーム）から認可するポリシーの指定方法が存在しない。
--開発者がOAuth Client側の実装を作りこむ必要がある。
**Identity | @_Nat Zone [#h35c4901]
http://www.sakimura.org/category/identity/

***[[OpenID Connect]] [#ad991e4a]
次世代OpenID

-OpenID 2.0のプロトコルを引き継ぐことをせず、~
OAuth 2.0を拡張して、OpenID 2.0を置き換えたもの。

--これまで足りなかった以下のような機能拡張がされている。
---認証結果のやりとり
---統一的な属性情報の提供
---OP探索、動的なRP登録
---RPに戻った後のセッション管理

-実装（RP）
--RPはOAuth 2.0のリクエストを少し変更するだけで、利用できる。~
OAuth 2.0のリクエストパラメータに特定の値を指定するだけ。
--複数のクライント・フローを実装するのは手間。~
しかし、Idpを開発するのに比べれば、RPを開発する方が楽。

-用途
--NIST SP 800-63-1で定義されている全ユーザ認証要件（LoA）への対応が可能。
--金融システムや電子政府／行政システムにも利用できることを意味している。

***参考 [#zf9f7982]
-デジタル・アイデンティティ技術最新動向（3）：~
OpenIDが果たす役割を知る (2-2) - ＠IT~
http://www.atmarkit.co.jp/ait/articles/1209/20/news140_2.html

*デジタル・アイデンティティ [#ra858f1a]
-デジタルアイデンティティ - Wikipedia~
https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%B8%E3%82%BF%E3%83%AB%E3%82%A2%E3%82%A4%E3%83%87%E3%83%B3%E3%83%86%E3%82%A3%E3%83%86%E3%82%A3

-非技術者のためのデジタル・アイデンティティ入門~
http://www.sakimura.org/2011/06/1124/

-デジタルアイデンティティ Digital Identity~
http://shop.oreilly.com/product/9780596008789.do
**Windowsで構築する、クラウド・サービスと社内システムのSSO環境 [#j88d036c]
-Windowsで構築する、クラウド・サービスと社内システムのSSO環境 - ＠IT
--第1回　クラウド・コンピューティングとアイデンティティ管理の概要~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第2回　クラウド・コンピューティング時代の認証技術~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso02/adfs2sso02_01.html
--第3回　クラウド・サービスと社内ADとのSSOを実現する（前）~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso03/adfs2sso03_01.html
--第4回　クラウド・サービスと社内ADとのSSOを実現する（後）~
http://www.atmarkit.co.jp/fwin2k/operation/adfs2sso04/adfs2sso04_01.html

----
Tags: [[:認証基盤]], [[:クレームベース認証]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.110 sec.