「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
ID連携・クレームベース認証とは †
ID連携とは、
- アイデンティティ(ID)
& フェデレーション(ID連携)
↓↓↓
- アイデンティティ(ID)
- = ユーザを特徴づける属性情報
- ≠ ユーザID(Identifier)
↓↓↓
- フェデレーション(ID連携)
このユーザ属性情報をクレームセットに同梱してユーザに渡す( = ID連携)。
↓↓↓
- クレームベース認証
クレームセットを使用して認証する。
ID連携・クレームベース認証の目的 †
- IDの一元管理
- アプリ側に重複したユーザストアを持たせない。
- 同期不要。一元管理された、最新のIDを利用する。
- SSO(シングルサインオン)
- パスワードをユーザに分散管理させたくない。
- クラウド上のサービスを自社内で認証したい。
- コンシューマー向けアプリをSNS認証で利用させたい。
クレームベース認証の仕組み †
SAML / WS-FEDとか、OpenID / OAuth / OpenID Connectなど、
大体、認証後に発行するトークン(クレーム)的なものを使用して認可(認証)する仕掛けになっている。
- 認証は、Idp(Identity Provider)が行う。
- トークン(クレーム)の発行はSTS(Security Token Service)が行う。
クレームは、
- Idp(Identity Provider)によって発行され、
- STS(Security Token Service)によって
- 1 つ以上の値が指定されてから、
- STSが発行するセキュリティ トークンにパッケージ化される。
- 認可は、SP(Service Provider)が行う。
このSTS(Security Token Service)が発行する
トークン(クレーム)的なものにより、認証(Idp)と認可/認証(SP)を分離できる。
- OAuthに関しては、トークンとクレームの発行が分離されている。
トークン発行までがOAuthの仕様なので、認証用のクレーム発行は拡張仕様を実装する必要がある。
以下が参考になる。
用語 †
各用語については下記を参照。
認証/認可 †
認証(Authentication) †
- 本人性を確認する
- ID/パスワード認証、生体認証、ワンタイム・パスワード認証
認可(Authorization) †
あるリソースへアクセスするための権限を与える(認証後のアクセス制御)
ID連携(IDフェデレーション) †
意味 †
フェデレーションは、「連携」の意味。
- SAML、OpenIDなどの認証・認可に関わるプロトコルやその仕組みの総称として使われることがある。
- IDやパスワードの発行者(IdP:Identity Provider)と、IDの利用者(RP:Relying Party)の2つに役割を分担する。
- ID連携(IDフェデレーション)
- IdP と SP の間でユーザーアカウントを紐付けることを意味する。
- IdP と SP は信頼関係を結んだ後、アカウント連携を行う必要がある。
利点 †
それによって、以下の様な利点が発生する。
- サービス・プロバイダ側で直接認証(IDやパスワードの入力)を行っていない。
∴ サービス・プロバイダへのネットワーク経路上をパスワードが流れない。
- サービス・プロバイダが直接アイデンティティ・プロバイダと通信を行っていない。
∴ アイデンティティ・プロバイダとサービス・プロバイダは別々のネットワークに存在してもよい。
イントラネット上のアイデンティティ・プロバイダを利用して、
- クラウド上のサービス・プロバイダへセキュアなアクセスを行うといったことが可能になり、
- イントラネット上の社内アプリケーションにも同様の仕組みを導入することにより、
セキュアなシングル・サインオンという非常に利便性の高いシステムを構築できる。
クレームベース認証界隈のコンテキストでは、
- IdP/STSが発行する認証・認可の情報
(認証情報やユーザーや属性、アクセス権限等の情報)。
- SAMLやJWTなどのフォーマットが使用される。
Microsoft Platform †
Active Directory Federation ServicesやWIF(Windows Identity Foundation)に関連する用語。
- WIF
Windows Identity Foundation
- ADDS
Active Directory Domain Services
- ADFS
Active Directory Federation Services
- AZAD
Azure Active Directory
Claims-based identity term definitions †
- IdP & CP
- IdP : Identity Provider ( = ADDS )
- CP : Claim Provider( = Idp at WS-Federation model)
- STS : Security Token Service ( = ADFS or AZAD )
- SP & RP
- SP : Service Provider( = ASP.NET WebSite?)
- RP : Relying Party( = SP at WS-Federation model)
その他 †
- Federation Trust
- 要求プロバイダー信頼
Claim Provider Trust(CP Trust)
- 証明書利用者信頼
Relying Party Trust(RP Trust)
種類 †
特徴 †
- 異なるベンダのアクセス制御製品間の相互運用性を推進し、
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
プロトコル †
- クッキー認証チケットを使用しない。
- クッキーを第三者が不正使用してなりすましを許す可能性がある。
- クッキーはクッキードメインの中でしか有効ではない。
- SAML Core
- SAML Assertions
- SAML Protocols
- SAML Profiles
- SAML Assertions
- SAML Protocols
- SAML Bindings
- Assertionsには、SAML Assertionsを使用。
- 以下のプロファイルがある。
パッシブリクエスタプロファイル(Webアプリ用)
アクティブリクエスタプロファイル(Webサービス用)
ライブラリ †
- WIF
- Azure AD 認証ライブラリ (ADAL)
選定 †
以下の辺りを読むと、
エンタープライズにフォーカスした技術と言える(SOAP/XMLベース)。
参考 †
デジタル・アイデンティティ †
歴史的背景 †
Identity | @_Nat Zone †
http://www.sakimura.org/category/identity/
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 †
- Windowsで構築する、クラウド・サービスと社内システムのSSO環境 - @IT
Tags: :認証基盤, :クレームベース認証