Open棟梁Project - マイクロソフト系技術情報 Wiki
...工事中...
目次 †
概要 †
認証基盤の選定や実装について纏めています。
方式 †
種類 †
- 匿名アクセス
- 匿名アクセスを許可する。
- 通常サービスの実行アカウントで実行される。
- (偽装をおこなえば)匿名アカウントで実行される。
- 基本認証
- ユーザー名とパスワードを入力するためのダイアログ ボックスが表示される。
- アカウント情報は暗号化されないBase64文字列でサーバに送られる。
- 通常サービスの実行アカウントで実行される。
- (偽装をおこなえば)認証されたアカウントで実行される。
- ダイジェスト認証
- ハッシング テクノロジーを使用し、解読不能な方法でユーザー情報を送信する。
- 通常サービスの実行アカウントで実行される。
- (偽装をおこなえば)認証されたアカウントで実行される。
Windwos認証 †
HTTPやSMBなどの通信ライブラリに組み込まれており、
実行アカウントを使用しオートネゴシエートで認証することが可能。
クッキー認証チケット型 †
- 統合認証基盤型
- SiteMinder?、IceWall?などの実績のある統合認証基盤
- 各アプリケーションに認証情報を使用した承認の機能を実装する。
- 実装ルール型
各アプリケーションに認証クッキーの(発行と)認証の機能を実装する。
認証連携 †
以下の様な特徴がある。
- プロトコル
異なるベンダのアクセス制御製品間の相互運用性を推進し、
企業間の独立したサービスをグローバルなSSOで連携させることが可能。
- クッキー認証チケットを使用しない。
- クッキーを第三者が不正使用してなりすましを許す可能性がある。
- クッキーはクッキードメインの中でしか有効ではない。
- 各アプリケーションに認証情報を使用した承認の機能を実装する。
選定 †
Windwos認証 †
クッキー認証チケット型 †
- 統合認証基盤
- 認証をISAPIレイヤで処理するので、基盤構築作業として対応でき、
Webアプリケーション側に特別な作り込みは必要ないため、大きなメリットになる。
- 各アプリケーションに認証情報を使用した承認の機能を実装する。
- 実装ルール型の認証基盤
- Webアプリケーションに実装ルールを設け、
個別にクッキー認証チケットの(発行と)認証の機能を実装する。
- フレームワークに実装するとすると、こちらの方式になるが、
Java、.NETなど言語が混在になると、個別の部品を整備する必要があり面倒になる。
認証連携 †
余談 †
ASP.NETのForms認証では、
- クッキー認証チケットをクロスサイトで使用できる。
- ただし、クロスドメインでの引継は不可能。
クロスドメイン間のサイトで、テンポラリの認証情報をQueryString?等で引き継いで、
連携先サイトで、別途Forms認証のクッキー認証チケットを発行すると言う方式の実績もありますが、
要件に合わないようなら、個別に「クッキー認証チケット型」の認証基盤の導入を検討した方が良さそうです。