Open棟梁Project - マイクロソフト系技術情報 Wiki ...工事中... * 目次 [#kd1172d7] #contents *概要 [#jc8e8ef1] 認証基盤の選定や実装について纏めています。 *方式 [#ce0c1cee] **種類 [#o815c7c4] *** [#gf2d8060] -匿名アクセス --匿名アクセスを許可する。 --通常サービスの実行アカウントで実行される。 --(偽装をおこなえば)匿名アカウントで実行される。 -基本認証 --ユーザー名とパスワードを入力するためのダイアログ ボックスが表示される。 --アカウント情報は暗号化されないBase64文字列でサーバに送られる。 --通常サービスの実行アカウントで実行される。 --(偽装をおこなえば)認証されたアカウントで実行される。 -ダイジェスト認証 --ハッシング テクノロジーを使用し、解読不能な方法でユーザー情報を送信する。 --通常サービスの実行アカウントで実行される。 --(偽装をおこなえば)認証されたアカウントで実行される。 ***Windwos認証 [#m4be745d] HTTPやSMBなどの通信ライブラリに組み込まれており、~ 実行アカウントを使用しオートネゴシエートで認証することが可能。 -NTLM認証~ [[ミラーアカウント]]でも、[[Active Directory]]でも可能。 -ケルベロス認証~ 「[[Active Directory]]」が必要、インターネットに拡大できない。 ***クッキー認証チケット型 [#la8f4c73] -統合認証基盤型~ --SiteMinder、IceWallなどの実績のある統合認証基盤 --各アプリケーションに認証情報を使用した承認の機能を実装する。 -実装ルール型~ 各アプリケーションに認証クッキーの(発行と)認証の機能を実装する。 ***認証連携 [#z111c7bd] 以下の様な特徴がある。 -プロトコル~ 異なるベンダのアクセス制御製品間の相互運用性を推進し、~ 企業間の独立したサービスをグローバルなSSOで連携させることが可能。 --クッキー認証チケットを使用しない。 ---クッキーを第三者が不正使用してなりすましを許す可能性がある。 ---クッキーはクッキードメインの中でしか有効ではない。 --標準化仕様 ---[[SAML]] ---[[WS-Federation]] ---[[OpenID]] --各アプリケーションに認証情報を使用した承認の機能を実装する。 -製品 --OpenAM --[[ADFS]] **選定 [#i8941f0c] ***Windwos認証 [#m0ad1078] -NTLM認証 --[[ミラーアカウント]]でも、[[Active Directory]]でも可能。 --デスクトップへのログインと連動したSSO認証が可能。~ ただし、[[ミラーアカウント]]の場合は、アカウントの管理が面倒。 -ケルベロス認証 --「[[Active Directory]]」が存在する場合。 --デスクトップへのログインと連動したSSO認証が可能。 --ベースクライアント認証でのダブルホップが可能。 ***クッキー認証チケット型 [#q11063ab] -統合認証基盤 --認証をISAPIレイヤで処理するので、基盤構築作業として対応でき、~ Webアプリケーション側に特別な作り込みは必要ないため、大きなメリットになる。 --各アプリケーションに認証情報を使用した承認の機能を実装する。 -実装ルール型の認証基盤 --Webアプリケーションに実装ルールを設け、~ 個別にクッキー認証チケットの(発行と)認証の機能を実装する。~ --フレームワークに実装するとすると、こちらの方式になるが、~ Java、.NETなど言語が混在になると、個別の部品を整備する必要があり面倒になる。 ***認証連携 [#tf6b40d2] *余談 [#zf3414e4] ASP.NETのForms認証では、 -クッキー認証チケットをクロスサイトで使用できる。 -ただし、クロスドメインでの引継は不可能。 クロスドメイン間のサイトで、テンポラリの認証情報をQueryString等で引き継いで、~ 連携先サイトで、別途Forms認証のクッキー認証チケットを発行すると言う方式の実績もありますが、~ 要件に合わないようなら、個別に「クッキー認証チケット型」の認証基盤の導入を検討した方が良さそうです。