BT

InfoQ ホームページ ニュース クレームベースアイデンティティに関するガイド

クレームベースアイデンティティに関するガイド

ブックマーク

原文(投稿日:2009/10/06)へのリンク

マイクロソフトのパターン&プラクティスは、ユーザーにクレームベースのアイデンティティを紹介し、新しいタイプの認証と承認の書き方の例を提示する「クレームベースのアイデンティティとアクセスコントロールガイド」という新しいCodePlexプロジェクトを作成した。

信頼された認証局(発行者)は、クレーム(クレデンシャル)を含む署名されたセキュリティトークンである承認申請書を発行する。申請書が、セキュリティトークンが妥当で信頼された発行者によって署名されている場合、ユーザーを認証する。

クレームベースのアイデンティティでは、ユーザ認証情報を提示してもらい、認証を行う必要がないため、アプリケーションの開発がシンプルになる。その代わり

あなたの会社のセキュリティポリシーを決定する人が、これらのルールを作って、買うか、発行者を構築することができます。あなたのアプリケーションは、搭乗券のようなものを受け取ります。ケルベロス、SSL、フォーム認証、またはもっとエキゾチックな何かなど、どんな認証プロトコルを使っているかは問題ではありません。アプリケーションは、ユーザーに関する必要な情報を持つ署名されたクレームのセットを受け取ります。この情報は、アプリケーションがすぐに使えるシンプルなフォーマットになっています。

発行人は、統合、移行、合併、フェデレーション、クラウドアプリケーションの構築などの、あらゆるセキュリティ問題に関するプロセスを緩和する。また、シングルサインオン(SSO)は、同じ理由から容易に実装できるようになる。ガイドでは仮想の会社が、いかにしてVPNに接続することなく、従業員がアプリケーションを外部接続し、クレームを使用したSSOを実現したかを提示している。

クレームベースのアイデンティティは、セキュリティの推奨のアプローチだが、誰がも使用するのに適切なアプローチであるとはいえない。おそらく、Active Directoryで十分である。

どんな種類のクレームを発行するかを決めたら、Active Directoryスキーマを拡張することをIT部門を納得させることがいかに大変かを尋ねてみてください。彼らは、そこにとどまるよい回答を持っています。もし彼らがまだ変えたくないのなら、クレームはそれを変えないでしょう。クレームにどの属性を選んだかを心にとめておくとよいでしょう。

ガイドには、クレームベースセキュリティアーキテクチャで使用すべきプロトコルも含まれている。ガイドは、まだ作業中である。

マイクロソフトは、「簡単なユーザアクセスと企業内、組織間、Web上のオンプレミスとクラウドアプリケーションに対するシングルサインオン」を提供するGenevaと呼ばれるフレームワークを作成した。Genevaは、Windows Identity Foundationと名前を変え、クレームベースを認識して作られたASP.NETやWCFアプリケーションに含まれている。Genevaサーバは、現在「フェデレーションを有効にして、ユーザアクセスを管理するためにセキュリティトークンサービス(STS)の発行とクレームの変換」を行いActive Directoryフェデレーションサービスと呼ばれている。Genevaプロジェクトは、現在ベータ2である。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。