公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJ IDサービス マニュアル[管理者用]

本書に登場する用語

用語説明
CA
(Certificate Authority、認証局)		証明書を発行する機関
CA証明書チェーン

クライアント証明書を発行するCAから、信頼の起点となるルートCAに至るまでの、すべてのCAの証明書の集まりです

CRL
(Certificate Revocation List, 証明書失効リスト)

失効された証明書のリスト

IIJ IDサービスでは、外部CAによるデバイスの制限を利用する場合に、クライアント証明書を失効させるためにCRLを使用します

FIDO公開鍵暗号方式を利用した、シンプルで堅牢さを目的とする認証方式の仕様です。本サービスはFIDO2をサポートします
Kerberosネットワーク認証システムの1つ
OAuth 2.0サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークです
OpenID Connect

OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルです。本サービスは、OpenID Connect Core 1.0をサポートします

SAML
(Security Assertion Markup Language)		異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。本サービスは、SAML 2.0をサポートします
SCIM
(System for Cross-domain Identity Management)		SCIMはID管理のためのオープンなAPIの仕様です。本サービスは、SCIM 2.0をサポートします
キーペア公開鍵(クライアント証明書など)と秘密鍵の組み合わせ
デバイス証明書技術的にはクライアント証明書のことを指します
クライアント証明書

クライアントに対して発行する公開鍵の1つ

クライアントの認証に利用され、クライアントは認証時にクライアント証明書と署名済みメッセージをサーバに送信します

グループ

本サービスでユーザを管理する単位です。グループの名前、メールアドレス、及び所属するユーザを決め、円滑にユーザを管理できます

ジョブ

ユーザ、グループの作成、編集、または削除などの操作ごとに作成されます。ジョブを見ることで、処理の内容、実行時間、成功、失敗などがわかります。詳しくは、「ジョブの閲覧」をご覧ください

通知

CSVインポートの進捗及びユーザの操作により通知されます。詳しくは、「通知」をご覧ください

秘密鍵公開鍵暗号において、メッセージを署名するための鍵
プロビジョニング

ID管理システム上のID情報を外部サービスと同期します。プロビジョニングを用いることで、ID管理システムでIDを一元管理できます

IIJ IDサービスでは、ユーザ及びグループ情報の外部サービスへのプロビジョニングに対応します。またAzure ADのユーザ及びグループ情報を元にした、IIJ IDサービスへのプロビジョニングにも対応します

統合Windows認証

Active Directoryのアカウントを利用した認証方式

ドメインに参加したクライアントは再認証なくIIJ IDサービスや連携するサービスにログインできます。また本サービスではフォーム認証にも対応しており、ドメインに参加できないクライアントでも、Active DirectoryのIDとパスワードを利用して認証ができます

リソースサーバOAuth 2.0において、保護されたリソースをホストし、アクセストークンを用いたリソースへのリクエストを受理してレスポンスを返すことのできるサーバです

アクセストークン

OAuth 2.0において、保護されたリソースにアクセスするために使用されるクレデンシャルです
リフレッシュトークンOAuth 2.0において、アクセストークンを取得するために使用されるクレデンシャルです
SAML
用語説明
IdP Initiated SSOSPからの認証リクエストを受け取らずにIdPがユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです
IdPメタデータIdPに関する情報を含んだXMLファイルです。SPがIdPメタデータによってSAML連携が設定できる場合、IIJ IDサービスが提供するIdPメタデータを利用できます

SAML
(Security Assertion Markup Language)

異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。IIJ IDサービスは、SAML 2.0をサポートします
SAML IdP
(Identity Provider)		ユーザの認証を行い、SPに認証情報を提供するエンティティです
SAML SP
(Service Provider)		ユーザにサービスを提供するエンティティです

SAML属性ステートメント
(SAML Attribute Statement)

SAMLレスポンスに含まれる特有の識別情報です
SP Initiated SSOSPがSAMLリクエストをIdPに渡してユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです
SPメタデータSPに関する情報を含んだXMLファイルです。SPがSPメタデータを提供している場合、IIJ IDサービスでのアプリケーション登録にSPメタデータを利用できます
SSOエンドポイントURLSPからIdPにSAMLリクエストを行う場合にアクセスするURLです
エンティティID
(Entity ID)		エンティティを一意に識別するIDです
OpenID Connect
用語説明
Authorization Code FlowRPがOPからIDトークンを受け取るフローの一つです。OPは認可コードを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します。RPは認可コードをOPに提示することで、IDトークンを取得します
Authorizationエンドポイント(autorhization_endpoint)Authorizationエンドポイント(autorhization_endpoint)
DiscoveryエンドポイントDiscovery情報を提供するエンドポイントです
Discovery情報OPが提供するエンドポイントや、対応する署名アルゴリズムなどの情報です
IDトークン認証についてのクレームを含んだJSON Webトークン(JWT)
Implicit FlowRPがOPからIDトークンを受け取るフローの一つです。OPはIDトークンを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します
issuerIDトークンの発行元です
JSON Web Key Set暗号鍵を表すJSONデータ(JWK)の集合です
OP
(OpenID Provider)		OpenID Connect規格に対応した、認証を実際に実施するサーバです
OpenID ConnectOAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルのことです。IIJ IDサービスは、OpenID Connect Core 1.0をサポートします
RP(Relaying Party)OpenID Connectを利用して利用者を認証し、利用者にサービスを提供するアプリケーションです
Tokenエンドポイント
(token_endpoint)		アクセストークン、IDトークン、またはリフレッシュトークンを取得するためのエンドポイント
Userinfoエンドポイント(userinfo_endpoint)認証されたユーザに関するクレームを返すエンドポイントです
アクセストークンリソースサーバ上の保護された情報にアクセスするための資格情報となるトークンです
クライアントID
(client_id)		OPに登録されているRPを識別するためのIDです
クライアントシークレット
(client_secret)		RPがOPから発行されたIDトークンの署名検証に使用する秘密鍵です
クレーム
(claim)		ユーザの属性情報です
スコープ
(scope)		認可後にOPからRPに提供される属性情報を指定するための値です

リダイレクトURL
(redirect_uri)

ログイン後にリダイレクトするURLです
リフレッシュトークンアクセストークンを更新するためのトークンです
Microsoft 365
用語説明
Graph API
(プロビジョニングAPI)		Microsoft Graph APIは、Azure ADが提供するAPIです。Microsoft Graph APIは、REST APIエンドポイントを介してAzure ADにプログラムによるアクセスを提供します。アプリで実行されるMicrosoft Graph APIを使用して、ディレクトリデータ及びユーザ、グループ、組織の連絡先などのディレクトリオブジェクトの作成、読み取り、更新、削除ができます
最大アカウント解除率

Azure ADからアカウントをインポートするときに、削除されるアカウントが設定値を超えるとインポートを中止します
アカウント解除率の計算は以下のように行われます
(インポートによって削除されるアカウント数 / 外部ユーザストア連携しているアカウント数)× 100