本書に登場する用語
| 用語 | 説明 |
|---|---|
| CA (Certificate Authority、認証局) |
証明書を発行する機関 |
| CA証明書チェーン | クライアント証明書を発行するCAから、信頼の起点となるルートCAに至るまでの、すべてのCAの証明書の集まりです |
| CRL (Certificate Revocation List, 証明書失効リスト) |
失効された証明書のリスト IIJ IDサービスでは、外部CAによるデバイスの制限を利用する場合に、クライアント証明書を失効させるためにCRLを使用します |
| FIDO | 公開鍵暗号方式を利用した、シンプルで堅牢さを目的とする認証方式の仕様です。本サービスはFIDO2をサポートします |
| Kerberos | ネットワーク認証システムの1つ |
| OAuth 2.0 | サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークです |
| OpenID Connect | OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルです。本サービスは、OpenID Connect Core 1.0をサポートします |
| SAML (Security Assertion Markup Language) |
異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。本サービスは、SAML 2.0をサポートします |
| SCIM (System for Cross-domain Identity Management) |
SCIMはID管理のためのオープンなAPIの仕様です。
|
| キーペア | 公開鍵(クライアント証明書など)と秘密鍵の組み合わせ |
| デバイス証明書 | 技術的にはクライアント証明書のことを指します |
| クライアント証明書 | クライアントに対して発行する公開鍵の1つ クライアントの認証に利用され、クライアントは認証時にクライアント証明書と署名済みメッセージをサーバに送信します |
| グループ | 本サービスでユーザを管理する単位です。グループの名前、メールアドレス、及び所属するユーザを決め、円滑にユーザを管理できます |
| ジョブ | ユーザ、グループの作成、編集、または削除などの操作ごとに作成されます。ジョブを見ることで、処理の内容、実行時間、成功、失敗などがわかります。詳しくは、「ジョブの閲覧」をご覧ください |
| 通知 | CSVインポートの進捗及びユーザの操作により通知されます。詳しくは、「通知」をご覧ください |
| 秘密鍵 | 公開鍵暗号において、メッセージを署名するための鍵 |
| プロビジョニング | ID管理システム上のID情報を外部サービスと同期します。プロビジョニングを用いることで、ID管理システムでIDを一元管理できます IIJ IDサービスでは、ユーザ及びグループ情報の外部サービスへのプロビジョニングに対応します。またAzure ADのユーザ及びグループ情報を元にした、IIJ IDサービスへのプロビジョニングにも対応します |
| 統合Windows認証 | Active Directoryのアカウントを利用した認証方式 ドメインに参加したクライアントは再認証なくIIJ IDサービスや連携するサービスにログインできます。また本サービスではフォーム認証にも対応しており、ドメインに参加できないクライアントでも、Active DirectoryのIDとパスワードを利用して認証ができます |
| リソースサーバ | OAuth 2.0において、保護されたリソースをホストし、アクセストークンを用いたリソースへのリクエストを受理してレスポンスを返すことのできるサーバです |
アクセストークン |
OAuth 2.0において、保護されたリソースにアクセスするために使用されるクレデンシャルです |
| リフレッシュトークン | OAuth 2.0において、アクセストークンを取得するために使用されるクレデンシャルです |
SAML
| 用語 | 説明 |
|---|---|
| IdP Initiated SSO | SPからの認証リクエストを受け取らずにIdPがユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです |
| IdPメタデータ | IdPに関する情報を含んだXMLファイルです。SPがIdPメタデータによってSAML連携が設定できる場合、IIJ IDサービスが提供するIdPメタデータを利用できます |
SAML |
異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。IIJ IDサービスは、SAML 2.0をサポートします |
| SAML IdP (Identity Provider) |
ユーザの認証を行い、SPに認証情報を提供するエンティティです |
| SAML SP (Service Provider) |
ユーザにサービスを提供するエンティティです |
SAML属性ステートメント |
SAMLレスポンスに含まれる特有の識別情報です |
| SP Initiated SSO | SPがSAMLリクエストをIdPに渡してユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです |
| SPメタデータ | SPに関する情報を含んだXMLファイルです。SPがSPメタデータを提供している場合、IIJ IDサービスでのアプリケーション登録にSPメタデータを利用できます |
| SSOエンドポイントURL | SPからIdPにSAMLリクエストを行う場合にアクセスするURLです |
| エンティティID (Entity ID) |
エンティティを一意に識別するIDです |
OpenID Connect
| 用語 | 説明 |
|---|---|
| Authorization Code Flow | RPがOPからIDトークンを受け取るフローの一つです。OPは認可コードを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します。RPは認可コードをOPに提示することで、IDトークンを取得します |
| Authorizationエンドポイント(autorhization_endpoint) | Authorizationエンドポイント(autorhization_endpoint) |
| Discoveryエンドポイント | Discovery情報を提供するエンドポイントです |
| Discovery情報 | OPが提供するエンドポイントや、対応する署名アルゴリズムなどの情報です |
| IDトークン | 認証についてのクレームを含んだJSON Webトークン(JWT) |
| Implicit Flow | RPがOPからIDトークンを受け取るフローの一つです。OPはIDトークンを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します |
| issuer | IDトークンの発行元です |
| JSON Web Key Set | 暗号鍵を表すJSONデータ(JWK)の集合です |
| OP (OpenID Provider) |
OpenID Connect規格に対応した、認証を実際に実施するサーバです |
| OpenID Connect | OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルのことです。IIJ IDサービスは、OpenID Connect Core 1.0をサポートします |
| RP(Relaying Party) | OpenID Connectを利用して利用者を認証し、利用者にサービスを提供するアプリケーションです |
| Tokenエンドポイント (token_endpoint) |
アクセストークン、IDトークン、またはリフレッシュトークンを取得するためのエンドポイント |
| Userinfoエンドポイント(userinfo_endpoint) | 認証されたユーザに関するクレームを返すエンドポイントです |
| アクセストークン | リソースサーバ上の保護された情報にアクセスするための資格情報となるトークンです |
| クライアントID (client_id) |
OPに登録されているRPを識別するためのIDです |
| クライアントシークレット (client_secret) |
RPがOPから発行されたIDトークンの署名検証に使用する秘密鍵です |
| クレーム (claim) |
ユーザの属性情報です |
| スコープ (scope) |
認可後にOPからRPに提供される属性情報を指定するための値です |
リダイレクトURL |
ログイン後にリダイレクトするURLです |
| リフレッシュトークン | アクセストークンを更新するためのトークンです |
Microsoft 365
| 用語 | 説明 |
|---|---|
| Graph API (プロビジョニングAPI) |
Microsoft Graph APIは、Azure ADが提供するAPIです。Microsoft Graph APIは、REST APIエンドポイントを介してAzure ADにプログラムによるアクセスを提供します。アプリで実行されるMicrosoft Graph APIを使用して、ディレクトリデータ及びユーザ、グループ、組織の連絡先などのディレクトリオブジェクトの作成、読み取り、更新、削除ができます |
| 最大アカウント解除率 | Azure ADからアカウントをインポートするときに、削除されるアカウントが設定値を超えるとインポートを中止します |