用語説明
SAML
| 用語 | 説明 |
|---|---|
| IdP Initiated SSO | SPからの認証リクエストを受け取らずにIdPがユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです |
| IdPメタデータ | IdPに関する情報を含んだXMLファイルです。SPがIdPメタデータによってSAML連携が設定できる場合、IIJ IDサービスが提供するIdPメタデータを利用できます |
SAML (Security Assertion Markup Language) | 異なるドメイン間でユーザ認証情報を交換できるXMLベースの標準規格です。IIJ IDサービスは、SAML 2.0をサポートします |
| SAML IdP (Identity Provider) | ユーザの認証を行い、SPに認証情報を提供するエンティティです |
| SAML SP (Service Provider) | ユーザにサービスを提供するエンティティです |
SAML属性ステートメント (SAML Attribute Statement) | SAMLレスポンスに含まれる特有の識別情報です |
| SP Initiated SSO | SPがSAMLリクエストをIdPに渡してユーザの認証を開始し、認証後にIdPがSPにSAMLレスポンスを渡してシングルサインオンを行うことです |
| SPメタデータ | SPに関する情報を含んだXMLファイルです。SPがSPメタデータを提供している場合、IIJ IDサービスでのアプリケーション登録にSPメタデータを利用できます |
| SSOエンドポイントURL | SPからIdPにSAMLリクエストを行う場合にアクセスするURLです |
| エンティティID (Entity ID) | エンティティを一意に識別するIDです |
OpenID Connect
| 用語 | 説明 |
|---|---|
| Authorization Code Flow | RPがOPからIDトークンを受け取るフローの一つです。OPは認可コードを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します。RPは認可コードをOPに提示することで、IDトークンを取得します |
| Authorizationエンドポイント(autorhization_endpoint) | ユーザの認証を行なうエンドポイントです |
| Discoveryエンドポイント | Discovery情報を提供するエンドポイントです |
| Discovery情報 | OPが提供するエンドポイントや、対応する署名アルゴリズムなどの情報です |
| IDトークン | 認証についてのクレームを含んだJSON Webトークン(JWT) |
| Implicit Flow | RPがOPからIDトークンを受け取るフローの一つです。OPはIDトークンを認可リクエスト時に指定されたリダイレクトURLに付与して、RPに受け渡します |
| issuer | IDトークンの発行元です |
| JSON Web Key Set | 暗号鍵を表すJSONデータ(JWK)の集合です |
| OP(OpenID Provider) | OpenID Connect規格に対応した、認証を実際に実施するサーバです |
| OpenID Connect | OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルのことです。IIJ IDサービスは、OpenID Connect Core 1.0をサポートします |
| RP(Relaying Party) | OpenID Connectを利用して利用者を認証し、利用者にサービスを提供するアプリケーションです |
| Tokenエンドポイント(token_endpoint) | アクセストークン、IDトークン、またはリフレッシュトークンを取得するためのエンドポイント |
| Userinfoエンドポイント(userinfo_endpoint) | 認証されたユーザに関するクレームを返すエンドポイントです |
| アクセストークン | リソースサーバ上の保護された情報にアクセスするための資格情報となるトークンです |
| クライアントID(client_id) | OPに登録されているRPを識別するためのIDです |
クライアントシークレット (client_secret) | RPがOPから発行されたIDトークンの署名検証に使用する秘密鍵です |
| クレーム(claim) | ユーザの属性情報です |
| スコープ(scope) | 認可後にOPからRPに提供される属性情報を指定するための値です |
リダイレクトURL (redirect_uri) | ログイン後にリダイレクトするURLです |
| リフレッシュトークン | アクセストークンを更新するためのトークンです |
Office 365 / Dynamics 365
| 用語 | 説明 |
|---|---|
| Graph API(プロビジョニングAPI) | Microsoft Graph APIは、Azure ADが提供するAPIです。Microsoft Graph APIは、REST APIエンドポイントを介してAzure ADにプログラムによるアクセスを提供します。アプリで実行されるMicrosoft Graph APIを使用して、ディレクトリデータ及びユーザ、グループ、組織の連絡先などのディレクトリオブジェクトの作成、読み取り、更新、削除ができます |
| 最大アカウント解除率 | Azure ADからアカウントをインポートするときに、削除されるアカウントが設定値を超えるとインポートを中止します アカウント解除率の計算は以下のように行われます (インポートによって削除されるアカウント数 / 外部ユーザストア連携しているアカウント数)× 100 |