クレームベース ID の用語の定義
最終更新日: 2015年3月9日
適用対象: SharePoint Foundation 2010
表 1 に、クレームベース ID に関連する重要な用語の定義を示します。
表 1. 用語の定義
用語 |
定義 |
|---|---|
クレーム |
ある主題が自身について、または他の主題について作成するステートメント。たとえば、名前、ID、キー、グループ、特権、または機能に関するステートメントがあります。クレームは、プロバイダーによって発行され、1 つ以上の値が指定されてから、セキュリティ トークン サービス (STS) が発行するセキュリティ トークンにパッケージ化されます。また、クレームの値の型、場合によっては関連付けられているメタデータによっても定義されます。 |
クレーム名 |
クレームの種類を示すわかりやすい名前。 |
クレームの種類 |
クレームのステートメントの種類。クレームの種類の例には、名、ロール、電子メール アドレスがあります。クレームの種類は、クレームの値のコンテキストを提供し、通常、Uniform Resource Identifier (URI) として表されます。たとえば、電子メール アドレスのクレームの種類は、https://schemas.microsoft.com/ws/2008/06/identity/claims/email です。 |
クレームの値 |
クレームのステートメントの値。たとえば、クレームの種類がロールの場合、値は投稿者の可能性があります。また、クレームの種類が名の場合、値は Matt の可能性があります。 |
クレームの値の型 |
クレームの値の型。たとえば、クレームの値が投稿者の場合、クレームの値の型は String です。 |
クレーム対応アプリケーション |
クレームを使用して ID およびユーザー アクセスを管理する証明書利用ソフトウェア アプリケーション。 |
クレームベース ID |
特定のユーザー、アプリケーション、コンピューター、またはその他のエンティティを表す一意の識別子。資格情報を何回も入力しなくても、こうしたエンティティが、アプリケーション、ネットワーク リソースなどの複数のリソースにアクセスできるようにします。また、この ID によって、リソースがエンティティからの要求を検証することもできます。 |
クレーム プロバイダー |
サインイン中に 1 つ以上のクレームを発行するときに使用できるソフトウェア コンポーネントまたはサービス。このクレーム プロバイダーを使用して、カード セレクター (SharePoint のユーザー選択コントロールなど) でクレームの検索機能を表示、解決、および提供することもできます。詳細については、「クレーム プロバイダー」を参照してください。 |
クレーム プロバイダー スキーマ |
特定のクレーム プロバイダーによって発行されたクレームのメタデータとして返す必要があるフィールドを指定するスキーマ。 |
クレーム プロバイダー – セキュリティ トークン サービス |
クレームを発行してセキュリティ トークンにパッケージ化するクレーム プロバイダーが使用するソフトウェア コンポーネントまたはサービス。 |
デリゲート |
別のクライアントを偽装する権限が与えられているリッチ クライアント。たとえば、ユーザー向け Web サイト Web1 がインフラストラクチャ データ サービス Data2 の CAL を取得するという状況について考えます。Web1 にとっては、Data2 にアクセスするときにユーザーを偽装すると便利な場合があります。そこで、Web1 はフェデレーション サーバーにアクセスし、いずれかのユーザーを表すクレームを取得します。アクセスされたフェデレーション サーバーは、Web1 にデリゲートの権限が与えられているかどうか、また、与えられている場合は、偽装が許可されているかどうかを判断できます。権限が与えられている場合、Web1 はユーザーとして Data2 にアクセスできます。 |
ID プロバイダー |
フェデレーション プロバイダーはクレーム プロバイダーの一種で、組織と他のクレーム プロバイダーおよび証明書利用者の間にシングル サインオン機能を提供します。 |
ID プロバイダーのセキュリティ トークン サービスまたは証明書利用者のセキュリティ トークン サービス |
ID プロバイダーが使用するソフトウェア コンポーネントまたはサービス。フェデレーション パートナーからトークンを受け取り、受信セキュリティ トークンのコンテンツのクレームおよびセキュリティ トークンを生成し、証明書利用者が使用できる形式にします。セキュリティ トークン サービス (STS) は、信頼されたフェデレーション パートナーまたはクレーム プロバイダー STS からセキュリティ トークンを受け取ります。その後、証明書利用者 STS が、ローカルの証明書利用アプリケーションによって使用される新しいセキュリティ トークンを発行します。 |
証明書利用者 |
クレーム プロバイダーが発行するセキュリティ トークンのクレームに依存し、これを利用するアプリケーション。たとえば、オンライン オークションの Web サイト組織は、対象が証明書利用者のアプリケーションのすべてまたは一部にアクセスできるかどうかを判断するクレームを持つ、セキュリティ トークンを受け取る場合があります。 |
証明書利用アプリケーション |
クレームを使用して、承認と認証に関する判断を行うソフトウェア。証明書利用アプリケーションはクレーム プロバイダーからクレームを受け取ります。 |
リッチ クライアント |
WS-Trust プロトコルを使用できるクライアント。 |
SAML パッシブ サインイン |
SAML パッシブ サインインには、サインインのプロセスが記述されています。Web アプリケーションのサインインが、信頼済みログイン プロバイダーからトークンを受け取るように構成されている場合、この種類のサインインは SAML パッシブ サインインと呼ばれます。詳細については、「受信クレーム: SharePoint にサインインする」を参照してください。 |
SAML (Security Assertion Markup Language) セキュリティ トークン |
クレーム プロバイダーと証明書利用者間でクレームをやり取りするためのデータ形式。 |
SAML (Security Assertion Markup Language) |
SAML 2.0 Core 仕様で定義された WebSSO プロトコル。SAML プロトコルでは、HTTP Web ブラウザー リダイレクトを使用して、アサーション データを交換する方法が指定されます。SAML は、安全な境界を超えてユーザーを認証および承認するときに使用します。 |
セキュリティ トークン |
クレームの発行者によって暗号化署名された送信中のクレームの表現。証明書利用者に対して、クレームの整合性と発行者の ID に関して強い保証を提供します。 |
セキュリティ トークン サービス (STS) |
クレームを発行し、暗号化されたセキュリティ トークンにパッケージ化する Web サービス。詳細については、「WS-Security (英語)」および「WS-Trust (英語)」を参照してください。 |
信頼の確立 |
クレーム プロバイダーと証明書利用アプリケーション間で信頼関係が確立されるプロセス。このプロセスでは、クレーム プロバイダーが発行するクレームのコンテンツを証明書利用者が信頼できるようにする識別証明書を交換します。 |
信頼済みログイン プロバイダー |
SharePoint が信頼する外部 (つまり、SharePoint 外の) STS。 |
Web シングル サインオン (SSO) |
パートナー組織がユーザー承認および認証データを交換できるようにするプロセス。Web SSO を使用すると、ドメイン境界ごとに資格情報を提示しなくても、パートナー組織のユーザーが安全な Web ドメイン間を移動できます。 |
WS-Federation |
フェデレーションで使用される WS-Federation パッシブ プロトコルおよび他のプロトコル拡張を定義する OASIS (Organization for the Advancement of Structured Information Standards) 標準仕様。WS-Federation 標準は、さまざまな信頼領域にわたって ID、属性、認証、および承認フェデレーションを有効にするときに使用するメカニズムを定義します。WS-Federation の詳細については、MSDN Web サイトの「Understanding WS-Federation」を参照してください。 |
WS-Federation パッシブ |
HTTP Web ブラウザー リダイレクトを使用して、クレーム プロバイダーからクレームを要求するためのプロトコル。このプロトコルは、WS-Federation 1.2 仕様のセクション 13 に記載されています。 |
WS-Federation のパッシブな要求側プロファイル |
WS-Federation のパッシブな要求側プロファイルには、Web ブラウザーなどのパッシブな要求側が、WS-Federation で定義されている相互信頼領域 ID、認証、および承認フェデレーション メカニズムを使用して、どのように ID サービスを提供するかが記述されています。このプロファイルのパッシブな要求側は HTTP プロトコルに制限されています。WS-Federation のパッシブな要求側プロファイルの詳細については、MSDN Web サイトの「WS-Federation: Passive Requestor Profile」の仕様を参照してください。 |
WS-Security |
WS-Security 標準は、SOAP を使用して、セキュリティで保護された Web サービス通信を支援するように設計された一連のプロトコルです。WS-Security の詳細については、OASIS サイトの「OASIS Web Services Security (WSS) TC (英語)」を参照してください。 |
WS-Trust |
WS-Security を使用して Web サービスに対して信頼関係の構築および検証手段を提供する標準。WS-Trust の詳細については、OASIS サイトの「OASIS Web Services Secure Exchange (WS-SX) TC (英語)」を参照してください。 |
関連項目
その他の技術情報
Web Services Federation Language (WS-Federation) Version 1.2 (英語)