クレームベース ID の用語の定義
表 1 に、クレームベース ID に関連する重要な用語の定義を示します。
表 1. クレームベース ID に関連する用語の定義
| 用語 | 定義 |
|---|---|
| クレーム |
ある主題が自身について、または他の主題について作成するステートメント。 たとえば、名前、ID、キー、グループ、特権、または機能に関するステートメントがあります。 クレームは、プロバイダーによって発行され、1 つ以上の値が指定されてから、セキュリティ トークン サービス (STS) が発行するセキュリティ トークンにパッケージ化されます。 また、クレームの値の型、場合によっては関連付けられているメタデータによっても定義されます。 |
| クレームの名前 |
クレームの種類を示すわかりやすい名前。 |
| クレームの種類 |
クレームのステートメントの種類。 クレームの種類の例には、名、ロール、電子メール アドレスがあります。 クレームの種類は、クレームの値のコンテキストを提供し、通常、Uniform Resource Identifier (URI) として表されます。 たとえば、電子メール アドレス要求の種類は として http://schemas.microsoft.com/ws/2008/06/identity/claims/email表されます。 |
| クレームの値 |
クレームのステートメントの値。 たとえば、クレームの種類が ロールの場合、値は 投稿者の可能性があります。 また、クレームの種類が 名の場合、値は Matt の可能性があります。 |
| クレームの値の型 |
クレームの値の型。 たとえば、クレームの値が 投稿者の場合、クレームの値の型は String です。 |
| クレーム対応アプリケーション |
クレームを使用して ID およびユーザー アクセスを管理する証明書利用ソフトウェア アプリケーション。 |
| クレームベース ID |
特定のユーザー、アプリケーション、コンピューター、またはその他のエンティティを表す一意の識別子。 資格情報を何回も入力しなくても、こうしたエンティティが複数のリソース (アプリケーション、ネットワーク リソースなど) にアクセスできるようにします。 また、この ID によって、リソースがエンティティからの要求を検証することもできます。 |
| クレーム プロバイダー |
サインイン中に 1 つ以上のクレームを発行するときに使用できるソフトウェア コンポーネントまたはサービス。 このクレーム プロバイダーを使用して、カード セレクター (SharePoint のユーザー選択コントロールなど) でクレームの検索機能を表示、解決、および提供することもできます。 詳細については、「 SharePoint の要求プロバイダー」を参照してください。 |
| クレーム プロバイダー スキーマ |
また、この ID によって、リソースがエンティティからの要求を検証することもできます。 |
| クレーム プロバイダー: セキュリティ トークン サービス |
クレームを発行してセキュリティ トークンにパッケージ化するクレーム プロバイダーが使用するソフトウェア コンポーネントまたはサービス。 |
| デリゲート |
別のクライアントを偽装する権限が与えられているリッチ クライアント。 たとえば、ユーザー向け Web サイト Web1 がインフラストラクチャ データ サービス Data2 の CAL を取得するという状況について考えます。 Web1 にとっては、 Data2 にアクセスするときにユーザーを偽装すると便利な場合があります。 Web1 はフェデレーション サーバーにアクセスし、いずれかのユーザーを表すクレームを取得します。 アクセスされたフェデレーション サーバーは、 Web1 にデリゲートの権限が与えられているかどうか、また、与えられている場合は、偽装が許可されているかどうかを判断できます。 権限が与えられている場合、 Web1 はユーザーとして Data2 にアクセスできます。 |
| ID プロバイダー |
ID プロバイダーはクレーム プロバイダーの一種で、組織と他のクレーム プロバイダーおよび証明書利用者の間にシングル サインオン機能を提供します。 |
| ID プロバイダーのセキュリティ トークン サービスまたは証明書利用者のセキュリティ トークン サービス |
フェデレーション パートナーからのトークンを受け入れるために ID プロバイダーによって使用されるソフトウェア コンポーネントまたはサービス。その後、受信セキュリティ トークンの内容に関する要求とセキュリティ トークンを証明書利用者が使用できる形式に生成します。 セキュリティ トークン サービス (STS) は、信頼されたフェデレーション パートナーまたはクレーム プロバイダー STS からセキュリティ トークンを受け取ります。 次に、証明書利用者 STS は、ローカルの証明書利用者アプリケーションによって使用される新しいセキュリティ トークンを発行します。 |
| 証明書利用者 |
クレーム プロバイダーが発行するセキュリティ トークンのクレームに依存し、これを利用するアプリケーション。 たとえば、オンライン オークションの Web サイト組織は、対象が証明書利用者のアプリケーションのすべてまたは一部にアクセスできるかどうかを判断するクレームを持つ、セキュリティ トークンを受け取る場合があります。 |
| 証明書利用アプリケーション |
クレームを使用して、承認と認証に関する判断を行うソフトウェア。 証明書利用アプリケーションはクレーム プロバイダーからクレームを受け取ります。 |
| リッチ クライアント |
WS-Trust プロトコルを使用できるクライアント。 |
| SAML パッシブ サインイン |
SAML パッシブ サインインには、サインインのプロセスが記述されています。 信頼済みログイン プロバイダーからのトークンをそのまま受け入れるよう Web アプリケーションのサインインを構成する場合、この種類のサインインは SAML パッシブ サインインと呼ばれます。 詳細については、「 受信要求: SharePoint へのサインイン」を参照してください。 |
| SAML (Security Assertion Markup Language) セキュリティ トークン |
クレーム プロバイダーと証明書利用者間でクレームをやり取りするためのデータ形式。 |
| SAML (Security Assertion Markup Language) |
SAML 2.0 Core 仕様で定義された WebSSO プロトコル。 SAML プロトコルでは、HTTP Web ブラウザー リダイレクトを使用して、アサーション データを交換する方法が指定されます。 SAML は、安全な境界を超えてユーザーを認証および承認するときに使用します。 |
| セキュリティ トークン |
クレームの発行者によって暗号化署名された送信中のクレームの表現。証明書利用者に対して、クレームの整合性と発行者の ID に関して強い保証を提供します。 |
| セキュリティ トークン サービス (STS) |
クレームを発行し、暗号化されたセキュリティ トークンにパッケージ化する Web サービス。 詳細については、「 WS-Security と WS-Trust」を参照してください。 |
| 信頼の確立 |
クレーム プロバイダーと証明書利用アプリケーション間で信頼関係が確立されるプロセス。 このプロセスでは、クレーム プロバイダーが発行するクレームのコンテンツを証明書利用者が信頼できるようにする識別証明書を交換します。 |
| 信頼済みログイン プロバイダー |
SharePoint が信頼する外部 (つまり、SharePoint 外の) STS。 |
| Web シングル サインオン (SSO) |
パートナー組織がユーザー承認および認証データを交換できるようにするプロセス。 Web SSO を使用すると、ドメイン境界ごとに資格情報を提示しなくても、パートナー組織のユーザーが安全な Web ドメイン間を移動できます。 |
| WS-Federation |
フェデレーションで使用される WS-Federation パッシブ プロトコルおよび他のプロトコル拡張を定義する OASIS (Organization for the Advancement of Structured Information Standards) 標準仕様。 WS-Federation 標準は、さまざまな信頼領域にわたって ID、属性、認証、および承認フェデレーションを有効にするときに使用するメカニズムを定義します。 WS-Federation の詳細については、「 WS-Federation について」を参照してください。 |
| WS-Federation パッシブ |
HTTP Web ブラウザー リダイレクトを使用して、クレーム プロバイダーからクレームを要求するためのプロトコル。 このプロトコルは、WS-Federation 1.2 仕様のセクション 13 に記載されています。 |
| WS-Federation のパッシブな要求側プロファイル |
WS-Federation のパッシブな要求側プロファイルには、Web ブラウザーなどのパッシブな要求側が、WS-Federation で定義されている相互信頼領域 ID、認証、および承認フェデレーション メカニズムを使用して、どのように ID サービスを提供するかが記述されています。 このプロファイルのパッシブな要求側は HTTP プロトコルに制限されています。 |
| WS-Security |
WS-Security 標準は、SOAP を使用して、セキュリティで保護された Web サービス通信を支援するように設計された一連のプロトコルです。 WS-Security の詳細については、 OASIS Web サービス セキュリティ (WSS) TC に関するページを参照してください。 |
| WS-Trust |
WS-Security を使用して Web サービスに対して信頼関係の構築および検証手段を提供する標準。 WS-Trust の詳細については、 OASIS Web Services Secure Exchange (WS-SX) TC の OASIS Web サイトを参照してください。 |