Azure AD B2C Identity Experience Framework で信頼フレームワークを定義するDefine Trust Frameworks with Azure AD B2C Identity Experience Framework

Identity Experience Framework を使う Azure Active Directory B2C (Azure AD B2C) カスタム ポリシーは、組織に集中型のサービスを提供します。Azure Active Directory B2C (Azure AD B2C) custom policies that use the Identity Experience Framework provide your organization with a centralized service. このサービスは、大規模な関係者コミュニティで ID フェデレーションの複雑さを軽減します。This service reduces the complexity of identity federation in a large community of interest. 複雑さは、1 つの信頼関係と、1 つのメタデータ交換に削減されます。The complexity is reduced to a single trust relationship and a single metadata exchange.

Identity Experience Framework を使う Azure AD B2C カスタム ポリシーを利用すると、以下の質問に答えられるようになります。Azure AD B2C custom policies use the Identity Experience Framework to enable you to answer the following questions:

  • 遵守しなければならない法的ポリシー、セキュリティ ポリシー、プライバシー ポリシー、データ保護ポリシーとは何か。What are the legal, security, privacy, and data protection policies that must be adhered to?
  • 連絡先はだれか。認定参加者になるためのプロセスとはどのようなものか。Who are the contacts and what are the processes for becoming an accredited participant?
  • 認定 ID 情報プロバイダー ("要求プロバイダー" とも呼ばれます) はだれか。何を提供するのか。Who are the accredited identity information providers (also known as "claims providers") and what do they offer?
  • 認定証明書利用者はだれか。何を必要とするのか (任意)。Who are the accredited relying parties (and optionally, what do they require)?
  • 参加者に求められる技術的な "ネットワーク上の" 相互運用性要件とは。What are the technical “on the wire” interoperability requirements for participants?
  • デジタル ID 情報の交換に関して適用される必要がある "ランタイム" 運用ルールとは。What are the operational “runtime” rules that must be enforced for exchanging digital identity information?

これらの質問すべてに回答するために、Identity Experience Framework を使う Azure AD B2C カスタム ポリシーでは、信頼フレームワーク (TF) コンストラクトを使っています。To answer all these questions, Azure AD B2C custom policies that use the Identity Experience Framework use the Trust Framework (TF) construct. では、このコンストラクトと、それが何に役立つかを考えてみましょう。Let’s consider this construct and what it provides.

信頼フレームワークとフェデレーションの管理基盤についてUnderstand the Trust Framework and federation management foundation

信頼フレームワークは、関係者コミュニティの参加者が準拠しなければならない ID、セキュリティ、プライバシー、データ保護の各ポリシーについて記述された仕様です。The Trust Framework is a written specification of the identity, security, privacy, and data protection policies to which participants in a community of interest must conform.

フェデレーション ID は、インターネット規模でのエンド ユーザー ID 保証を実現するための基盤となります。Federated identity provides a basis for achieving end-user identity assurance at Internet scale. ID 管理を第三者に委任することで、エンド ユーザー用の単一のデジタル ID を複数の証明書利用者が再利用できます。By delegating identity management to third parties, a single digital identity for an end user can be reused with multiple relying parties.

ID 保証を実現するには、ID プロバイダー (IdP) と属性プロバイダー (AtP) が、特定のセキュリティ、プライバシー、運用に関するポリシーと実施方法に従う必要があります。Identity assurance requires that identity providers (IdPs) and attribute providers (AtPs) adhere to specific security, privacy, and operational policies and practices. 直接の検査を実行できない場合、証明書利用者 (RP) は、連携することに決めた IdP および AtP との信頼関係を構築する必要があります。If they can't perform direct inspections, relying parties (RPs) must develop trust relationships with the IdPs and AtPs they choose to work with.

デジタル ID 情報の利用者と提供者の数が増大するにつれ、このような信頼関係の対ごとの管理や、ネットワークの接続性に必要な技術メタデータの対ごとの交換を継続的に行うことが難しくなります。As the number of consumers and providers of digital identity information grows, it's difficult to continue pairwise management of these trust relationships, or even the pairwise exchange of the technical metadata that's required for network connectivity. フェデレーション ハブでは、こうした問題を限定的にしか解決できていません。Federation hubs have achieved only limited success at solving these problems.

信頼フレームワークの仕様では何が定義されているかWhat a Trust Framework specification defines

TF は Open Identity Exchange (OIX) の信頼フレームワーク モデルの要であり、このモデルでは、各関係者コミュニティが特定の TF 仕様によって管理されます。TFs are the linchpins of the Open Identity Exchange (OIX) Trust Framework model, where each community of interest is governed by a particular TF specification. このような TF 仕様によって、以下のような点が定義されます。Such a TF specification defines:

  • 以下の定義を含む関係者コミュニティのセキュリティおよびプライバシー メトリック:The security and privacy metrics for the community of interest with the definition of:

    • 参加者によって提供または要求される保証のレベル (LOA)。たとえば、デジタル ID 情報の信頼性に関する信頼評価値の順序付けされたセット。The levels of assurance (LOA) that are offered/required by participants; for example, an ordered set of confidence ratings for the authenticity of digital identity information.
    • 参加者によって提供または要求される保護のレベル (LOP)。たとえば、関係者コミュニティの参加者が扱うデジタル ID 情報の保護に関する信頼評価値の順序付けされたセット。The levels of protection (LOP) that are offered/required by participants; for example, an ordered set of confidence ratings for the protection of digital identity information that's handled by participants in the community of interest.
  • 参加者によって提供または要求されるデジタル ID 情報についての説明The description of the digital identity information that's offered/required by participants.

  • デジタル ID 情報の作成と使用、および LOA と LOP の測定に関する技術ポリシー。このような文書化されたポリシーには、通常、以下のようなカテゴリが含まれています。The technical policies for production and consumption of digital identity information, and thus for measuring LOA and LOP. These written policies typically include the following categories of policies:

    • ID 証明ポリシー。例: 個人の ID 情報がどれだけ詳細に審査されているか。Identity proofing policies, for example: How strongly is a person’s identity information vetted?
    • セキュリティ ポリシー。例: 情報の整合性と機密性がどれだけ強力に保護されているか。Security policies, for example: How strongly are information integrity and confidentiality protected?
    • プライバシー ポリシー。例: 個人を特定できる情報 (PII) をユーザーがどのように管理できるか。Privacy policies, for example: What control does a user have over personal identifiable information (PII)?
    • 存続可能性ポリシー。例: プロバイダーが運用を中止した場合の PII 機能の継続性と保護。Survivability policies, for example: If a provider ceases operations, how does continuity and protection of PII function?
  • デジタル ID 情報の作成と使用に関する技術プロファイル。このプロファイルには、以下のものが含まれます。The technical profiles for production and consumption of digital identity information. These profiles include:

    • 指定された LOA でデジタル ID 情報を提供するためのスコープのインターフェイス。Scope interfaces for which digital identity information is available at a specified LOA.
    • ネットワーク上の相互運用性に関する技術要件。Technical requirements for on-the-wire interoperability.
  • コミュニティの参加者が実行できるさまざまなロールと、それらのロールを果たすために必要とされる資格についての説明。The descriptions of the various roles that participants in the community can perform and the qualifications that are required to fulfill these roles.

このように、TF 仕様によって関係者コミュニティの参加者 (証明書利用者、ID および属性プロバイダー、属性検証者) 間における ID 情報の交換方法が決まります。Thus a TF specification governs how identity information is exchanged between the participants of the community of interest: relying parties, identity and attribute providers, and attribute verifiers.

TF 仕様は、関係者コミュニティのガバナンスに関する参照として機能し、コミュニティ内でのデジタル ID 情報のアサーションと使用を規定する 1 つまたは複数のドキュメントです。A TF specification is one or multiple documents that serve as a reference for the governance of the community of interest that regulates the assertion and consumption of digital identity information within the community. TF 仕様は、関係者コミュニティのメンバー間でオンライン トランザクションに使用されるデジタル ID の信頼を確立するために設計され、ドキュメント化された、一連のポリシーと手順です。It's a documented set of policies and procedures designed to establish trust in the digital identities that are used for online transactions between members of a community of interest.

言い換えれば、TF 仕様には、コミュニティのために実行可能なフェデレーション ID エコシステムを作成するためのルールが定義されています。In other words, a TF specification defines the rules for creating a viable federated identity ecosystem for a community.

現在、このようなアプローチの利点について広く合意が得られています。Currently there's widespread agreement on the benefit of such an approach. 信頼フレームワーク仕様によって、検証可能なセキュリティ、保証、およびプライバシー特性を備えたデジタル ID エコシステムの開発が容易になることには疑問の余地がなく、複数の関係者コミュニティ間でエコシステムを再利用できることになります。There's no doubt that trust framework specifications facilitate the development of digital identity ecosystems with verifiable security, assurance and privacy characteristics, meaning that they can be reused across multiple communities of interest.

このような理由から、Identity Experience Framework を使った Azure AD B2C カスタム ポリシーでは、相互運用性を促進するために、仕様を TF のデータ表現の基盤として使っています。For that reason, Azure AD B2C custom policies that use the Identity Experience Framework uses the specification as the basis of its data representation for a TF to facilitate interoperability.

Identity Experience Framework を活用した Azure AD B2C カスタム ポリシーでは、TF 仕様を、人とコンピューターが読み取れるデータの混合物として表します。Azure AD B2C Custom policies that leverage the Identity Experience Framework represent a TF specification as a mixture of human and machine-readable data. このモデルの一部のセクション (通常は、よりガバナンスに向けたセクション) は、発行済みのセキュリティおよびプライバシー ポリシーに関するドキュメントと、関連する手順 (存在する場合) への参照として表されます。Some sections of this model (typically sections that are more oriented toward governance) are represented as references to published security and privacy policy documentation along with the related procedures (if any). その他のセクションでは、運用の自動化を促進する、構成メタデータとランタイム ルールが詳細に記述されます。Other sections describe in detail the configuration metadata and runtime rules that facilitate operational automation.

信頼フレームワーク ポリシーについてUnderstand Trust Framework policies

実装の面では、TF 仕様は、ID の動作とエクスペリエンスを完全に制御できるようにするポリシーのセットから構成されます。In terms of implementation, the TF specification consists of a set of policies that allow complete control over identity behaviors and experiences. Identity Experience Framework を活用した Azure AD B2C カスタム ポリシーでは、そのような宣言型のポリシーを通じて、以下に示す内容の定義と構成が可能な独自の TF を作成できます。Azure AD B2C custom policies that leverage the Identity Experience Framework enable you to author and create your own TF through such declarative policies that can define and configure:

  • TF に関連するコミュニティのフェデレーション ID エコシステムを定義している単数または複数のドキュメントの参照。The document reference or references that define the federated identity ecosystem of the community that relates to the TF. これは TF ドキュメントへのリンクです。They are links to the TF documentation. 要求の交換と使用を自動化/制御する (定義済みの) "ランタイム" 運用ルールまたはユーザー体験。The (predefined) operational “runtime” rules, or the user journeys that automate and/or control the exchange and usage of the claims. このユーザー体験は LOA (および LOP) に関連付けられています。These user journeys are associated with a LOA (and a LOP). このため、1 つのポリシーに、さまざまな LOA (および LOP) のユーザー体験が含まれる可能性があります。A policy can therefore have user journeys with varying LOAs (and LOPs).

  • 関係者コミュニティ内の ID および属性プロバイダー、または要求プロバイダーと、コミュニティでサポートされている技術プロファイル、およびコミュニティに関連する (アウトオブバンド) LOA/LOP 認定。The identity and attribute providers, or the claims providers, in the community of interest and the technical profiles they support along with the (out-of-band) LOA/LOP accreditation that relates to them.

  • 属性検証者や要求プロバイダーとの統合。The integration with attribute verifiers or claims providers.

  • コミュニティ内の証明書利用者 (推定)。The relying parties in the community (by inference).

  • 参加者間でネットワーク通信を確立するためのメタデータ。The metadata for establishing network communications between participants. このメタデータは、証明書利用者と他のコミュニティ参加者との間に "ネットワーク上の" 相互運用性を組み込むため、技術プロファイルと共にトランザクション中に使用されます。This metadata, along with the technical profiles, are used during a transaction to plumb “on the wire” interoperability between the relying party and other community participants.

  • 必要に応じたプロトコル変換 (例: SAML 2.0、OAuth2、WS-Federation、OpenID Connect)。The protocol conversion if any (for example, SAML 2.0, OAuth2, WS-Federation, and OpenID Connect).

  • 認証要件。The authentication requirements.

  • 多要素オーケストレーション (必要な場合)。The multifactor orchestration if any.

  • 利用できるすべての要求と関係者コミュニティの参加者へのマッピングに関する共有スキーマ。A shared schema for all the claims that are available and mappings to participants of a community of interest.

  • 要求の交換と使用を維持するためのすべての要求変換と、その場合に可能なデータ最小化。All the claims transformations, along with the possible data minimization in this context, to sustain the exchange and usage of the claims.

  • バインディングと暗号化。The binding and encryption.

  • 要求ストレージ。The claims storage.

要求についてUnderstand claims

注意

エンド ユーザーの認証資格情報、ID 審査、通信デバイス、物理的な場所、個人を特定できる属性などについての要求を含む、交換される可能性があるすべての種類の ID 情報をまとめて要求と呼びます。We collectively refer to all the possible types of identity information that might be exchanged as "claims": claims about an end user’s authentication credential, identity vetting, communication device, physical location, personally identifying attributes, and so on.

オンラインのトランザクションでは、これらのデータ アーティファクトは証明書利用者が直接検証できるファクトではないため、"属性" ではなく "要求" という用語を使っています。We use the term "claims"--rather than "attributes"--because in online transactions, these data artifacts are not facts that can be directly verified by the relying party. これらはむしろ、エンド ユーザーから要求されたトランザクションを許可するために、証明書利用者が十分な信頼を築く必要があるという事実についてのアサーション (要求) なのです。Rather they're assertions, or claims, about facts for which the relying party must develop sufficient confidence to grant the end user’s requested transaction.

"要求" という用語を使っているのは、Identity Experience Framework を使った Azure AD B2C カスタム ポリシーが、ユーザー認証や属性の取得の基盤となるプロトコルが定義されているかどうかに関係なく、一貫した方法ですべての種類のデジタル ID 情報の交換を簡易化できるように設計されているためでもあります。We also use the term "claims" because Azure AD B2C custom policies that use the Identity Experience Framework are designed to simplify the exchange of all types of digital identity information in a consistent manner regardless of whether the underlying protocol is defined for user authentication or attribute retrieval. 同様に、ID プロバイダー、属性プロバイダー、属性検証者の特定の機能を区別したくない場合に、それらをまとめて指す用語として、"要求プロバイダー" を使用します。Likewise, we use the term "claims providers" to collectively refer to identity providers, attribute providers, and attribute verifiers when we do not want to distinguish between their specific functions.

上記のように、これらの定義によって証明書利用者、ID および属性プロバイダー、属性検証者の間での ID 情報の交換方法が決まります。Thus they govern how identity information is exchanged between a relying party, identity and attribute providers, and attribute verifiers. また、証明書利用者の認証にどの ID および属性プロバイダーが必要かという点が、これらの定義によって制御されます。They control which identity and attribute providers are required for a relying party’s authentication. これらは、継承、if ステートメント、ポリモーフィズムを備え、特定のアプリケーション ドメインに特化したコンピューター言語である、ドメイン固有言語 (DSL) だと考える必要があります。They should be considered as a domain-specific language (DSL), that is, a computer language that's specialized for a particular application domain with inheritance, if statements, polymorphism.

これらのポリシーは、Identity Experience Framework を活用する Azure AD B2C カスタム ポリシー内の、コンピューターが読み取り可能な TF コンストラクトの一部を構成します。These policies constitute the machine-readable portion of the TF construct in Azure AD B2C Custom policies leveraging the Identity Experience Framework. ポリシーには、要求プロバイダーのメタデータと技術プロファイル、要求スキーマの定義、要求変換機能、運用の調整と自動化を容易にするために書き込まれるユーザー体験を含め、運用上の詳細がすべて含められます。They include all the operational details, including claims providers’ metadata and technical profiles, claims schema definitions, claims transformation functions, and user journeys that are filled in to facilitate operational orchestration and automation.

時間が経過すれば、ポリシーで宣言されたアクティブな参加者に関する内容は変化する可能性が高いため、ポリシーは生きたドキュメントになると想定されています。They are assumed to be living documents because there is a good chance that their contents will change over time concerning the active participants declared in the policies. 参加者であるための条件が変わる可能性もあります。There is also the potential that the terms and conditions for being a participant might change.

一連のポリシー (によって表されるコミュニティ) への別の要求プロバイダー/検証者の参加や脱退に伴う信頼および接続性の再構成から証明書利用者を保護することにより、フェデレーションのセットアップとメンテナンスは大幅に簡易化できます。Federation setup and maintenance are vastly simplified by shielding relying parties from ongoing trust and connectivity reconfigurations as different claims providers/verifiers join or leave (the community represented by) the set of policies.

相互運用性は、もう 1 つの大きな課題です。Interoperability is another significant challenge. 証明書利用者が必要なすべてのプロトコルをサポートしている可能性は低いため、追加のクレーム プロバイダー/検証者を統合する必要があります。Additional claims providers/verifiers must be integrated, because relying parties are unlikely to support all the necessary protocols. Azure AD B2C カスタム ポリシーは、業界標準のプロトコルをサポートし、証明書利用者と属性プロバイダーが同じプロトコルをサポートしていない場合に要求を置き換える特定のユーザー体験を適用することで、この問題を解決します。Azure AD B2C custom policies solve this problem by supporting industry-standard protocols and by applying specific user journeys to transpose requests when relying parties and attribute providers do not support the same protocol.

ユーザー体験には、証明書利用者と他の参加者の間に "ネットワーク上の" 相互運用性を組み込むために使用される、プロトコル プロファイルとメタデータが含まれています。User journeys include protocol profiles and metadata that are used to plumb “on the wire” interoperability between the relying party and other participants. また、TF 仕様の一部として発行されたポリシーへのコンプライアンスを強制するために、ID 情報の交換要求/応答メッセージに適用されるランタイム運用ルールもあります。There are also operational runtime rules that are applied to identity information exchange request/response messages for enforcing compliance with published policies as part of the TF specification. ユーザー体験は、カスタマー エクスペリエンスのカスタマイズの鍵となる概念です。The idea of user journeys is key to the customization of the customer experience. システムがプロトコル レベルでどのように機能するかも明らかにされます。It also sheds light on how the system works at the protocol level.

このようなしくみを基に、証明書利用者アプリケーションとポータルでは、コンテキストに応じて Identity Experience Framework を活用した Azure AD B2C カスタム ポリシーを呼び出し、その際に特定のポリシーの名前を渡すことで、面倒やリスクを伴わずに必要な動作と情報交換を正確に行うことができます。On that basis, relying party applications and portals can, depending on their context, invoke Azure AD B2C custom policies that leverage the Identity Experience Framework passing the name of a specific policy and get precisely the behavior and information exchange they want without any muss, fuss, or risk.