用語集

  • [アーティクル]

アクセス コントロール。特定のリソースの承認判断を行うプロセス。

アクセス コントロール ルール。あるクレーム セットを別のクレーム セットに変換するために使用されるステートメント。"Role=Contributor" というクレームを所有するサブジェクトは "CanAddDocuments=True" というクレームも所有する必要がある、というステートメントは、アクセス コントロール ルールの一例です。各アクセス コントロール システムは、入力クレームにルールを適用するためのルール構文およびメソッドをそれぞれ独自に持ちます。

アクセス コントロール システム (ACS)。承認判断の役割を持つソフトウェア システムの部分。

アカウント管理。ユーザー ID を保守するプロセス。

ActAs。サードパーティが偽装を使用してサブジェクトの代わりに操作を実行することを許可する委任ロール。

アクティブ クライアント。クレーム プロバイダーを直接呼び出すクレーム ベースのアプリケーション コンポーネント。パッシブ クライアントと比較してください。

Active Directory Federation Services (ADFS)。発行者となる Windows® オペレーティング システムのコンポーネント。クレームを発行および変換し、フェデレーションを有効にし、ユーザー アクセスを管理します。

アクティブ フェデレーション。HTTP プロトコルのリダイレクト機能を使用せずにクレーム プロバイダーにアクセスする手法。アクティブ フェデレーションでは、メッセージ交換の両方のエンドポイントがクレームに対応します。パッシブ フェデレーションと比較してください。

アサーション。閉ドメイン モデルのセキュリティ内で、本質的に信頼されているユーザーに関するステートメント。本質的な信頼を持つアサーションは、クレームの発行者との信頼関係が存在する範囲内でのみ信頼されるクレームとは対照的です。

認証。ID を検証するプロセス。

証明機関。秘密キーの信頼されている所有者。

承認。「承認判断」を参照してください。

承認判断。特定の ID を持つサブジェクトが特定のリソースにアクセスできるかどうかの判断。

バックエンド サーバー。インターネットに公開されていないか、ユーザーと直接やり取りしないコンピューティング リソース。

ブラインド資格情報。あるユーザーについて、そのユーザーのアイデンティティを明らかにしないが、承認判断には関連する、信頼された事実。たとえば、22 歳以上のユーザーというアサーションを、アクセスを許可するために使用できます。

ブートストラップ トークン。ID 委任の要求の一部としてクレーム プロバイダーに渡されるセキュリティ トークン。これは、ActAs 委任シナリオの一部です。

証明書。ID のデジタル署名付きステートメント。

証明機関。X.509 証明書を発行するエンティティ。

クレーム。サブジェクトに関するステートメント。たとえば、あるサブジェクトが自分自身または他のサブジェクトについて作成した名前、ID、キー、グループ、アクセス許可、または機能です。クレームには 1 つ以上の値が与えられ、発行者が配布するセキュリティ トークンにパッケージ化されます。

クレーム モデル。特定のアプリケーションに対して選択されたクレームのボキャブラリ。クレーム プロバイダーとクレーム ベースのアプリケーションは、このクレームのボキャブラリについて同意する必要があります。クレーム ベースのアプリケーションを開発する場合は、プラットフォーム固有のセキュリティ API を直接呼び出すのではなく、クレーム モデルに準拠するコードを記述する必要があります。

クレーム処理。システムがクレーム プロバイダー、クレーム要求者、またはクレーム ベースのアプリケーションとして動作できるようにするソフトウェア機能。たとえば、セキュリティ トークン サービスは、その機能セットの一部としてクレーム処理を提供します。

クレーム プロデューサー。クレーム プロバイダー。

クレーム プロバイダー。要求に応じてセキュリティ トークンを生成するソフトウェア コンポーネントまたはサービス。クレームの発行者とも呼ばれます。

クレーム要求者。セキュリティ トークン サービスのクライアント。ID セレクターは、一種のクレーム要求者です。

クレーム トランスフォーマー。たとえば、フェデレーション ID またはアクセス コントロールを実装する方法として、セキュリティ トークンを入力として受け取るクレーム プロバイダー。

クレーム タイプ。クレームの種類を識別する文字列 (通常は URI)。すべてのクレームにクレーム タイプと値があります。クレーム タイプの例として、FirstNameRolePPID (Private Personal Identifier) があります。クレーム タイプは、クレーム値のコンテキストを提供します。

クレーム値。作成されたクレームのステートメントの値。たとえば、クレーム タイプが FirstName の場合、その値は Matt などになります。

クレーム ベースのアプリケーション。クレームを ID とアクセス コントロールの基礎として使用するソフトウェア アプリケーション。プラットフォーム固有のセキュリティ API を直接呼び出すアプリケーションとは対照的です。

クレーム ベース ID。ユーザーの本名や電子メール アドレスなどの特性を表す、信頼できる発行者から発行された一連のクレーム。Windows Identity Foundation を使用するアプリケーションでは、クレーム ベース ID は、IClaimsIdentity インターフェイスを含む実行時オブジェクトによって表されます。

クレーム ベース ID モデル。ユーザー ID をアプリケーションの外部で確立するアプリケーションの記述方法。必要なすべてのユーザー情報を安全な方法で環境が提供します。

クライアント。ローカル ユーザーに代わって、Web サービスを呼び出したり、HTTP 要求を発行するアプリケーション コンポーネント。

クラウド。インターネット アプリケーションをホストする、動的にスケーラブルな環境。Windows Azure など。

クラウド アプリケーション。クラウドで実行するように設計されたソフトウェア システム。

クラウド プロバイダー。アプリケーションをホストするサービス。

クラウド サービス。クラウド アプリケーションによって公開される Web サービス。

資格情報。ID またはアクセス許可の確立に使用されるデータ要素。通常は、ユーザー名とパスワードから成ります。

資格情報プロビジョニング。アプリケーションのユーザー ID (ユーザー名と初期パスワードなど) を確立するプロセス。

暗号。データを読み取ることができるかどうかをキー文字列の情報に依存して決定する数学的アルゴリズム。

デジタル署名。メッセージの発信者が正当であり、メッセージのコンテンツが転送中に変更されていないことを証明する暗号化アルゴリズムの出力。

ドメイン。制御の領域。通常、ドメインは階層構造を持ちます。

ドメイン コントローラー。エンタープライズ ディレクトリのセキュリティ トークンの一元的な発行者。

エンタープライズ ディレクトリ。ドメインのユーザー アカウントの一元的なデータベース。たとえば、Microsoft Active Directory® は、組織がエンタープライズ ディレクトリを維持するためのドメイン サービスです。

エンタープライズ ID バックボーン。たとえば、ADFS を実行することで、組織内に ID とアクセス コントロールを提供するためのメカニズム。

フェデレーション ID。現在のセキュリティ領域の外部にあるクレーム プロバイダーに認証作業を分散する信頼関係に基づいてシステムのユーザーを認証するメカニズム。

federatedAuthentication 属性。構成中のアプリケーションがクレーム ベースのアプリケーションであることを示すために Web.config ファイル内で使用される XML 属性。

フェデレーション プロバイダー。組織と他の ID プロバイダー (発行者)と証明書利用者 (アプリケーション) と間のシングル サインオン機能を提供する一種の ID プロバイダー。

フェデレーション プロバイダー セキュリティ トークン サービス (FP-STS)。フェデレーション プロバイダーが使用するソフトウェア コンポーネントまたはサービス。使用目的は、フェデレーション パートナーからトークンを受け取ること、および、受け取るセキュリティ トークンのコンテンツに関するクレームとセキュリティ トークンを証明書利用者 (アプリケーション) が使用できる形式に生成することである。このセキュリティ トークン サービスは、信頼されたフェデレーション パートナーまたは IP-STS からセキュリティ トークンを受け取ります。その後に、RP-STS は、ローカルの証明書利用者アプリケーションによって使用される新しいセキュリティ トークンを発行します。

FedUtil。Windows Identity Foundation がフェデレーションを確立するために提供する FedUtil.exe ユーティリティ。

フォレスト。中央機関によって管理されるドメインのコレクション。Active Directory Federation Services (ADFS) を使用すると、2 つの Active Directory フォレストを 1 つの信頼ドメインに結合できます。

フォワード チェーン ロジック。グループ メンバーシップ、ロールなどの推移的ルールの適用に基づいてアクセス許可を決定するためにアクセス コントロール システムによって使用されるアルゴリズム。たとえば、フォワード チェーン ロジックを使用すると、アクセス コントロール システムは、ユーザー X がロール Y を持ち、ロール Y がアクセス許可 Z を意味する場合は常に、ユーザー X がアクセス許可 Z を持つ、と推定することができます。

ホーム領域検出。ユーザーの発行者を特定するプロセス。

ID。クレーム ベース ID。"ID" という用語には他の意味もあるため、別の意味で使用する場合は、修飾語を付けます。

ID 委任。第三者が代わりに動作できるようにすること。

ID モデル。アプリケーション ユーザーの ID を確立するための編成するための原則。「クレーム ベース ID モデル」を参照してください。

ID プロバイダー (IP)。セキュリティ トークンにクレームを発行する組織。たとえば、取引を承認して完了するためのクレーム情報をアプリケーションが要求した場合、クレジット カード プロバイダー組織は、支払いを可能にするためのセキュリティ トークンにクレームを発行します。

Identity Security Token Service (I-STS)。ID プロバイダーの 1 つ。

情報カード。ID および関連するメタデータ (ユーザーが認証要求に応じて選択可能) をビジュアルに表現したもの。

入力クレーム。アクセス コントロール システムなどのクレーム トランスフォーマーに提供されるクレーム。

発行者。セキュリティ トークンのクレーム プロバイダー。つまり、特定のセキュリティ トークンへの署名に使用される秘密キーを所有するエンティティ。IClaimsIdentity インターフェイスの Issuer プロパティは、関連付けられたセキュリティ トークンのクレーム プロバイダーを返します。この用語は、さらに一般的に Kerberos チケットまたは X.509 証明書の発行機関の意味で使用される場合がありますが、その場合はそう明記されます。

発行者名レジストリ。信頼できる発行者の URI の一覧。Windows Identity Foundation に含まれる抽象クラス IssuerNameRegistry の派生クラスを実装することにより、発行者命名スキームを選択し、カスタム発行者検証ロジックを実装することができます。

発行機関。セキュリティ トークンの発行者であるクレーム プロバイダー。(この用語には他の意味もありますが、その場合はそう明記されます。)

Kerberos。Active Directory ドメイン コントローラーがネットワーク環境内で認証に使用するプロトコル。

Kerberos チケット。Kerberos プロトコルを実装するシステム (たとえば、ドメイン コントローラー) が使用する認証トークン。

キー。プレーン テキストを暗号化したり暗号化テキストを暗号化解除する際に、暗号化アルゴリズムによって使用されるデータ要素。通常は数値または文字列です。

キー配布センター (KDC)。Kerberos プロトコルにおけるセキュリティ チケットの発行者。

Lightweight Directory Access Protocol (LDAP)。インターネットまたは企業イントラネットで他の電子メール ユーザーを探すためにディレクトリ サービスのクエリに使用される TCP/IP プロトコル。

ローカル セキュリティ機関 (LSA)。ローカル システムでユーザーの認証とログインを行うためにアプリケーションが使用できる Windows オペレーティング システムのコンポーネント。

ローカル セキュリティ機関サブシステム サービス (LSASS)。セキュリティ ポリシーを適用するための Windows オペレーティング システムのコンポーネント。

マネージ情報カード。外部 ID プロバイダーから提供される情報カード。自己発行カードとは異なり、マネージ カードを使用した場合、ID 情報は ID プロバイダーに格納されます。

管理 API。データセットの構成または保守に使用されるプログラム可能インターフェイス。ポータルと比較してください。

モニカー。ユーザーが 1 つのアプリケーションの複数のセッションで一貫して使用する別名。モニカーを使用するユーザーは、多くの場合、匿名のままです。

複数フォレスト。階層構造になっていないドメイン モデル。

マルチテナント アーキテクチャ。地理的な分散またはフォールト トレランスを主な目的として、複数のデータ センターで実行されるように設計されたクラウド ベースのアプリケーション。

オンプレミス コンピューティング。企業が所有し、管理するハードウェアおよびネットワーク インフラストラクチャ上で実行され、同じ企業によって所有されるソフトウェア システム。

出力クレーム。出力制御システムなどのクレーム トランスフォーマーによって生成されるクレーム。

パッシブ クライアント。HTTP サーバーで動作するクレーム ベースのアプリケーションとやり取りする Web ブラウザー。

パッシブ フェデレーション。HTTP プロトコルのリダイレクト機能を使用してクレーム プロバイダーにアクセスする手法。アクティブ フェデレーションと比較してください。

境界ネットワーク。社内ネットワークとインターネットとの間のバッファーとして機能するネットワーク。

アクセス許可。承認判断の肯定的な結果。アクセス許可は、クレームとしてエンコードされることもあります。

パーソナライズ。特定のクレームの存在によってアプリケーションのロジックが変更されるアクセス コントロールの一形態。セキュリティによるトリミングは、パーソナライズの一種です。

ポリシー。WS-Policy 仕様に従って構造化されたアドレス、バインド、およびコントラクトのステートメント。クレーム ベースのアプリケーションが実行のために必要とするすべてのクレーム タイプが含まれます。

ポータル。バックエンド サーバーに格納されたデータの表示や変更を行うための Web インターフェイス。

プリンシパル。サブジェクトを表す実行時オブジェクト。Windows Identity Foundation を使用するクレーム ベースのアプリケーションは、IClaimsPrincipal インターフェイスを使用してプリンシパルを公開します。

秘密キー。公開キー暗号化において、公開されていないキー。正しい秘密キーを所有していることが、十分な ID の証明と見なされます。

特権。アプリケーションまたはリソースへのアクセスなどを行うためのアクセス許可。

証明キー。元のサブジェクトだけがセキュリティ トークンを使用できるようにするための暗号化トークン。

公開キー。公開キー暗号化において、公開されているキー。あるユーザーから送信されたメッセージの受信者は、そのユーザーの公開キーを使用して、メッセージに付けられたデジタル署名に基づいてコンテンツを検証できます。秘密キーの所有者だけがメッセージを暗号化解除できるように、公開キーを使用してメッセージを暗号化することもできます。

公開キー暗号化。1 つのキーを暗号化に使用し、別のキーをそのデータの暗号化解除に使用する暗号化アルゴリズム クラス。

公開キー基盤 (PKI)。公開キー暗号化を適用するための規則。

領域。セキュリティ領域。

証明書利用者 (RP)。ID プロバイダーから発行されるセキュリティ トークンとクレームに依存するアプリケーション。

Relying Party Security Token Service (RP-STS)。「フェデレーション プロバイダー セキュリティ トークン サービス」を参照してください。

リソース。ソフトウェア システムの 1 つの機能、またはソフトウェア システムに保持される 1 つのデータ要素。コンピューター ネットワークを介してアクセスされるファイル、アプリケーション、サービスなどのエンティティ。

リソース セキュリティ トークン サービス (R-STS)。クレーム トランスフォーマーの 1 つ。

REST プロトコル。REST (REpresentational State Transfer) のためのデータ形式およびメッセージ パターン。REST は、接続状態を維持しないインターフェイスによって接続される URI で指定されたリソースとして分散アーキテクチャを抽象化します。

ロール。アクセス許可の付与を正当化するための ID 要素。たとえば、"ロールは管理者" というクレームは、すべてのリソースへのアクセスを表します。ロールの概念は、類似したアクセス ニーズを持つユーザーをグループ化するための便利な方法として、RBAC モデルに基づいたアクセス コントロール システムによってよく使用されます。

**Role-Based Access Control (RBAC)。**ユーザー、ロール、およびアクセス許可に基づく確立した承認モデル。

SAML 2.0。クレームを含むセキュリティ トークンのエンコードに使用されるデータ形式。SAML 形式でクレームを使用するプロトコルでもあります。「SAML (Security Assertion Markup Language)」を参照してください。

スコープ。Microsoft Access Control Services における、特定のアプリケーションのアクセス コントロール ルールのコンテナー。

SAML (Security Assertion Markup Language)。クレームを含むセキュリティ トークンのエンコードに使用されるデータ形式。SAML 形式でクレームを使用する特定のプロトコルでもあります。

セキュリティ属性。エンタープライズ ディレクトリにある (そのため暗黙的に信頼されている)ため、ユーザーに関して既知となっている情報。クレーム ベース ID では、セキュリティ属性の代わりにクレームが使用されます。

セキュリティ コンテキストIPrincipal インターフェイスに対応する .NET Framework の概念。すべての .NET Framework アプリケーションは、特定のセキュリティ コンテキストで実行されます。

セキュリティ インフラストラクチャ。認証、承認、およびプライバシーを実装するハードウェアとソフトウェアの組み合わせを表す一般的な用語。

セキュリティ ポリシー。クレーム プロバイダーがセキュリティ トークンを発行するかどうかを決定するためのルール。

セキュリティ トークン。クレームの発行者によって暗号付きで署名されているクレームのオンライン表現。クレームの整合性と発行者の ID に関する確実な証明を証明書利用者に提供します。

セキュリティ トークン サービス (STS)。セキュリティ トークンを発行する Web サービスとして実装されたクレーム プロバイダー。ADFS は、セキュリティ トークン サービスの例です。発行者とも呼ばれます。クレームを発行し、それを暗号化されたセキュリティ トークンにパッケージ化する Web サービスです (「WS-Security」と「WS-Trust」を参照)。

セキュリティによるトリミング。(非公式) サブジェクトが使用できるアクセス許可に基づいてアプリケーションの動作を変更するプロセス。

サービス。SOAP 標準に準拠した Web サービス。

サービス プロバイダー。アプリケーションの 1 つ。この用語は、SAML (Security Assertion Markup Language) でよく使用されます。

セッション キー。通信セッションの間、通信チャネルの両端で共有される秘密暗号化キー。セッション キーは、通信セッションの開始時にネゴシエートされます。

SOAP。Web サービスによって使用されるメッセージ形式を規定する Web 標準。

Software as a Service (SaaS)。ライセンスを永続的に購入するのではなく、必要に応じて限られた期間だけソフトウェア ライセンスを購入するソフトウェア ライセンス方法。通常、その実行環境は、(たとえば、Web サービスとして実行されるクラウド ベースのアプリケーションとして) ソフトウェア ベンダーから提供されます。

サブジェクト。個人。企業組織またはソフトウェア コンポーネントがサブジェクトと見なされることもあります。サブジェクトは、ソフトウェア システム内のプリンシパルとして表されます。すべてのクレームは、暗黙的に特定のサブジェクトを対象にしています。Windows Identity Foundation の IClaimsPrincipal 型は、クレームのサブジェクトを表します。

System.IdentityModel.dllClaim クラス、ClaimSet クラスなどの何らかのクレーム ベースの機能が含まれる .NET Framework 3.0 のコンポーネント。

トークン。データ要素またはメッセージ。

信頼。他者をドメインまたは領域全体で信頼できるとして受け入れること。

信頼関係。信頼が確立されている状況。

信頼できる発行者。WS-Trust プロトコルを使用して信頼が確立されたクレーム プロバイダー。

ユーザー資格情報。資格情報のセット。例として、ユーザー名とパスワードがあります。

Web ID。HTTP 要求の送信者の認証済み識別特性。通常は、認証済みの電子メール アドレスです。

Web Single Sign-On (Web SSO)。パートナー組織どうしがユーザーの認証/承認データを交換するためのプロセス。パートナー組織内のユーザーは、Web SSO を使用することで、それぞれのドメイン境界で資格情報を提示することなく、セキュリティで保護された Web ドメイン間を移動できます。

Windows Communication Foundation (WCF)。Web サービスを有効にするための Windows オペレーティング システムのコンポーネント。

Windows ID。Active Directory によって維持されるユーザー情報。

Windows Identity Foundation (WIF). アプリケーションがクレーム ベース ID とアクセス コントロールを使用できるようにするための .NET Framework ライブラリ。

WS-Federation。複数の信頼領域にまたがる ID、属性、認証、承認フェデレーションを有効にするために使用されるメカニズムを定義する標準。この標準には、HTTP リダイレクションの相互運用によるセキュリティ トークンの要求が含まれます。

WS-Federation Authentication Module (FAM)。クレーム処理を実行する Windows Identity Foundation のコンポーネント。

WS-Federation のパッシブな要求側プロファイル。WS-Federation で定義された相互信頼領域 ID、認証、承認フェデレーション メカニズムを Web ブラウザーなどのパッシブな要求側がどのように使用して ID サービスを提供できるかを記述するプロファイル。このプロファイルのパッシブな要求側は、HTTP プロトコルに制限されます。

WS-Policy。潜在的なクライアントに Web サービスがサービスの機能と要件を通知する方法を指定する Web 標準。

WS-Security。SOAP を使用してセキュリティで保護された Web サービス通信を提供できるように設計された一連のプロトコルで構成される標準。

WS-Trust。WS-Security を利用して Web サービスに信頼関係を構築および検証する方法を提供する標準。

X.509。証明書の標準形式。

X.509 証明書。発行機関の公開キーを含むデジタル署名されたステートメント。

前の章  |  次の章

ページのトップへ