SAML 2.0のシングルサインオン統合に関連する私の仕事で、パッシブ認証とアクティブ認証の概念に出くわしました。私はこれらの2つの概念について明確で一般的な定義と適切な説明を見つけるために一生懸命努力しましたが、私が参照したほとんどすべてのドキュメントはベンダー固有のものでした。
誰もが適切な例とともにこれらの概念の明確な定義と説明を提供できますか?
アクティブ認証:WS-Trustプロトコルを介してユーザーを認証します。返信側(RP)はログインウィンドウを所有し、セキュリティトークンサービス(STS)にセキュリティトークンを要求します。ここでは、ユーザーはフローを使用してログインします。アクティブ認証の例には、モバイルデバイスが含まれ、そのデバイスの一部であるセンサーに基づいてユーザーのIDを継続的に検証します。この詳細については スタイロメトリー、アプリケーションの使用、Webブラウジング、GPSの位置情報によるモバイルデバイスでのアクティブ認証
パッシブ認証:RPにはログインロジックがありません。ユーザーはSTSのログインページに移動します。ログイン後、STSはユーザーをURLにリダイレクトし、STSを信頼するそのサイトで認証されます。パッシブ認証の例には、ユーザーが「アイデンティティプロバイダーによって表示され、ユーザーがログインするように要求されているWebフォーム」からサインインすることが含まれます。アクティブおよびパッシブ認証の詳細については このドキュメント を参照してください。
これらの用語は十分に確立されているとは思いませんが、概念はほとんど取るに足らないものです。そのため、文献でこれについて何かを見つけるのは困難です。静的認証とも呼ばれるパッシブ認証は、HTTP基本認証と同様に、交換の一部としてクライアントが共有シークレットを転送する認証方法であると思います。一方、アクティブ認証は、HTTPダイジェスト認証と同様のチャレンジ/レスポンスメカニズムを使用します。共有シークレット(パスワード)がネットワーク上に表示されることはないため、アクティブ認証はセキュリティの観点から明らかに優れています。さらに、認証データはチャレンジに依存するため(ノンス)、再生できません。ただし、プロトコルに追加のラウンドが導入されるため、常に望ましいとは限りません。