フェデレーションID管理、サードパーティIDサービス、およびシングルサインオンの例
私はCISSPでIDおよびアクセス管理のドメインを研究しており、フェデレーションID管理(FIM)、サードパーティIDサービス(3PIS)、およびシングルサインオン(SSO)という3つの用語に出くわします。 フェデレーションログインとシングルサインオンの違いは何ですか? を読んだ後、次の3つの違いを知っていると思います。
(1)SSOは3PISの例です
(2)ただし、リソースのプロバイダーによって認証メカニズムが考案された場合、すべてのSSOが3PISであるとは限りません
(3)FIMの利点は、SSOを提供できることです
(4)FIMは常にSSOを提供するわけではありません
(5)FIMは、3PISメカニズムを使用する場合があります(そのメカニズムがリソースのプロバイダーのいずれにも関連しない組織によって考案された場合)
(6)メカニズムがリソースのプロバイダーの1つによって考案されている場合、FIMは3PISメカニズムを使用できません。
上記がすべて当てはまると仮定します。SSO、3PIS、FIMはすべて同じシステムに存在できますが、独立していてもかまいません。そこで、以下の7つの組み合わせすべての実際の例を探しています。
(a)SSO + 3PIS + FIM-> ??
(b)FIMではなくSSO + 3PIS-> MS Windowsドメインを認証するためのKerberos.
(c)SSO + FIM、ただし3PISではありません-> Office365およびAzureは両方ともMSによって開発されているため、Office365およびSalesForceにアクセスするためのAzure Active Directory。
(d)SSO、ただし3PISではなく、FIMではありません-> MSリソースにアクセスするためのMicrosoft Active Directory。
(e)3PIS + FIM、ただしSSOは不可-> ??
(f)3PIS、ただしSSOではなく、FIMではない-> ??
(g)FIM、ただし3PISではなく、SSOではありません-> ??
上記の3つの例(b)、(c)、(d)は正しいですか、他の4つのケースの実際の例はありますか?提案やコメントは大歓迎です。
TL; DR:
FIM(またはFidM)は、アイデンティティ管理の抽象的な概念を指します。 FIMシステムを実装した組織は、リソースへのアクセスを簡略化するために、FIMシステムを使用してユーザーのIDと信頼を管理します。
3PISは、ベンダーから入手した製品です。 FIMのセットアップまたはインストールをサポートし、ユーザーにSSO機能を提供する場合と提供しない場合があります。
SSOは、ユーザーが1回のログインまたは同じログイン認証情報で複数のサービスまたはシステムにアクセスできるようにする、少しのソフトウェアに組み込まれたメカニズムです。
(1)SSOは3PISの例です
ではない正確に。 3PISはinclude SSOのメカニズムである場合がありますが、必ずしもそうである必要はありません。 (ただし、私が思うに、最新のものはそうです。)「私たちのSSOは3PISです。」とは言わないでしょう。むしろ「私たちの3PIS ses SSO」です。
(2)ただし、リソースのプロバイダーによって認証メカニズムが考案されている場合、すべてのSSOが3PISであるとは限りません。
まあ、ええ、ちょっと。 SSOを使用するにはFIMが必要です。3PISを使用してFIMを設定できます。ただし、すべてのシステム/サービスがSSOをサポートしているわけではありません。
(3)FIMの利点は、SSOを提供できることです
はい。
(4)FIMは常にSSOを提供するわけではありません
わかりませんが、それは何の意味もありません。
(5)FIMは、3PISメカニズムを使用する場合があります(そのメカニズムがリソースのプロバイダーのいずれにも関連しない組織によって考案された場合)
3PIS自体はメカニズムではありません。 IDプロバイダーは、たとえばユーザー、サービスプロバイダー、および3PISを利用する組織の間で信頼を確立するための証明書ベースの識別メカニズム。
(6)メカニズムがリソースのプロバイダーの1つによって考案されている場合、FIMは3PISメカニズムを使用できません。
上記を参照。
あなたはまだ勉強しているので、多分あなたはあなた自身のためにあなたの質問の残りに答えたいと思うでしょう。それでもまだはっきりしない場合は、もう少しコンテキストを提供しようと思います。
開示:私はCISSPの認定を受けておらず、その証明書について勉強したこともありません。
「Federated Identity Management」は悪いラベルだと付け加えておきます。 ID管理とは、LDAPディレクトリなどのリポジトリでIDを作成、管理、削除することを意味します。フェデレーションされた "ID"管理システムは、これらのことは何も行いません。より適切には、 "フェデレーションアクセス管理"システムと呼ぶ必要があります。
FAM(上記)は、アプリケーションAがアプリケーションBへのサインインを希望するユーザーを識別および承認するプロセスをオフロードできることを意味します。このプロセスは、いくつかの承認決定をオフロードすることもできます(ユーザーがアプリAで実行できることは、アプリによって異なる場合があります) B)。
セキュアアサーションマークアップ言語(SAML)やOAuth(おそらく、オープン認証を意味する)を含む、フェデレーションには多少の標準プロトコルがあります。「また実行された」プロトコルはMicrosoftが擁護し、基本的には他の誰もいないWS-Federationのプロトコルセット(ADFS、SharePoint、O365間などで使用).
ID管理の定義は上から推測できます。 「IDM」と略される場合があります。
通常、IDMを単独で行うことはありません。結局のところ、ほとんどのシステムとほとんどの組織は、何かへのアクセスを許可するための前提条件としてIDのみに関心があります。実際には、「アイデンティティとアクセスの管理」を一緒に行います。つまり、人または非人間のプロセスを表すオブジェクトのライフサイクルを管理すると同時に、セキュリティグループのメンバーシップなどのアクセス権を付与および取り消します。 IDとアクセス管理の組み合わせは、IAMに短縮されます。
一部のアナリスト企業は、特定のユーザーが何にアクセスできるかを確認したり、もはや適切でない資格を取り消したりするなど、IAMのガバナンスの側面に焦点を当てることを好みます。彼らは非常に気に入っているため、IAMをアイデンティティガバナンスおよび管理(IGA)と呼ぶこともあります。まだ混乱していますか?これは単なる頭字語であり、実際には同じ機能を指します。
シングルサインオンは別ですが関連しています。上記のFAMのアイデアをもう一度参照してください。アプリケーションBがアプリケーションAに代わってユーザーを認証するとき、ユーザーがアプリケーションBのログインページで自分自身を見つけるたびに、IDとパスワード、またはその他の資格情報の入力をユーザーに求めますか?結局のところ、アプリケーションBはユーザーのブラウザにCookieをドロップする可能性があります-1時間または1日の間、ユーザーが再びアプリAにサインインした場合、またはおそらくアプリBのログインに依存する別のアプリ(アプリCなど)にサインインした場合ページを表示すると、アプリBは、ユーザーを既にかつ最近認証したことに気づき、再度認証する必要はありません。
この最後のビット-認証プロセスが同じユーザーに対して最近完了した場合にログインプロセスをスキップすることは、シングルサインオンまたは略してSSOです。
お役に立てば幸いです。