ZIGOROuのOpenID Short Clinic:認証と認可の違い
OpenIDにかんするさまざまな疑問を解消していく本連載。今回は、普段当然のように使用される「認証」「認可」の違いについて解説する。
OpenIDを解説する際にしばしば登場する「認証」「認可」の言葉はそれぞれどういった意味で利用しているのでしょうか。両者は明確に区別しなければならないものなのでしょうか。また、OpenID Authenticationについても教えてください。
「認証」「認可」は、OpenID以外でもセキュリティ関連のトピックではしばしば登場する単語です。いったん理解してしまえばさほど難しいものでもありませんが、多くの人が混同されているようですのでこの機会にしっかり覚えてしまいましょう。認証・認可は英語では以下のような単語になります。
- 認証(Authentication)
- 認可(Authorization)
認証(Authentication)とは
認証を別の言葉でかみ砕いて説明すると、「本人確認」のことだといえます。多くの場合、本人を識別するIDと、その本人しか知り得ぬであろうパスワードの対が一致すれば、“自称”本人が紛れもなく本人であると見なすといった具合で「認証」を行うことになります。
認証
ネットワークやサーバへ接続する際に本人性をチェックし、正規の利用者であることを確認する方法。一般には利用者IDとパスワードの組み合わせにより本人を特定する。認証がなされると、本人が持つ権限でデータへのアクセスやアプリケーションの利用が可能となる。不正利用を防ぐため、パスワードの漏えいなどには十分な注意が必要である。
認可(Authorization)とは
一方、認可(Authorization)とは、認証済みの利用者に対して、何らかのサービスの利用やリソースへのアクセスなどに対する権限を与えたりすることを指します。
具体的には、「AさんはBさんと友達なのでBさんのプライベート日記を閲覧することができる」というシナリオで、AさんがAさんであると確認することが認証であり、AさんはBさんと友達なので閲覧可能という制御を行うことが認可です。
より身近でややこしい例としては、Basic認証やDigest認証といったhttpd上での認証が挙げられます。これらは認証と銘打っていますが、
- 本人確認 -> 認証
- 特定のリソースへのアクセス権限の付与 -> 認可
の両方を取り扱っています。こうしたものが「認証」「認可」を混同させる基だといえますが、この2つは区別して考えるべきものです。
認可
認証(Authentication)によって確認された利用者を識別して、アクセス権限の制御を行い、利用者ごとに固有のサービスを提供すること。
具体的には、利用可能なアプリケーションの制御、ファイルに対する“読み/書き/実行”の権限など、利用者の資格に応じて許可する。認可のための属性情報には、利用者ID/所属グループ/役職/部署/アクセス制御リスト(ACL)などがある。
認証と認可の違いを図にしたもの。両者は明確に区別しておく必要があるOpenIDと認証(Authentication)
OpenID Authenticationは、名前の中にAuthentication(認証)と含まれていることからも分かるとおり、OpenID Providerが行う認証のことです。どのような認証を行うかといえば、ユーザーが所持していると主張しているURLであるClaimed Identifierが本当にそのユーザーの所有するURLなのかどうかということを確かめるといったものです。
「ユーザーの細かなプロファイル情報を取得するには」の際にも登場したsreg(Simple REGistration extension)やAX(Attribute Exchange)といった拡張仕様は特定のリソースと見なせ、OpenID認証と同時にユーザーがOP(OpenID Provider)に預けたプロフィール情報をRP(Relying Party)が取得できるので、認可が存在するとみることもできます。
最近話題のOAuthというプロトコルは、特定のリソースへのアクセス権にかんして認可するプロトコルです。出自やプロトコルが少し似ているので困惑するかもしれませんが、認証と認可という違いがあることを覚えておいてください。
OAuthについては、「APIアクセス権を委譲するプロトコル、OAuthを知る」をご覧ください。
著者:山口 徹(やまぐち とおる)
サイボウズ・ラボで研究開発にいそしむPerlハッカー。Perlを中心とした開発のノウハウやネタをShibuya Perl Mongersのイベントで発表するなど講演活動も行う。最近ではOpenIDの実装方法や考察などをブログ「Yet Another Hackadelic」などで書き連ねている。
関連記事
実は簡単なOpenIDの認証手続き
OpenIDにかんするさまざまな疑問を解消していく本連載。今回は、OpenIDではどのような流れで認証手続きが行われているのかを解説する。
ユーザーの細かなプロファイル情報を取得するには
本稿では、OpenIDに対応した場合にRelying Party側がユーザーの細かなプロファイル情報を取得する方法について解説する。
OpenIDに対応するメリットは?
OpenIDをめぐってかなりの盛り上がりがみられるようになってきた。しかし、同規格についての詳細やその開発プロセスについてはまだまだ情報が不足している。本連載は、OpenIDにかんするさまざまな疑問をZIGOROuこと山口徹が短時間で解消していく。
OpenID入門――その導入で何が変わって何が変わらないのか
ここ数カ月で注目を集めつつある話題の1つに、OpenIDというオープン系の分散型デジタル認証システムがある。本稿では、最も基本的なレベルから、OpenIDでは行えないことまで網羅したOpenID入門をお届けする。- 思い切ってOpenIDを信頼しよう
OpenIDは信頼できないと言う人もいるが、ある意味では、少なくとも任意のユーザー名とパスワードでログインするのと同じくらいには信頼できる。 - 国内でOpenID推進団体へ 新団体設立、ヤフーら賛同
- ヤフーがOpenIDを発行 2000万ユーザーの取り込みが可能に
関連リンク
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
Special
- PR -Special
- PR -Special
- PR -新着記事
- ネットワークに対するDDoS攻撃がますます深刻に――Arbor報告書(2月10日 15時17分)
- FBI、1991年作成の故スティーブ・ジョブズ氏身元調査報告書を公開(2月10日 12時06分)
- Apple、iPad 3を3月第1週に披露か(2月10日 11時37分)
- HTC、Android端末のICSアップデート情報を更新 EVO 3Dは4月以降に(2月10日 10時34分)
- Google、家庭向け無線オーディオ機器を開発中――Wall Street Journal報道(2月10日 09時15分)
- Kodak、デジタルカメラから撤退へ(2月10日 08時25分)
- えっホント!? コンプライアンスの勘所を知る:コピー用紙の再利用はダメ! “もったいない精神”の落とし穴(2月10日 08時00分)
- ホワイトペーパー:7つの事例に学ぶ、オフライン端末のウイルス感染の実態とその解決策(2月10日 08時00分)
- コンシューマープレビューは2月29日:Microsoft、ARM版「Windows 8」の詳細を説明(2月10日 07時55分)
- Microsoft、9件の月例セキュリティ情報の公開を予告(2月10日 07時25分)
- Googleの最初の社員、クレイグ・シルバースタイン氏が退社(2月10日 07時02分)
アクセストップ10
- コピー用紙の再利用はダメ! “もったいない精神”の落とし穴
- Microsoft、9件の月例セキュリティ情報の公開を予告
- Microsoft、ARM版「Windows 8」の詳細を説明
- HTC、Android端末のICSアップデート情報を更新 EVO 3Dは4月以降に
- 5リットルと3リットルのバケツを使って、水4リットルを測る方法
- ネットワークに対するDDoS攻撃がますます深刻に――Arbor報告書
- NECとCAがクラウドサービス向け認証事業で協業
- Google Chrome、SSL証明書のオンライン失効チェックを無効に
- FBI、1991年作成の故スティーブ・ジョブズ氏身元調査報告書を公開
- iPhoneの連絡先データ無断収集のPathが謝罪 アプリをアップデート
ITmediaはアイティメディア株式会社の登録商標です。