すべてのプロダクト
Search

このプロダクト

    Identity as a Service:IDaaS 用語

    ドキュメントセンター

    Identity as a Service:IDaaS 用語

    最終更新日:Jan 08, 2025

    IDaaS 関連の用語

    IDaaS

    Alibaba Cloud Identity as a Service(IDaaS)は、企業が ID を一元管理できるようにするクラウドベースの ID 管理サービスです。

    EIAM

    Alibaba Cloud Enterprise Identity Access Management(EIAM)は、統合 ID 認証プラットフォーム、ID およびアクセス管理(IAM)システム、認証、承認、アカウント、監査(4A)プラットフォームの機能を提供するクラウドベースの ID 管理サービスです。 EIAM を使用すると、企業は従業員、インターン、臨時スタッフ、サプライヤー、店舗スタッフなど、内部人員とパートナーの ID を管理できます。

    CIAM

    Alibaba Cloud Customer Identity Access Management(CIAM)は、クラウドベースの ID 管理サービスです。 CIAM を使用すると、企業は消費者、会員、市民などの外部ユーザーの ID を管理できます。

    国際化

    国際化とは、多言語サービス、ユーザーインターフェース、画像、ドキュメント、操作、サポートの提供を指します。 IDaaS は、中国語と英語の両方をサポートしています。

    セキュリティ認証

    Alibaba Cloud セキュリティ認証は ID 認証サービスです。 セキュリティ認証は、電話番号検証、International Internet Finance Authentication Alliance(IIFAA)に基づく認証、WebAuthn、テキストメッセージ検証、ワンタイムパスワード(OTP)などのパスワードレスログオン方法を提供し、これらの方法用の SDK を提供します。

    ゼロトラスト

    ゼロトラストは、業界で広く使用されている新しいネットワークアーキテクチャです。 ゼロトラストアーキテクチャでは、すべてのサービスへのアクセスに信頼できる ID と承認が必要です。 これにより、ネットワークアーキテクチャ全体のセキュリティと使いやすさが向上します。 ゼロトラストアーキテクチャは、テレワーク、マルチクラウドデプロイメント、BYOD(Bring Your Own Device)などの最新の職場シナリオで使用できます。

    IDaaS パブリッククラウドと IDaaS プライベートデプロイメント

    Alibaba Cloud IDaaS パブリッククラウドは、すぐに使用できるクラウドサービスであり、柔軟な課金が可能です。 管理者は、Alibaba Cloud アカウントを使用してサービスをアクティブ化できます。

    IDaaS プライベートデプロイメントとは、Alibaba Cloud IDaaS を指定された環境(Alibaba Cloud 仮想プライベートクラウド(VPC)、Amazon Web Services(AWS)環境、データセンターなど)にプライベートデプロイすることを指します。

    ID プロバイダー関連の用語

    IdP

    Security Assertion Markup Language(SAML)では、ID プロバイダー(IdP)はユーザーを検証および認証し、SAML 応答情報をサービスプロバイダー(SP)に返します。 IdP は現在、一般的に統合 ID 管理プラットフォームを指します。 IDaaS では、IDaaS が IdP です。

    SP

    SAML では、サービスプロバイダー(SP)は、IdP から返された応答を受信するリゾルバーです。 SP は現在、IdP が接続されているアプリケーションを指します。 IDaaS では、SP はアプリケーションです。

    AD

    Active Directory(AD)は、Microsoft によって開発されたディレクトリサービスであり、企業のビジネスシナリオで組織、アカウント、権限を管理するために使用されます。 AD は個別にデプロイできます。 多くの最新のアプリケーションも AD アカウントシステムをサポートしています。 ただし、AD には互換性の問題があり、ユーザーエクスペリエンスに影響を与えるため、企業は通常、IDaaS などの他の ID 管理ソリューションを探しています。

    LDAP

    Lightweight Directory Access Protocol(LDAP)は、通常、AD および OpenLDAP で使用されますが、Apache Directory などの他のシステムでも使用されます。

    OpenLDAP

    OpenLDAP は、LDAP のオープンソース実装です。

    ADFS

    Active Directory Federation Services(ADFS)は、Windows Server のデフォルトコンポーネントであり、AD アクセスを外部アプリケーションに拡張するために使用されます。 ただし、ADFS は使いにくく、O&M が必要です。

    DingTalk 連絡先

    DingTalk 連絡先は IDaaS に接続できます。 DingTalk と他のアカウントシステム間で ID を同期できます。

    アカウント関連の用語

    組織構造

    組織構造は、企業のツリー構造です。 部門は、構造内の単位です。

    組織

    組織、組織単位(OU)、または部門は、組織構造内のノードです。 一般に、組織は企業の部門です。

    ルート組織ノード

    各 IDaaS インスタンスには、企業自体であるルートノードが 1 つだけあります。 IDaaS では、ルートノードの名前を変更できます。

    アカウント

    理論的には、各ユーザーは 1 つの IDaaS アカウントのみを持っています。 ユーザーはアカウントを使用して IDaaS アプリケーションポータルにログオンできます。 シングルサインオン(SSO)が実装された後、ユーザーはアプリケーションへのアクセスを承認されることもできます。

    アカウントライフサイクル管理

    アカウントライフサイクル管理は、アカウントの作成(従業員のオンボーディング)からアカウントの終了(従業員のオフボーディング)までのアカウントのライフサイクル全体を管理するプロセスであり、アカウントの無効化、ロック、移動、変更などの操作が含まれます。

    グループ

    グループはアカウントのセットであり、権限の割り当てと同期スコープの設定に使用されます。

    同期

    IDaaS では、同期とは、異なるシステム間でのアカウントと組織の転送を指します。 増分データまたは完全データを同期したり、インスタント同期またはスケジュールされた同期を実行したり、IDaaS から外部システムまたは外部システムから IDaaS にデータを同期したりできます。

    SCIM

    System for Cross-domain Identity Management(SCIM)は、異なるシステム間でのアカウントと組織の同期に関する国際仕様です。 多くのアプリケーションは、異なるシステム ID の相互運用性を実現するために SCIM 同期リクエストを受信します。

    アプリケーション関連の用語

    SSO

    SSO とは、ユーザーが 1 回のログオンで全アプリケーションにアクセスできることを意味します。 SSO は、アプリケーションが時間の経過とともに進化するにつれて、さまざまな形式で実装されます。 IDaaS のコンテキストでは、SSO は、SAML や OpenID Connect(OIDC)などの標準プロトコルに基づくフェデレーション ID 管理のみを指します。

    IdP 起点 SSO

    IdP 起点 SSO は、ユーザーが IDaaS アプリケーションポータルにログオンした後、アプリケーションにアクセスしたときにトリガーされます。 このプロセスでは、リクエストは IDaaS(IdP)によって開始されます。

    SP 起点 SSO

    SP 起点 SSO は、ユーザーがアプリケーションにアクセスし、アプリケーションがログオンが必要かどうかを判断したときに発生します。 ログオンが必要な場合、ユーザーは認証のために IDaaS(IdP)にリダイレクトされ、アプリケーションにリダイレクトされます。 このプロセスでは、リクエストはアプリケーション(SP)によって開始されます。

    アプリケーションユーザー

    アプリケーションユーザーは、SSO 中にアプリケーションでログオンした IDaaS アカウントが想定する ID です。 たとえば、zhangsan(IDaaS アカウント)は、運用プラットフォームアプリケーションの管理者(アプリケーションユーザー)です。 IDaaS は、アプリケーションユーザーを IDaaS アカウントに関連付ける複数の方法をサポートしています。 アプリケーションで複数の ID を想定できる場合、ユーザーはアプリケーションにアクセスするために 1 つの ID を選択する必要があります。

    署名の生成と検証

    非対称暗号化アルゴリズムを使用する署名は、通常、トークンが偽造または改ざんされていないことを確認するために使用されます。 OIDC ベースの SSO が実装されている場合、IDaaS は RSA-256 秘密鍵を使用して発行された id_token に署名します。 トークンが偽造または改ざんされていないことを確認するために、アプリケーションは公開鍵を使用してトークンを検証します。

    暗号化と復号化

    暗号化は、対称または非対称暗号化アルゴリズムを使用して実装されます。 IDaaS アプリケーションのデータが同期されると、IDaaS はデータを送信する前に AES-256 を使用してデータを暗号化します。 アプリケーションは対称鍵を使用してデータを復号化します。これにより、安全でないネットワーク環境でのプライバシーと精度が確保されます。

    承認

    承認とは、オブジェクト(アプリケーションまたはその他のリソース)に対する権限をサブジェクト(組織またはアカウント)に割り当てることを指します。 IDaaS では、接続されているすべてのアプリケーションへのアクセスを許可して、権限を一元管理できます。 組織は、IDaaS でアプリケーションへのアクセスを許可された後にのみ、アプリケーションにアクセスできます。

    SAML

    Security Assertion Markup Language(SAML)は、SSO のために広く採用されている XML ベースの認証標準です。 SAML は OIDC よりも複雑です。 IDaaS は SAML 2.0 をサポートしています。

    OIDC

    OpenID Connect(OIDC)は、SSO、認証、委任認証などのシナリオで世界中で一般的に使用されている ID フェデレーションプロトコルです。 OIDC は 2014 年に公開され、OpenID と OAuth 2.0 上に構築されています。

    JWT

    JSON Web Token(JWT)は、JSON オブジェクトとしてパーティ間で情報を送信するための形式を定義するオープン標準(RFC 7519)です。 中国の ID およびアクセス管理(IAM)のコンテキストでは、JWT は、送信されたコンテンツに署名して暗号化できるため、多くの場合、OIDC 暗黙的フローに部分的に基づく簡略化された SSO 実装を表します。

    CAS

    Central Authentication Service(CAS)は、Web のグローバル SSO プロトコルです。

    OAuth 2.0

    OAuth 2.0 は、SSO の実装によく使用される承認プロトコルです。 OIDC は OAuth 2.0 をベースに実装されているため、OIDC と OAuth 2.0 のほとんどのフローは似ています。

    access_token/id_token/refresh_token

    access token は、IdP によって提供される API 操作を呼び出すために使用されます。

    ID token は、ログオンしているアカウントに関する情報を取得するために使用されます。

    refresh token は、元の access token の有効期限が切れた後に新しい access token を取得するために使用されます。

    OIDC および OAuth クライアントクレデンシャルフロー

    クライアントクレデンシャルフローでは、ユーザーまたはアカウントではなくアプリケーションサービスに権限が付与されます。 アプリケーションは、リソースまたは API 操作を呼び出す権限を取得します。 IDaaS は、client_id パラメーターと client_secret パラメーターをアプリケーションに提供します。 アプリケーションはパラメーターを access token と交換し、IDaaS によって指定された API 操作を呼び出すことができます。

    OAuth 認証コードフロー

    認証コードフローでは、ユーザーが承認されます。 アプリケーションはサードパーティシステムの ID 情報を取得し、その ID を使用してシステムにログオンします。 DingTalk と WeChat はどちらもログオンに認証コードフローを使用します。

    OAuth デバイスフロー

    デバイスフローは特定のハードウェアデバイスで使用され、デバイスが IDaaS ログオンページを表示できない場合に、ユーザーがコンピューターまたはモバイルブラウザーで IDaaS ログオンページにアクセスできるようにします。 ユーザーがログオンすると、ユーザーの ID がデバイスに送信され、ログオンが完了します。

    ログオン関連の用語

    パスワードの複雑さ

    アカウントのパスワードは、複雑さの要件を満たしている必要があります。

    遅延読み込み

    遅延読み込みとジャストインタイムプロビジョニングは、次の設計を指します。 IDaaS がログオンするユーザーの ID 情報を見つけられない場合、認証リクエストは企業の元の ID システムに自動的に転送されます。 ユーザーが認証されると、アカウント情報は IDaaS に保存されます。 このような設計は通常、元のシステムのパスワードを IDaaS にインポートできず、遅延読み込みを使用してのみインポートできるシナリオで使用されます。

    MFA と 2FA

    多要素認証(MFA)と 2 要素認証(2FA)は、ユーザーが提示する複数のクレデンシャルの相互検証を指します。 MFA と 2FA は通常、パスワードのセキュリティリスクのため、パスワードベースのログオンのアカウントセキュリティを強化するために使用されます。 IDaaS では、テキストメッセージ検証コード、メール検証コード、OTP などの 2FA 方法を使用できます。

    OTP

    OTP は、1 回だけ有効な動的パスワードです。 最も一般的なタイプの OTP は、時間ベースの OTP(TOTP)であり、通常は 30 秒間有効です。 サーバーとクライアントは、シードを調整し、事前に時間を同期する必要があります。 同じ時間枠内で、認証を完了するには、クライアントによって計算された OTP がサーバーの OTP と同じである必要があります。

    アプリケーションポータル

    IDaaS アプリケーションポータルは、すべてのアプリケーションへの SSO を開始できるページです。 有料でページをカスタマイズできます。