ラング・エッジでは、比較的最近ですが認証や認可に関する受託開発にも対応しています。 学術分野のフェデレーションである「学認」で使われているShibboleth(SAML)や、最近標準化が進んできたOpenID Connect (with OAuth 2.0)の実装等の実績もあります。 認証認可関連の受託開発等お気軽にお問合せください。

要素技術概要
認証と認可
認証(Authentication)と認可(Authorization)は混同されがちですが、本来別の概念です。

認証の目的は、本人確認(身元識別)です。 確認の手段はIDとパスワードが一般的ですが、より確実に認証を行う為に証明書/IDカードを使ったPKI認証や、指紋等を使った生体認証等の方法もあります。 認証保証レベル(Level of Assurance:LoA)と言う考え方があり、複数の認証手段を使う多要素認証や多段認証も使われます。

認可の目的は、認証済みの利用者に対してのリソースへのアクセス権限制御です。 利用者の識別により、扱えるリソースを制限したりすることが可能です。

SNS(ソーシャルネットワーク)が普及するにつれ、認証認可は身近になってきている技術だと思います。 皆さんもSSO(シングルサインオン)により何度もパスワード入力することなくソーシャルサービスを使っているのではないでしょうか。
OpenIDとOAuth
OpenIDは2005年に米シックス・アパートで開発された認証技術です。 現在はOpenID Foundationが標準化や普及活動を行っています。 日本ではOpenIDファウンデーション・ジャパンが仕様の日本語化をはじめ活動しています。 OpenID認証はバージョン1.0から2.0へと更新された後、より汎用的なOpenID Connectとして標準化が行われています。

OAuthは2007年に発生したインターネットコミュニティにて整備されたAPI認可技術です。 日本ではOAuth.jpで普及活動や日本語化が行われて来ましたが最近ではOpenIDファウンデーション・ジャパンと共同になってきているようです。

OpenID Connectは正確には「OpenID Connect with OAuth 2.0」として利用します。 つまり認証にOpenID Connectを利用してアクセストークンを取得し、そのアクセストークンによりOAuth 2.0を利用して属性情報への認可を行います。

OpenID系技術はオープンな連携を目指しています。 SNS等でのサポートが今後予想されます。

OpenIDではサービス提供者アプリケーションをRP(Relying Party)と呼び、ID管理を行なうサイトをOP(OpenID Provider)と呼びます。 ただしOPとは少し紛らわしいのでこのページではOpenID IdPと書いています。
Shibboleth(SAML)
SAML(Security Assertion Markup Language)は、OpenID等が普及する前から使われているXMLを使った認証技術です。 学術向けにSAMLをベースにしたオープンソース実装がShibbolethです。 Shibboleth米国EDUCAUSE/Internet2のプロジェクトとして2000年より開発が進められて来ました。 日本においても「学認(学術認証フェデレーション)」のプラットホームとして利用されています。 Shibbolethに関しての詳しい情報は学認サイトにもまとめられています。

サイト間の設定や認定に署名を利用しており厳格な管理が可能となります。 学術向け等には最適と言えます。

Shibbolethではサービス提供者サイトをSP(Service Provider)と呼び、ID管理を行なうサイトをIdP(ID Provider)と呼びます。

開発案件例
案件例1:Shibboleth SPからOpenID IdPを使うプロトコルゲートウェイ
Shibboleth IdPサーバのIdPAuthExternal機能を使って外部のOpeniD IdP認証サーバを利用するプロトコル変換のゲートウェイの開発案件です。 Shibboleth SPから見るとShibboleth IdPとして動作します。 Shibboleth IdPサーバはApache Tomcatアプリケーションサーバ上で動作しており、OpenID認証用のサーブレット部を開発することで実現しています。
案件例2:OpenID Connect RPからShibboleth IdPを使うプロトコルゲートウェイ
開発時点でOpenID Connectの仕様は確定しておらず、利用可能なOpenID Connectの公開ライブラリも無かった為にフルスクラッチ開発した案件です。 OpenID Connect RPから見るとOpenID Connect IdPとして動作します。 Ruby on Railsにより開発を行っています。
案件例3:EAP-TLSとRadiusによるPKIネットワーク認証開発
EAP(Extensible Authentication Protocol)-TLSは、無線LANなどで利用される認証規格「IEEE 802.1x」に対応した、サーバとクライアント間の認証に電子証明書を利用した認証プロトコルです。 証明書と秘密鍵を発行する認証局の構築と、RADIUSサーバ(FreeRADIUS利用)によるネットワーク認証の実装を行いました。 FreeRADIUSの失効検証はダイナミックに行えなかった為に、独自にCRL取得と検証部を実装することでほぼリアルタイムに失効検証が行えます。

お問合せ
その他ご検討に関するお問い合わせや質問は、弊社担当までご連絡ください
  • Tel/Fax: 03-3862-2268 (担当:宮地)
  • Mail: (クリックしてメール送信可能です)

Copyright © 2000-today LangEdge,Inc. all rights reserved.