現在、認証と承認の仕組みに興味を持っており、色々と調べているところなのですが、イマイチ具体的に理解できないので質問させていただきます。

そもそも、認証はIDとパスワード等の組み合わせが正しいか、そうでないのか、で、本人であるかどうかを確認するプロセスのことだと理解しています。

承認は、認証されたユーザに対して、どの様な権限が与えられているのか、また、その与えられた権限を承認するのが、承認のプロセスだと理解しています。

それぞれ、認証と承認は別々のサービスとして存在する(例えば、認証はKerberos認証やNTLM認証、承認はLDAPやActiveDirectory)と認識しています。

ここで疑問なのですが、認証されたユーザと、そのユーザが持っている権限はどのように・どうやって関連づけられているのでしょうか?

例えば、
認証サーバAを設置し、LDAPやActiveDirectoryなどのディレクトリサービスを提供するサーバBを設置し、何らかのサービスを提供しているサーバCを設置している様な環境で、Cにログインするための認証を認証サーバAに問い合わせ、そのサービスに対する権限情報をサーバBから取得し、やっと、サーバCのサービスが利用できる、といった様な流れになるのでしょうか?

また、認証サーバAはどうやって、問い合わせのあったサービスを利用する権限をそのユーザが持っていて、またどの程度の権限がある、と言う様な判断はどうやって行われているのでしょうか。

よろしくお願い申し上げます。

このQ&Aに関連する最新のQ&A

A 回答 (3件)

No.2です。



==<No.2お礼より引用>==
いずれの場合においても、認証と承認(アクセス権情報の格納)は1つのマシン内で管理する必要がありそうですね。

質問の主旨から行くと、認証と承認を別のマシンで管理する事は可能か、と言うことだったので、皆様のご回答から行くと、難しいのかもしれませんね。
==<引用終了>==

そういう仕組みはあります。
例えばSAMLがそうです。

http://www.atmarkit.co.jp/fsecurity/rensai/webse …

の真ん中辺り,図1にSAMLのフレームワークが書かれていますが,SAMLにはAuthentication Authority, Attribute Authority, Policy Decision Pointの3つのオーソリティがあり,Authentication Authorityが認証を,Policy Decision Pointが承認を担っています。

SAMLの仕様は

http://www.oasis-open.org/committees/tc_home.php …

にあるので,興味があれば調べてみてください。

参考URL:http://www.atmarkit.co.jp/fsecurity/rensai/webse …
    • good
    • 0
この回答へのお礼

だんだんとわかってきた気がします。
色々と詳しくありがとうございました。

もう少し色々勉強してみたいと思います。

お礼日時:2006/10/19 09:44

認証=authentication(以下authn),


承認=authorization(以下authz),
と解釈して話を進めます。

Authzのアクセス権を管理する方法は,大きく
・アクセス対象(ファイルなど)のメタ情報として管理する
・アクセス者(ユーザー)のメタ情報として管理する
の2方式に分けられると言われています。

質問の主旨は,おそらく,後者の場合,そのアクセス権情報がどこに格納されていて,どういうタイミングで利用されるのか,ということだと思います。

実際のところ,これについては,実現方式によりさまざまです。

一番単純なやり方としては,例えば,認証機能をもつディレクトリーサーバー(LDAPやActiveDirectory,質問のA+B)に,ユーザー毎にどのサービスへのアクセス権があるかを格納しておき,authzの時にサービス提供サーバー(C)から,ディレクトリーサーバーに問い合わせる,という方法が考えられます。または,authnが終わったら,そのユーザーが所有するアクセス権をオブジェクト化し,有効期限(例えば認証セッション終了時)が終わるまで持ち回るという方法も考えられます。この場合,サービス利用毎にいちいちディレクトリーサーバーに問い合わせる手間が省けますが,アクセス権オブジェクトが複製されたり有効期限を越えて利用されたりする危険があるのでセキュリティ的には弱くなります。

またこのバリエーションとして,Kerberosのように,KDC内に Authentication Server (AS, 認証サーバー)と Ticket-Granting Server (TGS,チケット交付サーバー)を持ち,ASが認証(Aの役割)を,TGSがアクセス権オブジェクトの生成(Bの役割)を行うようなシステムもあります。Kerberosの場合,ユーザーはまず利用したいサービス(C)を決め,当該サービスの利用券(アクセス権オブジェクト)をKDCに要求します。KDCはユーザーをASで認証した後TGSに転送し,TGSは当該ユーザーの当該サービスへの利用券をユーザーに交付します。ユーザーはそれを持ってサービスCに行き,サービスを受ける,という流れになります。

(参考URLはKerberosの解説)

このように,ユーザーのメタ情報としてのアクセス権をどこに格納し,どのタイミングで取り出すかについては,いろいろな方法があり,一概にこれ,と答えることはできません。

参考URL:http://www.ne.jp/asahi/yokohama/juk/krb/krb-open …
    • good
    • 0
この回答へのお礼

大変わかりにくい質問の仕方をしてしまって、すいませんでした。
概ね理解できました。ご回答ありがとうございました。

いずれの場合においても、認証と承認(アクセス権情報の格納)は1つのマシン内で管理する必要がありそうですね。

質問の主旨から行くと、認証と承認を別のマシンで管理する事は可能か、と言うことだったので、皆様のご回答から行くと、難しいのかもしれませんね。

ありがとうございました。

お礼日時:2006/10/12 17:02

詳細と正確なところは後続の回答者におまかせして、以下概略です。



認証は記述の通り、ユーザ認証のことであり、
承認は記述の通り、アクセス権の確認のことで合っていると考えます。

また、認証では加えて、
ユーザと所属する組織/グループ等情報を関連付けます。

認証とアクセス権確認は別機能ではありますが、
別個のサービス(service)として起動していたかは不確かです。
なお、Kerberos認証やNTLM認証,LDAP,ActiveDirectory(AD)は全て認証側のものです。
LDAPやADは認証サーバ/ディレクトリサーバ,
Kerberos認証やNTLM認証は認証機構、Kerberos認証はADで、NTLM認証はNTで使われていたりします。

ファイルやフォルダのアクセス権などの情報は、
フォルダに記録されています。
#UNIXはそう。Windowsも同じと思いますが未確認。

よって、
ログイン時に、ディレクトリサーバ等でユーザとパスワードのマッチングを確認、
かつユーザと所属組織/グループ等の情報が関連付けられ、
ファイル等アクセス時に、ファイル等の所持するアクセス権情報を確認して、アクセスが承認されます。

基本はこれで間違っていないはずなのですが、
すいません、裏づけのための確認をしていません。

この回答への補足

ご回答ありがとうございます。

補足で疑問点があるのですが、ACL等を利用した様な一元管理を行うような場合は、どういった流れで認証・承認がおこなわれるのでしょうか?

フォルダにアクセス権が記録されている場合は、なんとなくイメージしやすいのですが、各種リソースに対するアクセス権等はどうやって、どこの誰が管理しているのでしょうか?

補足日時:2006/10/06 11:20
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q認証パスワードについて

もしも違うカテゴリーの質問だったら済みません。
携快電話11で、パソコン本体とFOMA D901iを
FOMA充電ケーブルで接続してデータのバックアップ
などの作業をしようとしたところ、携帯の画面に「端末
認証番号」や「認証パスワード」の入力を求める画面が表
示されます。端末認証番号については、買い上げ時のま
まなので問題はないのですが、「認証パスワード」って
何ですか?「認証パスワード」なんて設定した覚えがあ
りません。携帯電話のマニュアルにもこんなモノ、記述
されていないし・・・。「端末認証番号」と同様、工場
出荷時のデフォルトのパスワードが入ってるのでしょ
うか?また、それを調べる方法はありますか?

Aベストアンサー

私の使っている「ケータイリンク」の場合ですから、的外れかもしれませんが。

ケータイリンクでは、データをPC→携帯電話に書き戻す場合に、携帯電話側で「2つの暗証番号」を聞かれます。
1つは、質問者の方が書かれている「端末認証番号」ですが、2つめのは、携帯電話とはまったく関係のない暗証番号です。
PCのケータイリンクの画面上に「携帯電話に送り側の暗証番号として0000と入力してください」と表示されて、その通りに、形態電話から「0000」と入力すると、データの書き戻しが始まるのです。
つまり、この暗証番号は、携帯電話とはまったく無関係で、たぶん単に最終確認のために、ケータイリンク側が表示した暗証番号(0000)をそのまま入力させるものでした。
(別のソフトでは、同じような場合に「1111」を入力させてました。)

「携快電話11」の場合も、ソフトの画面上に何かそれらしいメッセージが表示されていませんか。

Q認証局の認証局?

PKI等で使われる電子証明書について教えてください。

認証局が発行する電子証明書には、認証局の電子署名が入っているそうですが、その署名はどうやって検証するのでしょうか?検証するためには、認証局の公開鍵すなわち認証局の電子証明書が必要になり、その中には、また別の電子署名があると思いますので、その電子署名を検証しないといけないと思います。
こう考えると、いつまでたっても証明できないような気がしますが...

また、電子証明書の電子署名とは、電子証明書データのハッシュ値を暗号化したものと考えればよいでしょうか?

Aベストアンサー

PKIを勉強していく上でここに疑問を感じるというのは、的を射ていると思います。その疑問もっともです。
CAのCAのCA...となっていき、最終的にはルートCAを信用するかしないかです。
最高位に位置するルートCAの署名は、自分で行っています。つまりルートCAの証明書の発行人はそのルートCA自分自身なのです。PKIシステムの苦しい原則があります。
つまり世の中には神様が必要なのです。
その最高位のルートCAを信用するかどうかは、システムの設定です。Windowsの場合はデフォルトで多くの商用CAが勝手に信頼リストに入っています。
よって有名なCAは既にあなたは信頼しているという設定になっています。

QSSH公開鍵認証はパスワードを変更すると認証できなくなりますか?

SSH公開鍵で、認証できていたのですが、
ログイン先のパスワードを変更すると認証できなくなりました。
これはSSHの仕様でしょうか?

又、nologinではなく、ユーザー作成時にパスワード未設定とし、
パスワードではログインできない状態に戻したいのですが
一度パスワードを設定してしまうと不可能でしょうか?

Aベストアンサー

>SSH公開鍵認証はパスワードを変更すると認証できなくなりますか?

なりません。

Q[サーバ]Windows2000 サーバ + ウィルスソフト

こんばんわぁ♪

Windows2000サーバでインターネットサーバ群の運営を計画し、実験しています。
最近、ウィルスに頻繁に感染します。

そこで質問!
Windows2000サーバでウィルスバスター2002は使えますか??
また、サーバで使えるウィルス対処ソフトは何がありますか??

宜しくお願いいたします。

Aベストアンサー

まず、windows2000のまともな知識を勉強されたほうがいいと思いますよ。
現在入っているコンポーネントや、サービスの一覧のうち本当に必要なものだけが動いていることが把握できていますか?
それから、window2000に入っているソフトのセキュリティパッチは当ててらっしゃいますか?(windowsUpdateでは、足りません。)

そういう対策をきっちりとした上で、ウイルス対策ソフトを入れましょう。

ウイルスバスター2002は、windows2000serverには対応していません。
Norton AntiVirus Enterprise Solution とか、トレンドマイクロサーバープロテクトとかがあります。



動作するという意味では、一般向けのアンチウイルスでも、serverで
ないようにプロテクトをかけてなければ、動くものがほとんどですが、
ライセンス条件に違反します。

Qグーグル2段階認証を設定しましたが、outlook2010でGメールのパスワードを求められ、今までの

グーグル2段階認証を設定しましたが、outlook2010でGメールのパスワードを求められ、今までのパスワードでは認証しませんでした。2段階認証は、携帯端末にログインしますか?とダイアログがでるタイプです。2段階認証を設定したままメール《imap方式》をメーラーで受け取れる方法を、教えてください。

Aベストアンサー

http://odangopony.hatenablog.com/entry/2016/04/01/204805
2段階認証 Gmail アカウントを他のメーラー(メールソフト)で使う - Early Berry

QSymantecAntiVirusの親サーバ、サーバグループについて教えて下さい。

これってインストールしたとき自動で設定されるものなのでしょうか?
いろいろなサーバを見ているのですが一つだけどちらも空白です。
それともなんらかの設定ファイルが壊れたのでしょうか?
ウイルス定義ファイル更新も4月の23日から止まっていますが・・・

Aベストアンサー

SAVはインストール方法がいろいろあるのですが
クライアント上でインストーラーを動かしたみたいですね。
インストール途中で「管理下」か「管理外」を聞かれます。
既にインストールが終わっているのなら親サーバでhstファイルを作りクライアントに読み込ませます。

Qパスワード認証について

はじめまして!こんにちわ!
WEB上でのセキュリティ認証の事でお聞きしたいことがあります。
セキュリティー認証でたとえばIDとパスワードで一つの会員ページを閲覧する事は出来るのですが、IDとパスワードごとにそれぞれの管理ページに認証する方法が解りません。
どういった事をすれば可能になるのでしょうか?
よろしくお願いします。

Aベストアンサー

セキュリティー認証が何の認証なのかわかりませんが、
Basic認証なのであれば、ディレクトリを分けるなどして
別々に設定することは出来ます。

但し、それは面倒ですので、普通は、CGIを使うでしょう。
CGIへアクセスすると、ログインフォームを表示し、
そこにIDとパスワードを入力し送信すると、
CGIがサーバー上の、データベースと照合し、あっているならば
そのID用のページを表示するのです。

Qホスティングサービスのウイルス対策サービス

1)ホスティングサービスの一つ標準でついてたり、オプションでついてたりするウイルス対策機能

2)プロバイダーの提供するメールウイルス対策

3)シマンテックやトレンドマイクロなどのウイルス対策ソフト

機能が重複するのかどうか私自身が知識がないのでわかっていませんが、2)3)を現在利用しています。諸事情により近々ホスティングサービスを受けようと思っているのですが、ここでウイルス対策機能がオプションの場合、利用したほうがいいのでしょうか?2)3)で充分だと思うのですが・・・

Aベストアンサー

ホスティングサービスをどのような目的で使用するかによって、利用すべきかどうかが変わってくると思います。もし、2と3をきちんと実行しているのであれば、あまり重要ではないかもしれませんね。

ホスティングサービスで利用するウィルス対策機能というのは、文字通り、ホスティングサービス上で利用するファイルのウィルスチェック機能です。

もしホスティングサービスでホームページを公開し、そのホームページから訪れた人に公開中のファイルをダウンロードしてもらおうなどと考えている場合は、このサービスがあって損はないです。

もちろん、自分のパソコンにインストールされているシマンテックやトレンドマイクロのウィルス対策ソフトを常時最新版のパターンファイルにしてチェックし、チェック後にアップロードするのであれば、ウィルス感染の可能性は低いため、ホスティングサービス上でチェックしなくても大丈夫なはずです。

■ホスティングサービスのウィルス対策機能
このサービス上で公開されるファイルやこのサービスを使ってやり取りするメールをサーバ上でチェックできる。

■プロバイダの提供するメールウィルス対策機能
プロバイダを使ってやり取りされるメール及び添付ファイルのウィルスチェックがメールサーバ上でできる。

■ウィルス対策ソフトの機能
届いたメールや送信するメール、CD-RやFDなどで外部から入手したファイルのウィルスチェックができる

といった違いがあります。長々となってしまってすいません。

ホスティングサービスをどのような目的で使用するかによって、利用すべきかどうかが変わってくると思います。もし、2と3をきちんと実行しているのであれば、あまり重要ではないかもしれませんね。

ホスティングサービスで利用するウィルス対策機能というのは、文字通り、ホスティングサービス上で利用するファイルのウィルスチェック機能です。

もしホスティングサービスでホームページを公開し、そのホームページから訪れた人に公開中のファイルをダウンロードしてもらおうなどと考えている場合は、この...続きを読む

QPCの指紋認証・数字パスワード以外は?

PCの指紋認証・数字パスワード以外は?

自分が知っているPCを開く際に
使われているのは、指紋認証とパスワード
しかしりません。

それ以外のものってあるのでしょうか?

Aベストアンサー

指静脈認証技術を使用しているものがあります。

参考URL:http://www.hitachi.co.jp/products/it/veinid/tec/index.html

Q「Norton製品更新サービスの有効期限内のサービスの一環を受けるべき?

2007年に電器店でパッケージ購入したノートンインターネットセキュリティ2007を、1年たったあとは、有料の更新サービスで延長して使い続けています。
そのほうが、2008や2009へのアップデートを購入するよりも断然安かったからです。

最近になって、Windowsのタスクバーにアイコンが現れて、それをクリックすると
「製品更新サービスの有効期限内のサービスの一環として、新しいバージョンのNorton Internet SeculityTMが利用可能です。
 更新サービスの期限が切れる前に新しいバージョンをダウンロードすることによって最新の保護情報を入手してください。」
というメッセージが現れます。
メッセージについている「詳しい情報」というリンク先は、
「ノートン・インターネットセキュリティ2009 のインストール」の画面です。(画像添付)

質問:私はインストールするべきでしょうか?
気になる点:(1)インストールは無料だが、その後の更新が2007のままでいるよりも高くなるのでは?
(2)今持っている、2007更新サービスの有効期限がちゃらになって、タイミング的になにか損をするのでは?もし、2009が欲しければ、今持っている有効期限が終わる直前にインストールしたほうがいいのでは?
(3)私のPCは激安品で、XPを動かすのがやっとの、CPUセレロン(たいしたことないランク)とメモリ512MBで、動画とか見ないので速さ(重さ)はとても満足していてメモリを増やす必要を全く感じません。夏季の発熱にはちょっとうんざりしつつ我慢できている程度です。2009にしたら、重くて熱くて耐えられずメモリか最悪PCを買い換える=大変な出費ってことになってしまわないか?
(4)ほかにも、私が気づいてない注意事項があるのでは?

よろしくお願いします。

2007年に電器店でパッケージ購入したノートンインターネットセキュリティ2007を、1年たったあとは、有料の更新サービスで延長して使い続けています。
そのほうが、2008や2009へのアップデートを購入するよりも断然安かったからです。

最近になって、Windowsのタスクバーにアイコンが現れて、それをクリックすると
「製品更新サービスの有効期限内のサービスの一環として、新しいバージョンのNorton Internet SeculityTMが利用可能です。
 更新サービスの期限が切れる前に新しいバージョンをダウンロードす...続きを読む

Aベストアンサー

》質問:私はインストールするべきでしょうか?
・最新バージョンをインストールすることをお奨めします。但しWindowsXP以降に限ります(Windows2000以前では使えません)

(1)料金は変わりありません

(2)無償のバージョンアップです。途中でアップしても従来からある有効期限がそのまま引き継がれます。ですから今の期限切れを待つ意味は全くありません

(3)重さについては 2007>2008>2009 のようにバージョンアップの都度軽くなっているようです。

(4)ただ、メモリーについて不満はないとのようですが512→1,024にアップすると見違えるほど快適になりますよ。価格も思いのほか高くないです。一度検討なさっては。512→1,024の増強は目に見える効果が出る一番のケースかと思います。


人気Q&Aランキング

おすすめ情報