Skip to content

Latest commit

 

History

History
219 lines (147 loc) · 18 KB

glossary.md

File metadata and controls

219 lines (147 loc) · 18 KB

用語集

  • アクセス制御 (Access control)
    リソースへのアクセス許可または拒否を制御すること。

  • アカウントロックアウト (Account lockout)
    連続した認証失敗後に、一時的または恒久的にアカウントを非アクティブにする行為。

  • アクション (Actions)
    認可された対象がリソースに何ができるかを示す動詞。ポリシーの一部として定義されます。

  • アドバイス (Advice)
    アクセスを拒否するポリシー決定のコンテキストにおいて、アクセスを許可する是正の決定につながる可能性があるポリシー実施点へのヒント。

  • エージェント管理者 (Agent administrator)
    ポリシーエージェントのプロファイル設定情報の読み書きができる権限を持つユーザー。一般的にポリシーエージェントをインストールするユーザーに、ポリシーエージェントのプロファイルの作成を委任するために作成されます。

  • エージェント認証 (Agent authenticator)
    同じレルム内に定義された複数のエージェントプロファイルへの読み取り専用アクセス権を持つエンティティ。エージェントがWebサービスプロファイルを読み取ることができるようにします。

  • アプリケーション (Application)
    一般的には、保護されたリソースを公開するサービス。 OpenAMのポリシーの文脈では、アプリケーションは保護されたリソースへのアクセスを管理するポリシーを制約するテンプレートです。アプリケーションは、0個以上のポリシーを持つことができます。

  • アプリケーションタイプ (Application type)
    アプリケーションタイプは、ポリシーアプリケーションを作成するためのテンプレートとして機能します。アプリケーションタイプは、ポリシーの検索やリソースコンパレータのロジックのようなアクションや機能のロジックのプリセットリストを定義します。アプリケーションタイプは、アプリケーションのための内部の正規化、索引付けのロジック、コンパレータのロジックを定義します。

  • 属性ベースのアクセス制御 (Attribute-based access control: ABAC)
    ユーザーが何才か、またはユーザーがお金を使ってくれる顧客であるか否かというような、ユーザーの属性に基づくアクセス制御。

  • 認証 (Authentication)
    主体のアイデンティティを確認する行為。

  • 認証連鎖 (Authentication chaining)
    正常に認証するために主体が交渉しなければならない一連の認証モジュール群。

  • 認証レベル (Authentication level)
    認証モジュールに関連付けられた正の整数。通常、特別な保護を必要とするリソースを要求する際に、より厳格な認証施策の成功を必要とするために使用されます。

  • 認証モジュール (Authentication module)
    資格情報(例えば、IDとパスワード)の取得と検証を行うOpenAMの認証の単位。

  • 認可 (Authorization)
    リソースへのアクセスを付与するか拒否するかどうかを決定する行為。

  • 認可サーバー (Authorization Server)
    OAuth 2.0 では、リソースオーナーを認証し、保護されたリソースにクライアントがアクセスすることをリソースオーナーが認可することを確認した後、クライアントにアクセストークンを発行します。OAuth 2.0の認可フレームワークにおいて、OpenAMはこの役割を担うことができます。

  • 自動フェデレーション (Auto-federation)
    異なるプロバイダ間で共有される主体のプロファイルの共通の属性値に基づいて、主体のアイデンティティを自動的に連携する仕組み。

  • バルクフェデレーション (Bulk federation)
    サービスプロバイダとアイデンティティプロバイダの両方に存在するユーザー識別子のリストに基づいて、両者間のユーザープロファイルを恒久的に連携するバッチジョブ。

  • トラストサークル (Circle of trust)
    SAML v2.0によるプロバイダフェデレーションに参加するため、相互に信頼することに合意したプロバイダのグループ。少なくとも1つのアイデンティティプロバイダを含む必要がある。

  • クライアント (Client)
    OAuth 2.0において、認可を受けてリソースオーナーの代わりに保護されたWebリソースを要求するアプリケーション。OpenAMは、OAuth 2.0認可フレームワークでこの役割を担うことができます。

  • 条件 (Condition)
    ポリシーが適用される状況を決定する要素。ポリシーの一部として定義されます。環境条件は、クライアントIPアドレス、時刻、対象がどのように認証されたか、認証レベルに達したか、といった状況を反映しています。対象条件は、対象が認証済みかどうか、対象のアイデンティティ、対象のJWTのクレームなど、対象の特徴を反映しています。

  • 設定データストア (Configuration datastore)
    OpenAMの設定データを保持するLDAPディレクトリサービス。

  • コアトークンサービス (Core token service: CTS)
    OpenID Connect 1.0やSAML 2.0のトークンをデータストアであるOpenDJに保存し、冗長構成となっているOpenDJ間でレプリケーションするサービスのこと。これにより、一方のサーバーがダウンしても、SAML 2.0やOAuth 2.0の認証処理が継続できるようになっています。

  • クロスドメインシングルサインオン (Cross-domain single sign-on: CDSSO)
    異なるDNSドメインをまたがるシングルサインオンを可能にするOpenAMの機能。

  • クレデンシャル (credential)   IDとパスワードのように、ユーザーの認証に用いられる情報の総称。その他に、バイオメトリクス(指紋、静脈、網膜スキャン)、X.509、公開鍵証明書などが含まれます。

  • クロストーク (Cross talk)   サイト構成をの一部として正常に動作する他のOpenAMサーバーからセッションを取得すること。OpenAMサーバーとネットワークの両方に生じる追加のオーバーヘッドが全体的なパフォーマンスを悪化させるため、ロードバランサを適切に設定することで回避した方がいいです。

  • 委任 (Delegation)
    OpenAMでユーザーに管理者権限を付与すること。

  • エンドポイント(Endpoint)
    一般的に、サービスを提供するURIを意味します。例えば、OpenID ConnectのOPは、認証・認可を実行するための認可エンドポイントや、エンドユーザーの情報を取得するためのユーザー情報エンドポイントなどを公開します。

  • エンタイトルメント (Entitlement)
    特定のアプリケーションのコンテキスト内の指定された対象に対して、どのリソースがアクセスできるか、どのアクションが許可、拒否されるか。また、関連するアドバイスと属性を定義する決定。

  • 拡張メタデータ (Extended metadata)
    OpenAM特有のフェデレーション設定情報。

  • XACML (Extensible Access Control Markup Language)
    ポリシーに基づいて認可の決定を行うための処理モデルを含む、標準的なXMLベースのアクセス制御ポリシー言語。

  • フェデレーション (Federation)
    次のことを可能にするための標準化された手段。
    ・アイデンティティを集約する
    ・信頼されたプロバイダー間で認証・認可データを共有する
    ・主体が認証を繰り返すことなく異なるプロバイダ間でサービスにアクセスする

  • Fedlet
    サービプロバイダ側にOpenAMをインストールすることなく、トラストサークルに参加し、フェデレーションを可能にするサービスプロバイダアプリケーション。 OpenAMでは、.NETとJava用のFedletを作成することができます。

  • ホットスワップ可能 (Hot swappable)
    OpenAMが実行されるコンテナを再起動することなく、設定変更が反映できること。

  • アイデンティティ (Identity)
    人やデバイスやアプリケーションなどのモノを一意に記述するデータのセット。

  • アイデンティティフェデレーション (Identity federation)
    複数のプロバイダ全体で主体のIDをリンクすること。

  • アイデンティティプロバイダ (Identity provider: IdP)
    主体に関するアサーション(いつどのように主体が認証されたか、本人のプロファイルが指定された属性値を持っているかなど)を生成するエンティティ。

  • アイデンティティリポジトリ (Identity repository)
    ユーザープロファイルおよびグループ情報を保持するデータストア。レルムごとに異なるアイデンティティリポジトリをに定義することができます。

  • Java EE ポリシーエージェント (Java EE olicy agent)
    ポリシーエージェントとして機能するWebコンテナにインストールされるJava Webアプリケーション。アプリケーションリソースのURLに基づいたポリシーで、コンテナ内の他のアプリケーションへのリクエストをフィルタリングします。

  • メタデータ (Metadata)
    プロバイダのフェデレーションの設定情報。

  • ポリシー (Policy)
    いつ、どのように、どのような条件下で保護されたリソースへのアクセスを許可するかを定義した一連のルール。

  • ポリシーエージェント (Policy Agent)
    リソースに対するリクエストをインターセプトして、認証のためにOpenAMに主体をリダイレクトし、OpenAMによるポリシー決定を適用するエージェント。

  • ポリシー管理ポイント (Policy Administration Point: PAP)
    ポリシー定義を管理、格納するエンティティ。

  • ポリシー決定点 (Policy Decision Point: PDP)
    アクセス権を評価し、その後、認可の決定を発行するエンティティ。

  • ポリシー実行点 (Policy Enforcement Point: PEP)
    リソースへのリクエストをインターセプトし、PDPから取得したポリシー決定を適用するエンティティ。

  • ポリシー情報点 (Policy Information Point: PIP)
    PDPが決定を行うために必要な、ユーザプロファイル属性などの追加情報を提供するエンティティ。

  • 主体 (Principal)
    認証されたエンティティ(例えば、ユーザー、デバイス、アプリケーションなど)を表します。したがって、他のエンティティとは区別されます。主体が正常に認証されると、OpenAMは主体と対象(Subject)を関連付けます。

  • 権限 (Privilege)
    委任された管理において、与えられたレルム内で指定された対象によって実行可能な管理タスクのセット。

  • プロバイダ連携 (Provider federation)
    トラストサークルに参加するためのプロバイダ間の合意。

  • レルム (Realm)
    設定およびアイデンティティ情報を整理するための単位。組織の異なる部分が異なるアプリケーションとユーザーデータストアを持っている場合や、異なる組織が一つのOpenAMを使用する場合などに、レルムを使用することができます。管理者は、レルムの管理を委任することができます。管理者はユーザーに管理者権限を割り当てることができ、レルム内の管理タスクの実行を許可します。

  • リソース (Resource)
    ウェブページのように、ユーザーがネットワーク経由でアクセス可能なもの。ポリシーの一部として定義され、これらには複数のリソースと一致させるためにワイルドカードを含めることができます。

  • リソースオーナー (Resource owner)
    OAuth 2.0において、保護されたWebリソースへのアクセスを許可することができるエンティティ。エンドユーザーなど。

  • リソースサーバー (Resource server)
    保護されたWebリソースを保持するサーバー。そのようなリソースへのリクエストにレスポンスを返すためにアクセストークンを処理することができます。

  • 応答属性 (Response attributes)
    ポリシーの一部として定義され、これらにより、OpenAMはポリシー決定に対するレスポンスに"attributes"のかたちで追加の情報を返すことができます。

  • ロールベースのアクセス制御 (Role based access control: RBAC)
    ユーザーがアクセス権限のセット(ロール)を付与されているかどうかに基づいたアクセス制御。

  • セキュリティアサーションマークアップランゲージ (Security Assertion Markup Language: SAML)
    アイデンティティプロバイダとサービスプロバイダの間の認証および認可データを交換するための標準的なXMLベースの言語。

  • サービス管理サービス (Service Management Service: SMS)
    [TODO]。

  • サービスプロバイダ (Service provider: SP)
    主体についてのアサーションを消費する(および主体がアクセスしようとしているサービスを提供する)エンティティ。

  • セッション (Session)
    OpenAMを介したユーザー認証で開始し、ユーザーのログアウト、またはそれを切断して終了するまでの間隔。ブラウザベースのクライアントの場合、OpenAMは、セッションCookieを設定することによって、1つ以上のアプリケーション間のユーザーセッションを管理します。ステートフルセッションとステートレスセッションを参照してください。

  • セッションフェイルオーバー (Session failover: SFO)
    最初に主体を認証したOpenAMサーバーがオフラインになったときに、この機能は別のOpenAMサーバーがセッションを管理することを可能にします。

  • セッショントークン (Session Token)
    認証が成功した後、OpenAMによって発行される一意の識別子。ステートフルセッションの場合、セッショントークンは主体のセッションを追跡するために使用されます。

  • セッションアップグレード (Session Upgrade)
    [TODO]。

  • シングルログアウト (Single log out: SLO)
    主体が一回でセッションを終了できるようにする機能。これにより、複数のアプリケーション間で主体のセッションが終了します。

  • シングルサインオン (Single sign on: SSO)
    主体が一回認証を受けると、再び認証を受けることなく、複数のアプリケーションへのアクセスを獲得することができる機能。

  • サイト (Site)
    ロードバランサーのレイヤーを介してアクセスするように、同等の設定がされたOpenAMサーバーのグループ。ロードバランサーは、サービスレベルの可用性を提供するために、フェールオーバーを処理します。サイト内のクロストークを最小限に抑えるために、amlbcookie値に基づいたスティッキーロードバランシングを使用します。ロードバランサーは、OpenAMサービスを保護するために使用することもできます。

  • 標準メタデータ (Standard metadata)
    他のアクセス管理ソフトウェアと共有することができる標準的なフェデレーションの設定情報。

  • ステートフルセッション (Stateful session)
    OpenAMサーバーのメモリに常駐する、または(セッションフェイルオーバーが有効になっている場合は)コアトークンサービスのトークンストアに保持されるOpenAMのセッション。OpenAMは、ログアウトやタイムアウトなどのイベントを処理するために、またはセッション制約を可能にするために、またはセッションが終了した際にSSOに関与するアプリケーションに通知するために、ステートフルセッションを追跡します。

  • ステートレスセッション (Stateless session)
    OpenAMでエンコードされ、クライアントに保存されるOpenAMセッションの状態の情報。セッションの情報は、OpenAMのメモリに保持されません。ブラウザベースのクライアントの場合、OpenAMはセッション情報が含まれているブラウザのCookieに設定します。

  • 対象 (Subject)
    リソースへのアクセスを要求するエンティティ。対象の認証が成功すると、OpenAMは他の対象と区別する主体を対象に関連付けます。対象は、複数の主体に関連付けることができます。

  • ユーザーデータストア (User data store)
    主体のプロファイルを保持するデータストレージサービス。基礎をなすストレージは、LDAPディレクトリサービス、リレーショナルデータベース、またはカスタムIdRepoを実装することができます。

  • Web ポリシーエージェント (Web policy agent)
    Webサーバーにインストールするネイティブライブラリであり、WebページのURLに基づいたポリシーを制御するエージェントとして動作します。

  • 代理認証
    OpenIGのように、アプリケーションへのログイン(認証)をユーザーの代わりに行うソフトウェア(※対応する英語はありません)。