要求ベース認証とは - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

要求ベース認証は、信頼されたトークンに含まれる自身の ID に関する一連の要求に基づいてユーザーを認証するプロセスです。このようなトークンは、多くの場合、要求ベース認証を行うエンティティに信頼され、他の手段でユーザーを認証できるエンティティによって発行および署名されます。

要求とは

要求は、ある主体が自身または別の主体に関して行う声明です。この声明は、名前、ID、キー、グループ、権限、機能などに関して行われます。要求は、プロバイダーによって発行され、1 つ以上の値を与えられた後、発行者 (別名 Security Token Service、STS) によって発行されるセキュリティトークンにパッケージ化されます。

要求のメリットとは

要求は、認証 (あるエンティティがその主張通りであることを確認する) プロセスを認可 (あるエンティティがシステムの機能やリソースに対して持つ権限を確立する) プロセスから分離します。このように分離することで、シングルサインオン (複数の IT システムまたは組織全体のユーザー認証を 1 回で済ませること) が可能になるというメリットが得られます。また、要求によってユーザーの識別情報にコンテキストが追加されるため、より柔軟なアクセスポリシーを構成できます。

Security Center のコンテキストでは、認証プロセスはカスタム STS または Active Directory Federation Services (ADFS)サーバーによって処理され、認可プロセスは Security Center 自体のパーティションと権限によって処理されます。

Security Center でサポートされるユーザー認証方法とは

Security Center では、以下のユーザー認証方法がサポートされます。
Security Center ネイティブ認証
ユーザーがクライアントアプリケーションにユーザー名とパスワードを入力して Security Center にログオンします。
Active Directory 認証
ユーザーが [Windows 認証情報を使用] をクリックし、Windows ユーザーアカウントを使用してログオンします (Active Directory 統合をセットアップする必要があります)。
ADFS アクティブ認証
(WS-Trust プロトコル) クライアントアプリケーションが信頼される ID プロバイダー (ADFS サーバー) にユーザー名とパスワードを送信して認証を行います。
ADFS パッシブ認証 (または Web ベース認証)
(WS-Federation プロトコル) クライアントアプリケーションが、信頼される ID プロバイダー (ADFS サーバー) によって管理される Web フォームにユーザーをリダイレクトします。ID プロバイダーは、任意の数の認証情報を要求して、クライアントアプリケーションを経由せずにユーザーを認証できます。 多要素認証 (MFA)をこの認証方法で実装できます。
注: ADFS によるフェデレーションユーザーは、Security Center で最初のログオン時にのみ作成されます。Active Directory とは異なり、ADFS ロールが ADFS サーバーに接続するときに、インポートされるすべてのユーザーを Security Center で作成するオプションはありません。

要件

ADFS を認証に使用するには、次の条件を満たす必要があります。
  • クライアントワークステーションが ADFS サーバーに到達できること。
  • ADFS サービスの HTTPS 暗号化証明書がクライアントワークステーションによって信頼されていること。

パフォーマンスへの影響

  • Directory のスケーラビリティは、この機能の影響を受けません。
  • ADFS 認証情報を使用したユーザーログオンは、クライアントワークステーションが Directory に接続する前に 1 つ以上のリモート ADFS サーバーに接続する必要があるため、通常のログオンより少しだけ時間がかかると予想されます。

下位互換性

[ログオン] ダイアログボックスの [Windows 認証情報を使用] オプションは、バージョン 5.4 以降でのみ機能します。

ADFS アクティブ認証は、古いバージョンの Security Desk または SDK を実行しているクライアントワークステーションでサポートされますが、ユーザーがパスワードを入力する必要があります。

ADFS パッシブ (Web ベース) 認証は、5.7 SR2 以降でのみ機能します。