A
アイデンティティプロバイダー (Identity provider, IdP)
アイデンティティプロバイダー (IdP) は、アイデンティティを管理するサービスです。現代のアイデンティティプロバイダーは、認証に OpenID Connect (OIDC) を、認可に OAuth 2.0 をサポートしています。
詳細を見る
アイデンティティとアクセス管理 (Identity and access management, IAM)
アイデンティティとアクセス管理 (IAM) は、デジタルアイデンティティを管理し、リソースへのアクセスを制御するために使用されるプロセス、テクノロジー、ポリシーを包括する広範な概念です。現代のアプリケーションやシステムにおけるセキュリティの基本的な側面です。
詳細を見る
アクセストークン (Access token)
アクセストークンは、アイデンティティ(例: ユーザーまたはサービス)に代わって保護されたリソースにアクセスするための資格情報です。トークンのスコープ(権限)に基づいて、リソースへのアクセスを許可するベアラートークンです。
詳細を見る
アクセス制御 (Access control)
アクセス制御 (Access control) は、システム内の特定のリソースに対して誰がどのようなアクションを実行できるかを制限することです。これは、アクセスポリシーを定義し施行するための基本的なセキュリティメカニズムです。
詳細を見る
暗号的に安全な疑似乱数生成器 (Cryptographically Secure Pseudorandom Number Generator)
暗号的に安全な疑似乱数生成器 (CSPRNG) は、データのセキュリティが重要な暗号アプリケーションで使用するのに適した乱数を生成する疑似乱数生成器です。
詳細を見る
API キー (API key)
API キーは、API にアクセスする際にクライアントを認証 (Authentication) し、認可 (Authorization) するために使用される一意の識別子です。これは、クライアントの身元を確認し、特定のリソースやサービスへのアクセスを許可するために API リクエストに含まれる秘密のトークンとして機能します。API キーは通常、サーバー間の通信や公開データへのアクセスに使用されます。
詳細を見る
B
不透明トークン (Opaque token)
不透明トークンは、issuer (発行者) によってフォーマットが決定されるトークンの一種で、通常は文字や数字の文字列として現れ、直接検証に必要なすべての情報を含むのではなく、issuer (発行者) による検証が必要です。
詳細を見る
D
デバイスフロー (Device flow)
OAuth 2.0 デバイス認可フローは、入力が制限されたデバイスやヘッドレスアプリケーションに対するユーザーフレンドリーなサインイン方法です。ユニークなデバイスコードを検証することで、ユーザーが完全なユーザーインターフェースを持つセカンダリデバイスを介してデバイスを認可することが可能になります。
詳細を見る
E
H
ハイブリッドフロー (Hybrid flow)
ハイブリッドフロー (Hybrid flow) は、認可コードフローおよびインプリシットフローを組み合わせた OpenID Connect (OIDC) フローです。これは認証においてセキュリティと使いやすさのバランスを提供するために設計されています。
詳細を見る
I
ID トークン (ID token)
ID トークンは、認可サーバーからクライアントアプリケーションに発行される JSON Web トークン (JWT) です。認証されたユーザーの識別子やクレームといった情報が含まれています。このトークンはユーザーのアイデンティティを確認し、クライアントアプリケーションがユーザーに代わって保護されたリソースにアクセスすることを可能にします。
詳細を見る
インプリシットフロー (Implicit flow)
OIDC のインプリシットフロー (implicit flow) は、SPA のための認証 (authentication) メソッドであり、バックエンドサーバーを介さずに認可サーバー (authorization server) から直接トークンを迅速に受け取ることを可能にします。しかし、トークンを URL に露出させることでセキュリティが低下するというデメリットがあります。
詳細を見る
J
ジャストインタイム (JIT) プロビジョニング
ジャストインタイム (JIT) プロビジョニングは、ユーザーが初めてサインインする際に動的にユーザーアカウントがプロビジョニングされるアイデンティティおよびアクセス管理 (IAM) プロセスです。
詳細を見る
JSON Web Encryption (JWE)
JSON Web Encryption (JWE) は JSON 形式のデータを暗号化および復号化する標準的な方法です。これは、JSON Web Tokens (JWTs) 内の機密情報を保護するためによく使用されます。
詳細を見る
JSON Web Key (JWK)
JSON Web Key (JWK) は暗号キーを表現するために使用される JSON ベースのフォーマットです。複数の JWK をまとめる必要がある場合、JSON Web Key Set (JWKS) として整理されます。
詳細を見る
JSON Web Signature (JWS)
JSON Web Signature (JWS) は、JSON 形式のデータを署名および検証するための標準的な方法です。OpenID Connect (OIDC) で JSON Web トークン (JWT) の完全性および信頼性を確保するために利用されます。
詳細を見る
JSON Web Token (JWT)
JSON Web Token (JWT) は、RFC 7519 で定義されたオープンスタンダードであり、2者間の安全な通信を可能にします。コンパクトでURLセーフであり、自己完結型であるため、サービス間で認証 (Authentication) と認可 (Authorization) のデータを伝送するのに理想的です。
詳細を見る
K
クライアント (Client)
OAuth 2.0 と OpenID Connect (OIDC) において、クライアントはユーザーまたは自身のために認証または認可を要求するアプリケーションです。クライアントはパブリックまたはコンフィデンシャル (プライベート) であり、トークンを取得するために異なるグラントタイプを使用します。
詳細を見る
クライアント・クレデンシャル・フロー (Client credentials flow)
クライアント・クレデンシャル・フロー (Client credentials flow) は、機密クライアントが保護されたリソースにアクセスするためのアクセストークン (access token) を取得できるようにする OAuth 2.0 グラントタイプです。これは、マシン間 (サーバー間) の通信に適しています。
詳細を見る
クレーム (Claim)
JSON Web Token (JWT) におけるクレーム (Claim) は、特定の情報を伝える名前と値のペアです。より広い文脈では、クレームは情報を表す名前と値のペアです。
詳細を見る
クロスサイトリクエストフォージェリ (Cross-site request forgery, CSRF)
クロスサイトリクエストフォージェリ (CSRF) とは、ユーザーが認証された状態の Web アプリケーションで不正な操作を実行させる攻撃です。認可されていない操作につながる一般的なセキュリティ脆弱性です。
詳細を見る
M
マジックリンク (Magic link)
マジックリンク (Magic link) は、認証プロセスを完了するために使用できる一度限りのURLです。
詳細を見る
マネジメント API (Management API)
アイデンティティおよびアクセス管理 (IAM) のコンテキストでのマネジメント API (Management API) は、ユーザー、アプリケーション、ロール、権限などのリソースをプログラムで管理するためのものです。通常は RESTful であり、IAM システムとユーザーインターフェースの間に抽象化レイヤーを提供し、自動化、統合、およびカスタム機能の開発を可能にします。
詳細を見る
マルチファクター認証 (Multi-factor authentication, MFA)
マルチファクター認証 (MFA) は、ユーザーが認証プロセスを完了するために少なくとも2つの形式の識別を提供するよう要求するセキュリティメカニズムです。これにより、認可されていないアクセスのリスクを大幅に減少させる追加のセキュリティ層が追加されます。
詳細を見る
マルチテナンシー
マルチテナンシーは、単一のアプリケーションインスタンスが複数の顧客(テナント)にサービスを提供し、それぞれのデータを分離して安全に保つソフトウェアアーキテクチャです。クラウドコンピューティングやSaaSでリソースを最適化し、メンテナンスを簡素化するためによく使用されます。
詳細を見る
マシン間通信 (Machine-to-machine)
マシン間通信 (Machine-to-machine, M2M) は、デバイス間で人間の介入なしに自動的にデータが交換されることを指します。認証 (Authentication) と認可の文脈では、M2M 通信にはリソースにアクセスする必要があるクライアントアプリケーションが関与することが多く、そのクライアントアプリケーションは機械 (サービス) であるか、ユーザーの代理として行動する機械です。
詳細を見る
O
OAuth 2.0
OAuth 2.0 は、アプリケーション (クライアント) がユーザーまたはアプリケーション自身に代わって保護されたリソースへの限定的なアクセスを取得することを可能にする、広く使用されている認可フレームワークです。
詳細を見る
OAuth 2.0 認可グラント (Grant)
OAuth 2.0 認可グラント (Grant)(時には "OAuth 2.0 grant type" や "OAuth 2.0 flow" とも呼ばれる)は、クライアントが認可サーバーからアクセス トークンを取得するための方法です。OAuth クライアントがアイデンティティを認証 (Authentication) し認可 (Authorization) するための重要な部分です。
詳細を見る
OAuth 2.1
OAuth 2.1 は、OAuth 2.0 認可フレームワークの更新提案であり、安全でないフローを廃止し、新しいベストプラクティスを導入することで、安全性と使いやすさを向上させることを目的としています。
詳細を見る
オーディエンス (Audience)
トークン内のオーディエンス (audience) クレームは、通常クライアントアプリケーションや API リソースのような想定される受信者を指定します。これにより、トークンが正しいサービスでのみ使用されることを保証し、不正アクセスを防ぐことでセキュリティを強化します。
詳細を見る
オフラインアクセス (Offline access)
オフラインアクセス (Offline access) により、クライアントはユーザーが再認証することなく新しいアクセス トークン (access tokens) を取得できます。これは、長期間のセッションやより良いユーザーエクスペリエンスに役立ちます。
詳細を見る
OpenID Connect (OIDC)
OpenID Connect (OIDC) は OAuth 2.0 の上に構築された認証 (Authentication) レイヤーであり、クライアントがユーザーを認証 (Authentication) し、標準化された方法でアイデンティティ情報を取得できるようにします。
詳細を見る
OpenID Connect (OIDC) ディスカバリー (Discovery)
OpenID Connect (OIDC) ディスカバリーは、クライアントが OpenID プロバイダのエンドポイントと設定を自動的に発見することを可能にするメカニズムです。
詳細を見る
P
パスキー (Passkey)
パスキー (Passkey) は、フィッシングに強く便利な資格情報であり、パスワードに代わるもので、サインインや多要素認証 (MFA) に使用できます。
詳細を見る
パスワードレス (Passwordless)
パスワードレス (Passwordless) は、ユーザーがパスワードやその他の知識ベースの秘密を入力せずにコンピュータシステムにサインインできる認証方法です。
詳細を見る
Proof Key for Code Exchange (PKCE)
Proof Key for Code Exchange (PKCE) は、OAuth 2.0 の認可コードを傍受と不正使用から保護するためのセキュリティ拡張です。OAuth 2.1 ではすべての種類のクライアントに適用されます。
詳細を見る
R
認可 (Authorization)
認可 (Authorization) は、あるアイデンティティがリソース上でどのようなアクションを実行できるかを決定するプロセスです。アクセス ポリシーを定義し、適用するための基本的なセキュリティ メカニズムです。
詳細を見る
認可コードフロー (Authorization code flow)
認可コードフロー (Authorization code flow) は、安全な OAuth 2.0 メカニズムであり、アプリケーションがユーザーの代理でアクセストークンを取得できるようにします。これには、ユーザー認証、認可コードの生成、およびトークンの交換が含まれます。
詳細を見る
認可サーバー (Authorization Server)
認可サーバー (Authorization Server) は、OAuth 2.0 フレームワークの一部であり、クライアントが認証 (Authentication) と認可に成功した後にアクセス トークン (Access Token) を発行します。また、OpenID Connect (OIDC) において ID トークン (ID Token) をクライアントに発行する OpenID プロバイダー (OP) でもあります。
詳細を見る
認可要求 (Authorization request)
認可要求 (Authorization request) は、OAuth 2.0 においてユーザーに代わってクライアントが保護されたリソースへアクセスするための許可を得るためのリクエストです。それは OAuth 2.0 のユーザー認可フローの最初のステップです。
詳細を見る
認証 (Auth, disambiguation)
「auth」という用語は、認証 (authentication) または認可 (authorization) の略としてよく使用されます。これらの概念は関連していますが、根本的に異なります。
詳細を見る
認証 (Authentication, AuthN)
認証は、アイデンティティの所有権(例:ユーザーまたはサービス)を確認するプロセスです。これは、アイデンティティとアクセス管理 (IAM) システムの基盤であり、アプリケーションとサービスのセキュリティを確保するために不可欠です。
詳細を見る
認証要求 (Authentication request)
認証要求 (Authentication request) は、ユーザーを認証するための OpenID Connect (OIDC) リクエストです。OAuth 2.0 の認可リクエストを再利用し、認証をサポートするために拡張されています。
詳細を見る
リダイレクト URI (Redirect URI)
リダイレクト URI は、利用者が行う認可要求 (authorization request) 後に認可サーバー (authorization server) がユーザーエージェントをリダイレクトする URI です。ユーザー操作が関与する OAuth 2.0 と OpenID Connect (OIDC) のグラントにおいて必須のパラメーターです。
詳細を見る
リフレッシュトークン (Refresh token)
リフレッシュトークンは、ユーザーが再認証することなく新しいアクセストークンを取得するために使用される長期間有効な認証情報です。ユーザーセッションを維持し、より良いユーザーエクスペリエンスを提供するために使用されます。
詳細を見る
リソースインジケーター (Resource indicator)
OAuth 2.0 におけるリソースインジケーター(Resource indicator)は、RFC 8707 で定義された拡張パラメーターで、クライアントが認可リクエストにおいてリソースサーバーの場所を指定することを可能にします。これは、単一の認可サーバーで複数のリソースサーバーを扱うためのスケーラブルな方法を提供します。
詳細を見る
リソースサーバー (Resource server)
リソースサーバーとは、クライアントがアクセスしたい保護されたリソースをホストするサーバーを指します。また、access token を検証し、クライアントに保護されたリソースを提供する責任もあります。
詳細を見る
リソース所有者 (Resource owner)
リソース所有者は、保護されたリソースへのアクセスを許可する能力を持つアイデンティティ(通常はユーザー)です。OAuth 2.0 では、リソース所有者はリソースサーバーにおいて、クライアントが代理でそのリソースにアクセスすることを許可できます。
詳細を見る
ロール (Role)
ロールは、ロールベースのアクセス制御 (RBAC) システムにおけるコア概念であり、ユーザーが実行できるアクションを定義する権限の集合を表し、ユーザーへのアクセス権を効率的に管理および割り当てる方法を提供します。
詳細を見る
ロールベースのアクセス制御 (RBAC)
ロールベースのアクセス制御 (RBAC) は、ユーザーに直接ではなくロールに権限を割り当てるアクセス制御モデルであり、システム内のアクセス権を柔軟かつ効率的に管理する方法を提供します。
詳細を見る
S
サービスプロバイダー (Service provider, SP)
サービスプロバイダー (SP) は、認証 (Authentication) および認可のためにアイデンティティプロバイダー (IdP) に依存するアプリケーションまたはサービスです。
詳細を見る
セキュリティアサーションマークアップ言語 (Security Assertion Markup Language, SAML)
セキュリティアサーションマークアップ言語 (Security Assertion Markup Language, SAML) は、アイデンティティプロバイダーとサービスプロバイダーの間で認証 (Authentication) と認可データを交換するためのXMLベースの標準です。
詳細を見る
時間ベースのワンタイムパスワード (Time-based one-time password, TOTP)
時間ベースのワンタイムパスワード (TOTP) は、現在の時刻を主要な要素として使用するアルゴリズムによって生成される、一時的でユニークなコードです。
詳細を見る
シングルサインオン (Single sign-on, SSO)
シングルサインオン (Single sign-on, SSO) は、ユーザーが単一の資格情報で複数のシステムにアクセスできる認証方法です。
詳細を見る
署名キー (Signing key)
署名キーは、OpenID Connect (OIDC) において JSON Web Tokens の署名と検証に使用される暗号化キーです。OpenID プロバイダーによって発行されたトークンの完全性と真正性を保証するために使用されます。
詳細を見る
属性ベースのアクセス制御 (Attribute-based access control, ABAC)
属性ベースのアクセス制御 (ABAC) は、アクセス制御の決定を行うために属性(例えば、ユーザーロール、リソースプロパティ、環境条件など)を使用するアクセス制御モデルです。これは、保護されたリソースへのアクセスを管理するための柔軟で動的な方法です。
詳細を見る
スコープ (Scope)
スコープ (Scope) は、アプリケーションがユーザーの保護されたリソースにアクセスするために要求する権限を定義します。これは、OAuth 2.0 および OIDC における基本的な概念であり、アプリケーションがユーザーのデータにどの程度アクセスできるかを制御します。
詳細を見る
T
トークンインスペクション (Token introspection)
トークンインスペクション (Token introspection) は、クライアント (clients) が認可サーバー (authorization server) にアクセスできるトークンを照会して検証し、それに関するメタデータを取得できるようにする OAuth 2.0 の拡張機能です。
詳細を見る
トークンリクエスト (Token request)
トークンリクエスト (Token request) は OAuth 2.0 における資格情報(例:authorization code や refresh token)を一連のトークン、通常は以下の1つまたは複数のトークンに交換するリクエストを指します: access token, ID token, または refresh token。
詳細を見る
U
Userinfo エンドポイント (Userinfo endpoint)
Userinfo エンドポイントはクライアントにユーザー情報を提供する OpenID Connect (OIDC) エンドポイントです。これは ID トークンを補完するエンドポイントであり、クライアントが追加のユーザー情報を取得できるようにします。
詳細を見る