SAML (Security Assertion Markup Language)

• 認証情報を表現するための XML 仕様
• HTTP or SOAP で認証情報を交換する SAML protocol で交換される．
• 一度認証したあとは，バックエンドになっている多数のサービスでは認証の必要をなくす，single sign-on (SSO) を実現することを狙ったもの．

以下，その他の認証関連のキーワード…

Basic認証（基本認証）

• HTTP で定義される認証方式のひとつ．
• ユーザー名とパスワードの組をコロン（:）でつないで Base64 エンコードして送信する．
• 簡単に盗聴できてしまうのが問題．
  • 盗聴を防ぐため ユーザー名とパスワードを MD5 でハッシュ化してから送る Digest 認証とよばれる方式が考案された[7]．…が，現在のところ，Digest 認証をサポートしているブラウザは ほぼないと思ってよい状態らしい[6]． Digest 認証ではサーバーが返してくる nonce と呼ばれる短時間だけ有効なハッシュ化用ワンタイム文字列（パスワードのようなもの）を利用してユーザー名・パスワードを難読化し，盗聴を難しくしている．
• ほぼすべての Web ブラウザ/サーバーがサポートしているため普及率が高い．
• サーバーは認証が必要なページへのアクセスを受けると，いったん 401 レスポンスコードを返す．ブラウザは 401 が返ってくると，ユーザーに realm（認証領域＝サイトやページなどの情報）とともに，ユーザー名・パスワードの入力を求めるダイアログを表示する．
• Apache では，.htaccess をおいたディレクトリ以下にパスワード制限がかかる．

Kerberos 認証

• ネットワーク認証方式のひとつ． single sign-on を可能にする．
• MIT の Athena プロジェクトが開発．
• Microsoft Active Directory の推奨認証機構になっている．Mac OS X でも採用されている．
• 認証情報を一元管理する KDC (Key Distribution Center) サーバー
  下記のサーバーの役割ももつのがふつうかも．
  • ユーザーからの認証を受け付ける Authentication Server
  • 各サーバーを利用するためのチケットを発行する Ticket Granting Server
• 認証が成功するとチケットが発行され，そのチケットを各サーバーに提出するとアクセスが許可される．

RADIUS

• ダイアルアップの PPP や，PPPoE で使われる認証システム．
• 大手プロバイダーなどで，全国にアクセスポイントがおかれているにもかかわらず，どこにアクセスしても同一のアカウント＆パスワードでログインできるのは，中央で認証情報を一元管理している RADIUS サーバーがおかれているから．

Links