Ｗｅｂ教材一覧＞ ネットワーク＞ ネットワークセキュリティ技術

ネットワーク認証

キーワード

ＬＡＮ接続、IEEE 802.1X、ＥＡＰ、ＲＡＤＵＩＳ、ＰＰＰ、ＰＰＰｏＥ、サプリカント、認証装置、認証サーバ、ＥＡＰｏＬ、ＥＡＰ－ＭＤ５、ＥＡＰ－ＴＬＳ、ＰＥＡＰ、、ＭＡＣ　ＲＡＤＩＵＳ認証、ＲＡＤＩＵＳ認証、ＰＡＰ、ＣＨＡＰ、Ｗｅｂ認証、ＡＮＤ認証、ＡＡＡ、送信ドメイン認証、メールサーバ、ＳＰＦ、ＤＫＩＮ、ＤＭＡＲＣ、エンベロープアドレス、ヘッダアドレス、ＤＮＳＳＥＣ、ＤＮＳキャッシュポイズニング、共有サイト、クライアント、リソースオーナー、リソースサーバ、認可サーバ、認証、認可、ＯｐｅｎＩＤ、OpenID Connect、ＯＡｕｔｈ、アクセストークン、マッシュアップ、Ｗｅｂサービス、シングルサインイン

ＬＡＮ接続の認証

利用者の端末機器をＬＡＮ（有線でも無線でも）に接続するとき、その接続を認めるかどうかを認証するための規格を対象にします。
　ここでの主要プロトコルは、ＬＡＮ認証全般に関するIEEE 802.1X、その実装のうち、端末とスイッチハブやアクセスポイントとの間で認証を行うＥＡＰ、さらにネットワーク層で高度な認証を行うＲＡＤＵＩＳです。

予備知識として：ＰＰＰ（Point-to-point protocol）

Point-to-point とは、２台の機器を回線接続することです。ＰＰＰは、その接続での代表的な認証方式です。初期の電話回線利用時代には相手を決定するのに電話をかけました。それをダイアルアップＰＰＰ、イーサーネットが主流になった頃はＰＰＰｏＥ（PPP over Ethernet）といわれました。
　ＰＰＰの通信は、データリンク層でのＬＣＰ（Link Control Protocol、リンク制御プロトコル）とネットワーク層でのＮＣＰ（Network Control Protocol、ネットワーク制御プロトコル）の２つの通信プロトコルを使用しています。
　ＬＣＰではＰＡＰ（Password Authentication Protocol、パスワード認証プロトコル）やパスワードをハッシュ化して送るＣＨＡＰ（Challenge-Handshake Authentication Protocol）を使ってユーザ認証を行ってリンクを確立した後、ＮＣＰで多様な通信プロトコルに必要な設定や認証を行って接続を確立します。
　当時から、ＰＰＰを用いた認証方式にＲＡＤＩＵＳがあり、認証サーバとして用いられていました。

ＥＡＰやＲＡＤＩＵＳは、ＰＰＰの発展プロトコルだといえます。現在ではＰＰＰをそのまま使うのは稀です。

IEEE 802.1X

IEEE 802.1xとは、有線LAN、無線LANで使用される認証プロトコルです。
　以下の３要素が連携して認証します。
　　・サプリカント：ＬＡＮに接続する端末にインストールされた認証クライアント・ソフトウェア
　　・認証装置：IEEE 802.1x対応のスイッチングハブやアクセスポイント
　　・認証サーバ： 認証を判断するサーバ。RADIUSサーバなど。

端末と認証装置を接続したときに、サプリカントの情報（ユーザＩＤやパスワードなど）がＥＡＰメッセージとして認証装置に送られます。そのプロトコルがＥＡＰです。
　認証装置は、自ら認証するのではなく、ＥＡＰメッセージを暗号化してＲＡＤＩＵＳパケットとして認証サーバに送ります。認証サーバは、端末のユーザＩＤやパスワードなどを調べて認証し、その結果を認証装置に戻します。
　その結果を認証装置が受けて、端末の接続許可・拒否を決定するのです。

ＬＡＮ接続認証の構成図

IEEE 802.1X の重要なプロトコルであるＥＡＰは、左図のような階層になっています。
　ＥＡＰは、多くのプロトコルの集合体です。ＥＡＰをＬＡＮ環境に合わせたものをＥＡＰｏＬ（EAP over Lan）といいます。ＬＡＮでの通信プロトコルは、有線ＬＡＮ（Ethernet）では IEEE 802.3、無線ＬＡＮでは IEEE 802.11シリーズが一般的ですが、ＥＡＰｏＬはそれを仮想化して一つにまとめたものです。
　また、ＥＡＰにはＥＡＰ－ＭＤ５やＥＡＰ－ＴＬＳなど多様な認証方式があります（後述）。

IEEE 802.1X の３要素であるサプリカント－認証装置－認証サーバ の関係は右図のようになります。

• 一般には、端末とＬＡＮを接続する機器をＬＡＮ接続機器といいますが、IEEE 802.1Xでは認証装置といいます。通常は有線ＬＡＮでは、スイッチングハブやルータなど、無線ＬＡＮではアクセスポイントですが、それらはIEEE 802.1X対応でなければなりません。
• 端末と認証装置の間の通信プロトコルがＥＡＰｏＬです。端末がＥＡＰｏＬクライアント、認証装置がＥＡＰｏＬサーバになります。
• 認証装置と認証サーバの間は Ethernet で常時接続されています。このとき、認証装置がＲＡＤＩＵＳクライアントになり、認証サーバがＲＡＤＵＩＳサーバになります。

ＬＡＮ接続認証の手順

端末をＬＡＮに接続し、許可・拒否されるまでの手順は上図の右下のようになります。

1. 接続
   接続信号が認証装置に送られます。
2. ＥＡＰ情報要求
   ＥＡＰｏＬを確立して、ユーザＩＤ、パスワードなどを要求します。
3. ＥＡＰ情報通知
   ユーザＩＤ、パスワードなど（ＥＡＰメッセージ）を通知します。
4. 認証要求
   認証装置と認証サーバの間でＵＤＰ通信を確立。ＥＡＰメッセージをＲＡＤＩＵＳパケットにして送信
5. 認証シーケンス
   一時的に端末と認証サーバ間にＬＡＮが確立。それを通して認証合否が決定します。
   接続にどのような条件があるかは、認証サーバの設定により異なります。
6. 認証通知
   認証の結果を認証装置に知らせます。
7. キー通知
   認証結果が拒否のときは、端末にその旨表示して接続を遮断します。
   認証が許可ならば、有線の場合はＶＬＡＮのＩＤ（注）、無線の場合はネットワークセキュリティキーを端末に通知します。
8. 通信可能
   端末は、それらのキーを用いることにより、ＬＡＮが利用可能になります。

（注）端末が有線ＬＡＮに参加するとは、通常は、既に設定してある多数の端末を接続しているＶＬＡＮ（Virtual Local Area Network）に新端末を追加することになります。キー通知でのキーとは、スイッチンハブでの該当するＶＬＡＮの番号のことです。

ＥＡＰ（Extensive Authentication Protocol、拡張認証プロトコル）の認証方式

データリンク層での認証プロトコルＰＰＰを拡張した認証プロトコルの総称です。ＰＰＰは多様な環境で拡張機能をもつようになり、それらをＥＡＰｘｘのような名称がつけられました。IEEE802.1Xに規定されるフレームワークにおいて、どの認証方式を用いるかを指定するプロトコルです。仕様は、RFC 2284で規定されています。

ＥＡＰ自体はセキュリティ機能を持っていません。次に代表的な認証方式を掲げます。すべてクライアントとサーバ間を暗号化通信で行いますが、認証にユーザＩＤとパスワードを用いるか、ＳＳＬ／ＴＳＬでの電子証明書を用いるかの違いです。

　　　　　　　　　　　　端末　　　　　　　　　　　認証サーバ
　　　ＥＡＰ－ＭＤ５　　ユーザＩＤ、パスワード　　　　－
　　　ＥＡＰ－ＴＬＳ　　電子証明書　　　　　　　　電子証明書
　　　ＰＥＡＰ　　　　　ユーザＩＤ、パスワード　　電子証明書

ＥＡＰ－ＭＤ５

ユーザＩＤとパスワードで認証します。パスワードはチャレンジ＆レスポンス方式で暗号化されて送信されます。クライアントの認証はできるが、サーバの認識はできません。単純で基本的な方式ですが、セキュリティ面で劣ります。

ＥＡＰ－ＴＬＳ（Transport Layer Security）

ＴＬＳはＳＳＬの後継規格。クライアントとサーバの両方が電子証明書を発行し、ＴＬＳ方式で相互認証を行います。相互に電子証明書を発行・管理する必要があり、手間とコストはかかりますが、セキュリティ性の高い処理が行えます。無線ＬＡＮでの主流になっています。

ＰＥＡＰ（Protected EAP）

サーバ側の電子証明書でサーバ認証をして、クライアントとサーバ間に、ＴＬＳ暗号化通信とＥＡＰ通信を組み合わせてＳＳＬの暗号トンネルを構築し、その暗号化通信路を通して、クライアントのユーザＩＤとパスワードを送り、クライアント認証を行ないます。
クライアントの電子証明書が不要になるので手間やコストが節約できます。

ＲＡＤＩＵＳ（Remote Authentication Dial-In User Service）

ＲＡＤＩＵＳは、ダイアルアップ時代にインターネット接続において端末を認証するプロトコルでしたが、イーサーネットの時代になり端末と接続機器の間での認証に対応しました。そのような背景のため、ＲＡＤＩＵＳの基本仕様では非暗号化パスワードをそのまま流す PAP(Password Authentication Protocol)、チャレンジ型認証の CHAP は EAP-MD5 とは非互換などがありました。ＥＡＰはデータリンク層、ＲＡＤＩＵＳはネットワーク層のプロトコルでしたが、連携には問題があります。

RFC3579 で EAP over RADIUS の仕様が策定され、IEEE 802.1X はその仕様を採用しています。すなわち、IEEE 802.1X対応ＲＡＤＵＩＳでは、ＥＡＰとＲＡＤＩＵＳとの連携が円滑になり、端末と認証機器間の認証を EAPoL で行い、認証機器と認証サーバ間の認証を RADIUS で行うこと、EAPoLでのＥＡＰメッセージをＲＡＤＩＵＳパケットとして通信することが可能になったのです。現在のＲＡＤＩＵＳはIEEE 802.1X対応が通常です。

IEEE 802.1X ＲＡＤＩＵＳでの認証方法

IEEE 802.1X での、全体の構造や認証の方法は前述しました。そのうち、認証装置と認証サーバ（ＲＡＤＩＵＳサーバ）との関係を簡単に復習します。

認証装置と認証サーバ間は Ethernat で接続され、認証装置がＲＡＤＩＵＳクライアント、認証サーバがＲＡＤＩＵＳサーバになります。
、 　認証装置は端末から受け取ったＥＡＰメッセージを暗号化したＲＡＤＩＵＳパケットにして、認証サーバに端末の認証を依頼します。
　端末と認証装置は既にＥＡＰｏＬでＬＡＮ接続されているので、認証装置と認証サーバ間の接続が確立すると、端末と認証サーバ間もＬＡＮで接続されたことになります。それに必要な情報交換を行います。
　認証サーバは、ＥＡＰメッセージの内容（ユーザＩＤやパスワード、電子証明書など）を認証データベースの情報と突合せ、必要があれば、端末から追加情報を得たりして、端末の認証を行い、その結果を認証装置に戻します。
　認証装置は、認証結果により接続の可否を端末に伝えます。接続許可のときはＬＡＮ通信に必要な情報を端末に伝えます。

IEEE 802.1X 以外のＲＡＤＩＵＳ認証

ＲＡＤＩＵＳは、IEEE 802.1X 以外の認証プロトコルがあります。代表的なものを掲げます。

• ＭＡＣ　ＲＡＤＩＵＳ認証
  端末のＭＡＣアドレスをパスワードとして用いる方式です。
  ＲＡＤＩＵＳサーバは、接続できる端末のＭＡＣアドレスのリストを持っており、接続したきた端末のＭＡＣアドレスがリストにあるかどうかを認証します。
  リストをＲＡＤＩＵＳサーバではなく、認証装置にもたせることもできますが、接続する端末数が少なく、端末が接続する認証装置を特定できるような場合に限られます。
  端末だけを対象にしているので、利用者の確認はできません。端末の紛失・盗難でのセキュリティが無防備です。
  他の認証を行う前処理として、この認証をパスした端末だけをＲＡＤＩＵＳサーバを用いた他の方式で認証することがあります。

• 基本的なＲＡＤＩＵＳ認証
  ＲＡＤＩＵＳサーバは、接続を許可するユーザＩＤとパスワードのリスト（ＲＡＤＩＵＳデータベース）を持っています。端末で指定したユーザＩＤとパスワードがそのリストにあれば許可するという仕組みです。
  ＲＡＤＩＵＳサーバでは、ＰＡＰとＣＨＡＰにより、端末－認証装置－ＲＡＤＩＵＳサーバ間を通信します。
  ＰＡＰは、端末から端末装置間の通信で、ユーザＩＤとパスワードを暗号化せずに送ります。
  ＣＨＡＰは、端末装置とＲＡＤＩＵＳサーバ間の通信で、パスワードを暗号化してＲＡＤＩＵＳサーバに送ります。これにより、端末装置とＲＡＤＩＵＳサーバ間でパスワードの漏洩や改ざんを防止できます。
  この方式では、端末から端末装置間が平文で通信されること、ＲＡＤＩＵＳデータベースが平文であることなど、セキュリティ対策が不十分です。
• Ｗｅｂ認証
  ブラウザで入力したユーザＩＤとパスワードをＲＡＤＩＵＳサーバやＷｅｂサーバなどで確認し、認証の成否を決定します。
• ＡＮＤ認証
  ＭＡＣ認証、Ｗｅｂ認証、IEEE 802.1X認証を組み合わせた認証です。すべての認証に成功した場合に接続を許可します。

ＲＡＤＩＵＳの機能：ＡＡＡ

ＲＡＤＩＵＳの機能をＡＡＡということがあります。

• Authentication 認証
  利用者の識別。ユーザＩＤとパスワードの組み合わせが正しいことを確認するなど
• Authorization 承認
  認証済みの利用者に対してサービスを提供するか否かを判断すること。アクセス可能リソースの制限、利用時間や利用端末の制限など
• Accounting アカウンティング
  利用実績の記録、請求・決済業務など

ＲＡＤＩＵＳには、ユーザＩＤとパスワードの組み合わせだけなく、多様な情報を暗号化したＲＡＤＩＵＳデータベースをもっています。例えば、次のような項目もあります。

• 複数のユーザＩＤとパスワード。一人が複数のＩＤを持つこともあるし、グループに一つのＩＤを与えることもあります。一つのユーザＩＤに複数のパスワードがあることもあります。
• 人ではなく、接続できる端末機器を限定できます。また、ある利用者が使える端末を制限することもできます。
• 部門や職階などによる区分を設定し、区分ごとに制約条件を付けることがあります。
• 認証・承認目的以外に、利用実績把握のための情報、利用限度、利用金額などの情報もあります。

これらを１台のＲＡＤＩＵＳサーバで管理するよりも、内容に応じて複数のサーバに分散したほうが運用が容易になるとか、セキュリティの観点から分散させることもあります。

ＲＡＤＩＵＳのメリット

• 多様な認証・承認ルールの実現
  上述のように、いろいろなルールの設定ができます。
• 一元管理
  多数の利用者や様々なネットワーク機器の認証を一元管理することができるため、管理者の負担を低減することができます。
  多様な他の認証システムと連携することができるＲＡＤＩＵＳサーバを使えば、ＬＡＮ利用だけでなくＯＳで登録したユーザＩＤやパスワードを利用することもできます。
• 負荷分散
  ネットワーク機器の内部データベースでの認証は、機器に負荷を掛けます。RADIUSサーバを使って認証を外部管理にすることで、ネットワーク機器の負荷を下げることができます。
  
• セキュリティの強化
  現在のＲＡＤＩＵＳでは暗号化通信が基本になっており、ユーザＩＤやパスワードの漏洩を防ぐことができます。
  ＣＨＡＰ方式を用いることからチャレンジ・レスポンス方式でのワンタイムパスワードを用いるのが容易になります。
• 利用履歴の保管
  アカウンティング情報も取得することができます。どの利用者がいつ利用したのかが分かるため、システムの利用監査にも利用することができます。

ゼロトラスト

ゼロトラストとは「何も信頼しない」ことを前提としたセキュリティ対策の考え方です。
　従来のセキュリティ対策は、保護すべきデータやシステムがネットワークの内側にあることを前提にしていました。それで、ネットワークを、信頼できる「内側」と信頼できない「外側」に分離し、その境界線にファイアウォールなどのセキュリティ機器を設置し、外部からの攻撃を遮断することが主流でした。

ところが現在は、保護すべき対象が外側のクラウドに存在するなど、境界が曖昧になり、従来の考え方が通用しない環境が出現してきました。ゼロトラストでは、すべてのユーザやデバイス、すべての通信を「信頼できない」ものとして捉えます。 　具体的には、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視、重要な情報資産やシステムへのアクセス監視などがあります。

その手段として、ワンタイムパスワード認証や端末認証などを利用した認証強化などとともに、次の手段が注目されています。

• ＥＤＲ（Endpoint Detection and Response）
  クライアントＰＣなどエンドポイントの監視、発生事象のログ取得と解明、遠隔操作による対処などの機能です。
• ＩＡＭ（Identity and Access Management）
  アイデンティティ管理：認証（相手が誰（何）なのか確認すること）
  アクセス管理：認可（リソースへのアクセス権限を与えること）

送信ドメイン認証（Sender Domain Authentication）

送信ドメイン認証のイメージ

ここでは「なりすましメール」を防ぐことを対象にします。
　メールを受け取ると、メールソフト画面の差出人の欄に、差出人の氏名あるいはメールアドレスが表示されますが、それは送信者が送信に使った本当のメールアドレスではなく、メールソフトのfrom欄に送信者が任意に記述したものなのです。悪意のある送信者は、この機能を使って、あたかも信頼のあるところからのメールのように見せかけることができます。

メールは、送信者端末機器→送信側メールサーバ→受信側メールサーバで送られます。そのプロトコルはＳＭＴＰですが、なまのＳＭＴＰは送信時の本人認証機能をもっていません。多くのプロバイダは、契約者に限定するなど何らかの認証方法を講じていますが、なかには認証をしないことをウリにしている（アングラ）サーバもあります。悪意の送信者はこのようなサーバを使って勝手なメールアドレスで送信できるのです。

その対策の一つに、送信側メールサーバと受信側メールサーバ間での転送メールに関して、受信側メールサーバが認証することがあります。それを送信ドメイン認証といいます。

送信ドメイン認証の方式

代表的な送信ドメイン認証の方式に、ＳＰＦ、ＤＫＩＮ、ＤＭＡＲＣなどがあります。

ＳＰＦ（Sender Policy Framework）

受信側メールサーバが受け取ったメールが、本当に送信側メールサーバから転送されたものであるかを認証します。すなわち、認証対象は送信側メールサーバであり送信者ではありません。
　送信側メールサーバのドメインにはＤＳＮサーバがあり、そこには、送信側メールサーバのＩＰアドレスなど（ＳＰＦレコード）が登録されています。
　転送メールには送信側メールサーバのＩＰアドレスがあります。また、受信側メールサーバは転送メールから送信側のＤＳＮサーバを知り、ＤＳＮサーバからＳＰＦレコードを取得します。このＩＰアドレスとＳＰＦレコードのＩＰアドレスが一致すれば、この転送メールが送信側メールサーバから送られてきたことが認証できます。

ＤＫＩＮ（DomainKeys Identified Mail）

ＳＰＦと同様に、送信側メールサーバから転送であることの認証ですが、認証にはデジタル証明書（サーバ証明書）を用います。送信側メールサーバから受信側メールサーバへ、転送メールを本文としたデジタル署名のメールを送信したようなイメージです。
　送信側メールサーバは、自身の秘密鍵によるデジタル署名を付けてメールを暗号化送信します。受信側メールサーバは、メールヘッダから特定したドメインのＤＮＳサーバから公開鍵を取得し、そのデジタル署名を検証します。この検証によって、両メールサーバ間でのなりすましやメール本文の改ざんの有無（ヘッダアドレスの改ざんなど）を確認すること、送信側の信用度の評価などができます。

ＤＭＡＲＣ（Domain-based Message Authentication、Reporting and Conformance）

ＳＦＰやＤＫＩＮでは、認証をしただけで、認証失敗メールの取扱いは、受信者の判断に任せられています。ＤＭＡＲＣは、認証失敗メールの対応策を送信者が受信者に対してＤＭＡＲＣポリシーと呼ばれるレコードをＤＮＳ上で公開することで表明する仕組みです。 RFC 7489 で標準化されています。

ＳＦＰやＤＫＩＮは、単純な機能は認証対象は送信側メールサーバであり送信者ではありません。しかし、下記のように、送信者が自分のメールアドレスを詐称することが大きな問題です。

エンベロープ（envelope）アドレスとヘッダ（header）アドレス

メールを送信するとき、郵便での封筒での住所に相当する受信者のメールアドレス(toアドレス）と送信者のメールアドレス（fromアドレス）を指定します。これをエンベロープto、エンベロープfromといいます。また、手紙に「～様」「～より」と書くことがあります。これらをヘッダto、ヘッダfromといいます。ヘッダアドレスは送信者が任意のアドレス（存在の有無不問）にすることができます。

メールの送受信は、エンベロープアドレスで行われます。不達メッセージエンベロープfromに通知されます。
　ところが、受信者のメールソフトの「差出人」や「宛先」で表示されるのはヘッダアドレスなのです。受信者は、ヘッダfromからのメールだと判断します。
　通常はエンベロープアドレスとヘッダアドレスは同じなのですが、例えば次のような理由により、異なるアドレスにしたいこともあります。

• 受信者との申し合わせたヘッダfromやヘッダtoを用いることで本人が送信したものだと示せる。
• メール転送をするとき、最初のメール送信者のエンベロープfromが表示されるが、転送者のアドレスに変更したい。

しかし、これを悪用すると、本当はエンベロープfromなのにヘッダfromだと思わせ、なりすますことができます。
　ＳＦＰやＤＫＩＮを拡張して、メールの中身に入り、エンベロープアドレスとヘッダアドレスを比較して、一致しないときに警告を表示するようにしているものもあります。
　しかし、一致しないときはすべて遮断するというのでは困ります。通過・遮断させるヘッダアドレスをリストするとか、悪意のヘッダアドレスを収集するなどの工夫が必要ですが、それには通常のプロトコルの範囲ではなく、メールソフトのフィルタリングやアンチウイルスソフトなどの分野になります。

ＤＮＳＳＥＣ（Domain Name System Security Extensions）

ＤＮＳ（Domain Name System）とは、メールアドレスやＵＲＬのドメイン名とＩＰアドレスとを対応付けるシステムです。ＤＮＳサーバには、これまでに解決したドメイン名とＩＰアドレスの対応の一覧表を持っています。その一覧表にないときは、上位のＤＮＳサーバに聞きに行きます。このようにバケツリレー式に問い合わせることにより解決できるという仕組みです。

悪意を持つ者が、その一覧表を改ざんしてＩＰアドレスを悪意のあるメールサーバやＷｅｂサイトにすると、これまで信用してアクセスしていたメールアドレスやＵＲＬが、悪意を持つサーバに繋がれてします。この手口をＤＮＳキャッシュポイズニング（DNS cache poisoning）といいます。

キャッシュポイズニングは、そもそも怪しい（アングラ）サーバを介して、詐称したパケットが攻撃対象となるＤＮＳサーバに送信されることによるものです。
　ＤＮＳＳＥＣでは、キャッシュポイズニングを防ぐ仕組みです。
　ＤＮＳサーバが上位のＤＮＳサーバ（このＩＰアドレスが改ざんされているかもしれない）に問い合わせるとき、上位ＤＮＳサーバの電子証明書を得ることで、本来の上位のＤＮＳサーバであることを確認できます。また、問合せパケット内に、暗号化した特定の文字列を入れておき、応答の中の文字列が正しく復号できないときは、応答が不正サーバからであり、ここで得たＩＰアドレスが改ざんされているかもしれない（信用できない）と結論できます。

認可サーバによる認証・認可

共有サイトでの認証・認可

次のようなケースを例にします。
　あなたは、共有サイトに、写真やアプリを登録しています。限定した友人からのアクセスを期待していますが、友人により、写真を見るだけ、写真の投稿、アプリの実行など限定したいのです。

関係者とサーバ等（用語）

あなたが、共有サイトに写真やアプリを投稿して、あなたの友人に写真を見せたりアプリを利用させることを例に、ここで用いる用語を説明します。

• オーナー（利用者）：あなたのこと
• プロバイダ：共有サイトの運営者
• エンドユーザ：友人

次の４つのサーバなどがあります。

クライアント (client）

エンドユーザの端末です。

リソースオーナー (resource owner）

オーナーのＷｅｂページ。クライアントは、まずここを介してて、リソースサーバを利用します。

リソースサーバ (resource server）

オーナーがプロバイダのサイトに登録した写真やアプリです。

認可サーバ (authorization server）

リソースサーバにコンテンツを登録したときに、どのクライアントにどの処理を認可するか（写真を見るだけ、投稿も許す、アプリを実行するなど）の情報を加えますが、それをまとめたサーバです。プロバイダサイトにあります。
クライアントの認証・認可は認可サーバが行います。

認証と認可

　　認証（Authentication）誰であるかを特定すること　OpenID
　　認可（Authorization） 利用権限を与えること　　　OAuth

本人認証だけでは全ての権限を与えることになります。特定の処理だけに限定するには認可が必要です。逆に、認可されれば認証は不要だと考えられますが、認可情報は第三者に漏洩する可能性があるので、重要なときには認証も必要になります。

• 事前登録
  • オーナーのプロバイダ登録
    事前にオーナーは、プロバイダと契約して、リソースサーバを作成するとともに、どのクライアントにどの機能を認可するかの情報を認可サーバに登録してあります。
  • クライアントのプロバイダ登録
    事前にクライアントは、プロバイダに登録を行い「登録証明書」を取得しておきます。これはリソースオーナーへのアクセス時に自動で行われることもありますし、不要のこともあります。
• 認証手続き
  • ①　接続
    クライアントからリソースオーナーにアクセスします。
  • ②　ログイン画面
    リソースオーナーのログイン画面には、ユーザＩＤ、パスワード、メールアドレス、利用機能（何をしたいのか）などの入力を求めています。「送る」では、認可サーバが宛先になっています。
  • ③　認証要求
    クライアントが入力して「送る」とそれらの情報が暗号化されて認可サーバに送られます。
  • ④　認証
    認可サーバは復号することにより、クライアントからの要求であり改ざんされていないことを確認します。その確認結果を、クライアントとリソースオーナーに送ります
    認可サーバからの確認内容と結果は、OpenID と OAuth で異なります。
    OpenID では、クライアントのメールアドレスを認可サーバが認証したことを示す電子証明書になります。リソースオーナーは、プロバイダの証明書を信用して、リソースサーバへのアクセスを許可します。
    　OAuth では、クライアントとリソースサーバへ共通鍵を送付します。それにより、リソースサーバへのアクセスを許可します。
• 認可手続き
  ここまででは、認可サーバが認証局の役割をしただけです。クライアントの認証をしただけで、利用できる機能の認可はしていません。
  認可まで行うには、OAuth 2.0／OpenID Connect を用います（注）。
  
  • ④　認可
    上の「認証」において、単に利用者の認証をするだけでなく、復号で得たメールアドレスにより、認可サーバにオーナーが事前に登録した利用者の認可条件を調べ、その結果をアクセストークンという形式で戻します。
• 利用可能
  • ⑤　利用
    アクセストークンには、認可した機能に限定した電子証明書とリソースサーバの共通鍵が入っています。
    これにより、リソースサーバにアクセスでき、認可された写真を見るだけ、写真の投稿、アプリの実行などができます。

（注）OAuth 2.0 は、アクセストークンの要求方法とそれに対する応答方法を標準化したものです。
OpenID Connectは、OAuth 2.0を使ってＩＤ連携をする際に、OAuth 2.0では標準化されていない機能で、かつＩＤ連携には共通して必要となる機能を標準化したものです。

マッシュアップでの認証

多くのサイトがそれぞれのサービス（Ｗｅｂサービス）をしています。例えば旅行の計画をするとき、列車予約と旅館予約の両方が必要になりますが、ＪＲや私鉄、個別の旅館のサイトをいちいち調べるのでは大変です。それらのＷｅｂサービスを束ねるポータルサイトがあれば便利です。
　このような大規模のものでなく、店舗紹介ページにGoogle地図を埋め込むような小規模なものもあります。実際にはGoogleに利用を申し込むのですが、形式的には店舗ページがポータルサイト、Google地図がＷｅｂサービスになります。
　このような仕組みをマッシュアップといいます。

ここでは、大規模マッシュアップを想定した記述になっています。テーマは、利用者がポータルサイトを介して多数のＷｅｂサービスサイトを巡回するとき、異なるサイトにはいるたびに、ユーザＩＤ、パスワードなどを入力する手間を省くために、ポータルサイトで入力したものだけでよい（シングルサインイン）ようにする仕組みです。
　その仕組みには、OAuth 2.0／OpenID Connect を用います。

上述の「共有サイト」との関係、マッシュアップの特徴を列挙します。
　技術的には、「共有サイト」での用語を使うべきでしょうが、不自然な表現になるので、勝手に（OAuth 2.0／OpenID Connect の規格用語ではない）用語を使います。

• 利用者＝クライアント
  
• ポータルサイト＝プロバイダ
  通常、利用者は最初にポータルサイトにアクセスします。
• Ｗｅｂサービスサイト＝リソースオーナー、リソースサイト
  サイトＡ（鉄道予約）、サイトＢ（旅館予約）のように多数のＷｅｂサービスサイトがポータルサイトに加入しています。
  Ｗｅｂサービスサイトの独立性が高く、ポータルサイトには関係なくサービスを行なう場合もあります。そのため、リソースサイトは、Ｗｅｂサービスサイト内に設置されるのが通常です。
• 認可サーバ
  認可情報はＷｅｂサービスサイトの認可サーバにあり、その一部がポータルサイト認可サーバにコピーされているのが通常です。

マッシュアップの認証・認可手順

次のような手順により、利用者は最初のログインだけ（シングルサインイン）で、ポータルサイトに登録されているＷｅｂサービスサイトを巡回することができるのです。

• 各Ｗｅｂサービスサイトはポータルサイトに加入しておきます。
• 利用者はポータルサイトにアクセスすると、本人情報を求めるログイン画面が表示され、続けて目的のＷｅｂサービスサイトの指定が求められます。
• それらの情報は暗号化されて、認可サーバに送られます。
  
• 認可サーバは復号することにより、利用者からの要求であり、改ざんされていないこと、Ｗｅｂサービスサイトが認めた利用者のメールアドレスであり、認可条件に合致していることを確認します。
  （事前に認可情報を持たず、利用者認証をした段階で、Ｗｅｂサービスサイトに問合せ、その認可サーバから利用者関係の認証・認可情報を認可サーバにコピーする仕組みもあります）
• その結果をアクセストークンの形式にして、利用者とＷｅｂサービスサイトに送ります。アクセストークンには、Ｗｅｂサービスサイトをアクセスするための鍵と利用機能、ポータルサイトの証明書などが入っています。
• Ｗｅｂサービスサイトは、ポータルサイトを信用しているので、認可されたサービスを行います。
  
• 利用者が他のＷｅｂサービスサイトに移るときは、ポータルサイトのログイン画面に戻りますが、本人認証は済んでいるので、その項目は入力後の状態になっているかスキップして新しいＷｅｂサービスサイト指定画面になります。
• 認可サーバは、前と同様にチェックして、新しいアクセストークンを発行します。
• 新Ｗｅｂサービスサイトは、明示的に利用者を認証・認可したのではありませんが、ポータルサイトのチェック結果を信用して、認可されたサービスを行います。