認証用語辞典
SSO・ID管理・認証/認可の用語をやさしくまとめました。記事中の用語確認にどうぞ。
- SSO(シングルサインオン)
- 一度の認証で複数のシステム・SaaS にログインできる仕組み。認証を IdP に一元化する。
- IdP(アイデンティティプロバイダー)
- ユーザー認証を担い、本人確認の結果(トークン/アサーション)を発行する側。Entra ID・Okta など。
- SP / RP(サービスプロバイダー / リライングパーティ)
- IdP の認証結果を受け取って利用するアプリ側。SAML では SP、OIDC では RP と呼ぶ。
- SAML(サムル)
- XML ベースの認証連携標準(2.0)。エンタープライズ SaaS の SSO で広く使われる。
- OAuth 2.0(オーオース)
- リソースへのアクセスを委譲する『認可』の標準。認証そのものではない点に注意。
- OpenID Connect(オーアイディーシー)
- OAuth 2.0 の上に『認証』を追加した標準。ID トークン(JWT)を発行する。
- ID トークン(アイディートークン)
- OIDC で発行される、ユーザー本人を表す署名付き JWT。iss/sub/aud/exp などのクレームを含む。
- アクセストークン
- 保護リソース(API)へアクセスするための資格情報。OAuth で発行される。
- リフレッシュトークン
- アクセストークンを再取得するための長期トークン。厳重な保管が必要。
- JWT(ジョット)
- JSON Web Token。ヘッダ・ペイロード・署名の3部からなる署名付きトークン形式。
- JWKS(ジョットケーエス)
- JSON Web Key Set。IdP が公開鍵を配布するエンドポイント。トークン署名検証に使う。
- PKCE(ピクシー)
- 認可コード横取りを防ぐ拡張。現在は Web/モバイル問わず標準的に併用する。
- state(ステート)
- CSRF 対策のためにリクエストとコールバックを紐づけるランダム値。
- nonce(ナンス)
- ID トークンのリプレイ攻撃を防ぐためのワンタイム値。
- Discovery(ディスカバリー)
- /.well-known/openid-configuration で IdP のエンドポイントや鍵情報を自動取得する仕組み。
- SCIM(スキム)
- ユーザー/グループのプロビジョニング(作成・更新・削除)を自動化する標準 API。退職者対応に有効。
- プロビジョニング
- アカウントを各サービスへ自動で払い出すこと。逆の削除はデプロビジョニング。
- MFA(多要素認証)
- 知識・所持・生体など異なる要素を組み合わせて本人確認を強化する仕組み。
- FIDO2 / WebAuthn(ファイドツー)
- 公開鍵暗号によるパスワードレス認証の標準。WebAuthn はそのブラウザ API。
- パスキー
- FIDO2/WebAuthn を一般向けに使いやすくした実装。フィッシング耐性が高く同期も可能。
- ゼロトラスト
- 『社内だから安全』を捨て、すべてのアクセスを毎回検証する設計思想。ID が新しい境界になる。
- 条件付きアクセス
- ユーザー・デバイス・場所・リスクなどの文脈に応じてアクセス可否を動的に判断する制御。
- フェデレーション
- 組織や IdP をまたいで認証情報を信頼・連携させること。
- アサーション
- SAML で IdP が発行する、認証結果や属性を含む XML 文書。
- mTLS(相互TLS)
- クライアントとサーバーが互いに証明書で認証し合う TLS。API 間や FAPI で利用。
- 認証局 (CA)
- TLS サーバー証明書を発行・保証する第三者機関。信頼の起点。
- OpenID Foundation の枠組み。セッション無効化などのセキュリティイベントを IdP/SP 間で共有する(CAEP/RISC)。
- FAPI(ファピ)
- Financial-grade API。高セキュリティ用途向けの OAuth/OIDC プロファイル。