ID とアクセス
AAA フレームワーク
別称: 認証・認可・アカウンティング, Triple A
定義
認証 (Authentication)、認可 (Authorization)、アカウンティング (Accounting) の 3 つの機能を直列に組み合わせた基本的なアクセス制御モデル。
AAA フレームワークは、アクセス制御を 3 つの段階で整理します。認証で「誰が要求しているか」を確認し、認可で「何ができるか」を決定し、アカウンティングで「実際に何をしたか」を記録します。もともとは RADIUS・TACACS+・Diameter を用いたダイヤルアップ、VPN、Wi-Fi 等のネットワークアクセスで標準化されましたが、今ではクラウド API、SaaS、ゼロトラストアーキテクチャにも広く適用されています。3 つの関心事を分離することで、中央集権的な ID 管理、一貫したポリシー適用、異種システム間で統一された監査証跡が実現できます。MFA、RBAC、SIEM 相関と組み合わせるのが一般的です。
例
- 802.1X と RADIUS サーバーで AAA を実現する企業 Wi-Fi。
- TACACS+ により CLI コマンド単位でアカウンティングを取得するネットワーク機器。
関連用語
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
認可
認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。
アカウンティング (AAA の Accounting)
AAA フレームワークの 3 本目の柱で、認証済み ID がいつ・どこから・どのリソースに対して何を行ったかを記録し、監査や課金に用いる仕組み。
RADIUS
RADIUS — definition coming soon.
TACACS+
TACACS+ — definition coming soon.
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。