ID とアクセス
認可
別称: AuthZ, アクセス制御
定義
認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。
認可 (AuthZ) は認証の次の段階で、ユーザー・サービス・端末が身元を証明した後、その ID が特定のリソースに対して要求された操作を行えるかを判断します。判定は、ロール (RBAC)、属性とポリシー (ABAC)、機密区分 (MAC)、所有者の裁量 (DAC) などに基づき、ポリシーエンジンが主体・リソース・操作・コンテキストを評価して実施します。現代のシステムでは OAuth 2.0 のスコープ、OpenID Connect のクレーム、XACML、Rego/OPA などでポリシーを外部化することが一般的です。認可の不備や過剰権限は侵害の主因の一つで、IDOR・権限昇格・confused deputy などの形で現れます。
例
- サポート担当に顧客チケットへの読み取り権限のみを付与し、請求情報は不可とする。
- 「orders:read」のような限定スコープを持つ OAuth 2.0 アクセストークンを発行する。
関連用語
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
属性ベースアクセス制御(ABAC)
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
AAA フレームワーク
認証 (Authentication)、認可 (Authorization)、アカウンティング (Accounting) の 3 つの機能を直列に組み合わせた基本的なアクセス制御モデル。
OAuth 2.0
リソース所有者が資格情報を共有せずに、サードパーティ製アプリへ API に対する制限付き・スコープ付きのアクセスを委譲できる、オープンな認可フレームワーク。