前回、PPIDについて言及しましたが、その周辺まで考えることになり、色々と気付きがあったので、この全体像を図にしてみました。
フリーメールでサインアップできるような外部IdPは、一般的に、強固に造られている(若しくは、強固に作る必要がある)。そして、外部IdPと内部IdPのローカル・ユーザストアとがID連携する場合は、PPIDを使用することが、名寄せとセキュリティの観点で望ましい。
企業メールでサインアップ、ないしは、企業内部ディレクトリを使用する内部IdPは、そこまで強固である必要はないが、外部IdPを使用して外部ログインする場合は、ID連携を(できればPPIDで)行う。
内部IdPを使用する内部RPに関しては、ID連携してログインしても良いし、トークン検証してログインしても良い。また、この内部IdPがSaaSなどのIdPと連携する場合、任意のクレームを使用してIDを返す必要がある(必要性は低いが、ここでPPIDを要求されることもあるかもしれない)。
なお、SAMLの場合は、以下の選択肢があります。
- Federation Using Out-of-Band Account Linking(実ID)
- Federation Using Persistent Pseudonym Identifiers(≒PPID)
- Federation Using Transient Pseudonym Identifiers(≒一時的PPID)
詳しくは
コチラをご参照下さい。
トップページ
お知らせ
開発基盤部会
PPIDを考えていたら、その周辺まで考えることになった。
