セキュリティ トークンとセキュリティ チケットの違いは何ですか?
これらの用語が同じ意味で使用されているのを見てきました。これらの「業界標準」の定義はありますか? または、これらの用語は、テクノロジー/プロトコル/実装に応じて定義が異なりますか?
セキュリティ トークンとセキュリティ チケットの違いは何ですか?
これらの用語が同じ意味で使用されているのを見てきました。これらの「業界標準」の定義はありますか? または、これらの用語は、テクノロジー/プロトコル/実装に応じて定義が異なりますか?
トークンとチケットという言葉は、扱っているシステムのタイプに大きく依存します。そして、あなたが話している文脈で。Windows NT 派生版では、トークンの概念は ID です。ユーザーまたはサービスがシステムにログインすると、システムは ID を 1 回検証し、トークンを作成します。トークンはそのユーザーまたはサービスに渡され、ID として機能します。たとえば、システムは、プログラムがファイルを開くたびに ID を検証する必要はありません。これにより、基本的に、認証 (ユーザー/サービスが本人であることを証明すること) と承認 (ユーザー/サービスがリソースにアクセスできるかどうかを判断すること) が明確に分離されます。
一方、(これも NT 派生の場合)チケットという言葉は通常、 Kerberos チケットを指します。これらは、ドメイン上の 2 台のマシンが互いの ID を証明できるようにするために使用されます。(パスワードやスマート カードなどの従来の手段を使用して) ドメイン コントローラーに身元を証明した後、ドメイン コントローラーは、身元を確認するためにリモート マシンに渡すことができるチケットを作成します。
リモート マシンを扱っている場合は、チケットとトークンの両方が関係している可能性があります。たとえば、マシン A がマシン B でファイル共有を開くと、マシン A はそれをドメイン コントローラーで使用しているユーザーを検証し、Kerberos チケットを取得します。次に、Kerberos チケットを使用して、マシン B との身元を確認します。次に、マシン B はマシン A のセッションを作成し、トークンを作成して、マシン B でのローカル承認クエリのセッション ID として機能します。
ただし、Feral と Oded がこの質問の他の場所で持っているように、これは非常にドメイン固有の言語です。
サービスのリクエストが正常に認証されると、セキュリティ トークンはセキュリティ チケットになります。SOAP の場合、SOAP メッセージを確認として受け取った後、そのセキュリティ チケットが後続のすべての要求に使用されます。私は、セキュリティ トークンをより高いレベルでより厳密なものと考えていますが、セキュリティ チケットはサービス プロバイダーによって発行され、より限定的に有用なものです。
この (もはや最新ではない) MSDN の記事によると、Brokered Authentication: Security Token Service :
...クライアントは STS からセキュリティ コンテキスト トークン (SCT) (クライアントが認証されたことを示す) を取得し、それをキャッシュします。クライアントが STS で認証されると、クライアントはセッション トークンを使用して、サービスと通信するためのサービス トークンを要求できます。STSがクライアントから提示されたセキュリティ トークンを検証してサービス トークンを発行する方法は、Kerberos プロトコルがチケット保証チケットを検証してサービス チケットを発行する方法と似ています。
「セキュリティ トークン」は、私が慣れ親しんでいるものと同じ意味ですが、「サービス チケット」の代わりに「サービス トークン」が使用されます。Kerberos に関する文の最後の部分は、非常に奇妙に読めます。つまり、「チケット許可チケット」です。
ここに別の説明があります。用語は私にとってよりなじみ深いものです (特にシングル サインオンの SAML に関するものです)。
基本的な形式の SSO は、サービス プロバイダーが ID プロバイダーによって SAML 標準を使用して提供される認証資格情報を信頼することを意味します。「トークン」という用語を使用する場合、何らかの物理的なセキュリティについて話しているわけではないことに注意してください。トークンですが、まったく別のものであり、SAML 標準の一部であるセキュリティ チケットです。
さて、あなたの質問の次の部分は、標準に関するものでした. このブログ投稿には、セキュリティ トークン (ポリシー?) の 4 つの OASIS WS ユース ケースと、標準へのリンクが含まれています。アクセスに問題がある場合は、OASISにセキュリティ トークンの標準のページがあります。