用語集

仕様、ドキュメンテーション、およびオブジェクトモデルでは、注意すべき用語を使用します。

../_images/terminology.png

IdentityServer

IdentityServerはOpenID Connectプロバイダであり、OpenID ConnectとOAuth 2.0プロトコルを実装しています。

異なる文献では、同じ役割に対して異なる用語が使用されています。セキュリティトークンサービス、アイデンティティプロバイダ、認可サーバ、IP-STSなどがあります。

しかし、彼らは一言で言えば、クライアントにセキュリティトークンを発行するソフトウェアです。

IdentityServerには、次のような多くのジョブと機能があります。:

  • あなたのリソースを保護する
  • ローカルのアカウントストアを使用してユーザーを認証するか、外部のIDプロバイダを使用してユーザーを認証する
  • セッション管理とシングルサインオンを提供する
  • クライアントの管理と認証
  • IDとアクセストークンをクライアントに発行する
  • トークンを検証する

User

ユーザーは、登録されたクライアントを使用してリソースにアクセスしている人間です。

Client

クライアントとは、ユーザーの認証(IDトークンの要求)またはリソースへのアクセス(アクセストークンの要求)のためにIdentityServerからトークンを要求するソフトウェアのことです。トークンを要求する前に、まずクライアントをIdentityServerに登録する必要があります。

クライアントの例としては、Webアプリケーション、ネイティブモバイルアプリケーションまたはデスクトップアプリケーション、SPA、サーバープロセスなどがあります。

Resources

リソースとは、ユーザーのIDデータやAPIのいずれかをIdentityServerで保護したいものです。

すべてのリソースには一意の名前があります。クライアントはこの名前を使用して、アクセスするリソースを指定します。

identity data ユーザに関するアイデンティティ情報(別名:クレーム)、例えば名前または電子メールアドレス。

APIs APIリソースは、クライアントが呼び出そうとする機能を表します。通常、Web APIとしてモデル化されていますが、必ずしもそうではありません。

Identity Token

アイデンティティトークンは、認証プロセスの結果を表します。これには、ユーザの識別子(sub aka subject claim と呼ばれる)と、ユーザがいつ、どのように認証されたかに関する情報が最低限含まれています。追加のIDデータを含めることができます。

Access Token

アクセストークンを使用すると、APIリソースにアクセスできます。クライアントはアクセストークンを要求し、それらをAPIに転送します。アクセストークンには、クライアントとユーザーに関する情報(存在する場合)が含まれます。APIはその情報を使用してデータへのアクセスを許可します。