Security Access and API Management (セキュリティ・アクセスと API 管理)¶
FIWARE では、アプリケーションとバックエンド・サービスの認証と承認を管理するためのサービスとツールを提供しています。独自のメカニズムを開発せずにアプリケーションで ID を管理する場合は、FIWARE アカウントを使用してアプリにログインすることができます。
これは、OAuth2 プロトコルと、FIWARE の Identity Manager コンポーネントである Keyrock のおかげで可能です。Twitter や Facebook のアカウントを使用していくつかのサービスにログインするのと同じように、ユーザは自分のサービスにアクセスするために FIWARE アカウントを使用します。しかし、これは最初のステップにすぎません。これは、FIWARE アカウントを使用してバックエンドを保護することもできるからです。サービスまたは GE にインターネットからアクセスできる REST API がある場合は、おそらくリソースへのアクセスを管理したいと考えています。たとえば、FIWARE アカウントを持つユーザのみにアクセスを許可することができます。
セキュリティ・アクセスと API 管理の詳細については、ドキュメントをご覧ください。
Keyrock¶
| :octocat: Git リポジトリ | Docker Hub| ドキュメント | アカデミー | ロードマップ |
Keyrock とは何ですか?¶
ID 管理は、ユーザとデバイス、ネットワークおよびサービス、認可および信頼管理、ユーザ・プロファイル管理、個人情報の処分、シングル・サインオン (SSO) からサービス・ドメイン、ID フェデレーションからアプリケーションへのセキュアおよびプライベート認証など、ネットワーク、サービス および アプリケーションへのユーザのアクセスを含む多くの側面をカバーしています。Identity Manager は、接続レベルとアプリケーション・レベルの ID管理 システム間のブリッジを提供する中心的なコンポーネントです。さらに、ID 管理は、外部サービスが安全な環境に格納された個人データにアクセスすることを認可するために使用されます。これにより、通常、データの所有者はデータへのアクセスに同意する必要があります。同意を与える手続はまた、特定のユーザ認証を意味します。
Keyrock を使う理由¶
ID 管理は、どのアーキテクチャでも重要です。Identity Manager は、管理者がユーザ・ライフ・サイクル機能の処理をサポートするためのツールを提供します。ユーザ登録、ユーザ・プロファイル管理、および ユーザ・アカウントの変更のためのポリシーと手順の実施をサポートしているため、アカウントの作成と管理の労力が軽減されます。管理者は、さまざまな認証プロバイダを含めるためのカスタマイズされたページの構成、ユーザ・プロファイル・データへのアクセスによるテナント・アプリケーションの登録、およびエラー通知の処理を迅速に構成できます。
エンドユーザにとって、Identity Manager はアドレス、電子メールなどの属性を再利用する手段を提供するため、アプリケーションに登録するための便利なソリューションを提供し、プロファイル情報を簡単かつ便利に管理することができます。ユーザと管理者は、標準化されたソリューションを使用して、ユーザ・セルフ・サービス機能を使用できます。ネイティブ・ログインを提供するだけでなく、Identity Manager は複数のサードパーティ認証プロバイダの統合をサポートします。まず第一段階では、管理者による優先アイデンティティ・プロバイダの設定をサポートしています。サードパーティの Identity Manager を使用すると、ネイティブ・ユーザが登録するためのエントリ・バリアが低下します。これは、ユーザが優先 Identity Manager にリンクして、このアカウントを認証に使用できるためです。Identity Manager にリンクされるいくつかのアプリケーションを構成することが可能なので、ユーザにとっての主なメリットは、これらすべてのアプリケーションに対するシングル・サインオン (SSO) です。Identity Manager は、特定のユーザ・プロファイル属性を持つホスト型ユーザ・プロファイル・ストレージを提供します。アプリケーションは、独自の永続的なユーザ・データ・ストレージを実行して管理する必要はなく、代わりに Identity Manager ユーザ・プロファイル・ストレージを SaaS (Software as a Service) として使用できます。
Keyrock Identity Management GEi は、既存のユーザ認証基準に準拠しており、シングル・サインオン・プラットフォームとして機能するサービスにアクセス情報を提供します。Keyrock Identity Managementは、コードを Github: Keyrock のソースコードで見つけることができるフリー/オープンソースのソフトウェアです。これは、あらゆるクラウド・サービスと組み合わせることができます。インストール・ガイドは Github の wiki ページにあります : Keyrock インストール・ガイドと Keyrock ユーザ&プログラマ・ガイド
品質保証¶
このプロジェクトは、FIWARE の一部であり、以下のように評価されています :
- Version Tested:
- Documentation:
- Responsiveness:
- FIWARE Testing:
Wilma¶
| :octocat: Git リポジトリ | Docker Hub | ドキュメント | アカデミー | ロードマップ |
Wilma とは何ですか?¶
PEP Proxy Generic Enabler のリファレンス実装が用意されています。このコンポーネントのおかげで、Identity Management およびAuthorization PDP GE とともに、バック・エンド・アプリケーションに認証および認可セキュリティを追加します。したがって、FIWARE ユーザのみが GE または REST サービスにアクセスできます。しかし、リソースに対する特定のアクセス許可やポリシーを管理して、ユーザに異なるアクセス・レベルを許可することもできます。
Wilma を使う理由¶
Wilma は、FIWARE エコシステムと完全に統合され、特に FIWARE アカウントと完全に統合されているため、この Generic Enabler のリファレンス実装です。これは、FIWARE で選択された認証と認可の標準である OAuth2 と XACML プロトコルで動作すると考えられています。さらに、これはすべての GE が REST API の上に含むコンポーネントであるため、さまざまなシナリオでテストされ、使用されます。
品質保証¶
このプロジェクトは、FIWARE の一部であり、以下のように評価されています :
- Version Tested:
- Documentation:
- Responsiveness:
- FIWARE Testing:
Authzforce¶
| :octocat: Git リポジトリ | Docker Hub | ドキュメント | アカデミー | Roadmap |
Authzforce とは何ですか?¶
Authorization PDP Generic Enabler (以前は Access Control GE と呼ばれていました) のリファレンス実装が手に入りました。実際、GE 仕様で規定されているように、この実装は、認可ポリシーと PEP からの許可要求に基づいて認可の決定を行うための API を提供します。API は REST アーキテクチャ・スタイルに従い、XACML v3.0 に準拠しています。XACML (eXtensible Access Control Markup Language) は、認可ポリシーのフォーマットと評価ロジック、および認可デシジョンのリクエスト/レスポンス・フォーマットの OASIS 標準です。PDP (Policy Decision Point) と PEP (Policy Enforcement Point) という用語は、XACML 規格で定義されています。この GEri は PDP の役割を果たします。
XACML アーキテクチャを実現するには、アプリケーションを保護するための PEP (Policy Enforcement Point) が必要な場合がありますが、ここでは提供されていません。REST API の場合、カタログで利用可能な UPM による PEP プロキシを使用することをお勧めします。
Authzforce を使う理由¶
セキュリティ上の理由から、アプリケーションの認可は必須です。ただし、高度なセキュリティ・コンセプト (Identity-based, RBAC, ABAC など) が必要なため、特にセキュリティ以外の開発者にとっては、実装するのは複雑な部分です。ほとんどの開発者は、アプリケーションコード内に認可ロジックを組み込み、追加の認可属性を提供する外部サービスとの維持、発展、統合を難しくしています。この点で、Authorization PDP は、認可ロジックを外部化し、柔軟で標準に準拠した属性ベースのアクセス制御機能を利用するのに役立ちます。Identity Management GE と PEP Proxy を組み合わせることで、アプリケーションに包括的なアクセス制御ソリューションを提供します。
Authorization PDP 仕様では、OASIS XACML 標準に準拠した認可ポリシー決定ポイント (PDP) の RESTful API が定義されています。具体的には、次の目的のための RESTful インタフェースを定義します : - XACML 準拠の認可ポリシーを管理します - XACML 準拠のリクエスト-レスポンスで、これらのポリシーに基づいて認可の決定を要求します
Quality Assurance¶
このプロジェクトは、FIWARE の一部であり、以下のように評価されています :
- Version Tested:
- Documentation:
- Responsiveness:
- FIWARE Testing: