[要約] RFC 7773は、認証コンテキスト証明書拡張の仕様を定義しています。この拡張は、認証プロトコルにおけるセキュリティ上の問題を解決するために使用されます。

Internet Engineering Task Force (IETF)                      S. Santesson
Request for Comments: 7773                                  3xA Security
Category: Standards Track                                     March 2016
ISSN: 2070-1721
        

Authentication Context Certificate Extension

認証コンテキスト証明書拡張

Abstract

概要

This document defines an extension to X.509 certificates. The extension defined in this document holds data about how the certificate subject was authenticated by the Certification Authority that issued the certificate in which this extension appears.

このドキュメントでは、X.509証明書の拡張機能を定義しています。このドキュメントで定義されている拡張機能は、この拡張機能が含まれる証明書を発行した証明機関によって、証明書のサブジェクトがどのように認証されたかに関するデータを保持しています。

This document also defines one data structure for inclusion in this extension. The data structure is designed to hold information when the subject is authenticated using a Security Assertion Markup Language (SAML) assertion.

このドキュメントでは、この拡張機能に含める1つのデータ構造も定義しています。データ構造は、サブジェクトがセキュリティアサーションマークアップ言語(SAML)アサーションを使用して認証されるときに情報を保持するように設計されています。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7773.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7773で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2016 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2016 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1. Introduction ....................................................2
      1.1. Terminology ................................................3
   2. Authentication Context Extension Syntax .........................4
   3. SAML Authentication Context Information .........................4
      3.1. contextInfo Data Structure .................................5
           3.1.1. AuthContextInfo Element .............................5
           3.1.2. IdAttributes Element ................................6
   4. Security Considerations .........................................8
   5. Normative References ............................................8
   Appendix A. ASN.1 Modules .........................................10
      A.1. ASN.1 1988 Syntax .........................................10
      A.2. ASN.1 2008 Syntax .........................................11
   Appendix B. SAML Authentication Context Info XML Schema ...........12
      B.1. XML Schema ................................................12
   Appendix C. SAML Authentication Context Info XML Examples .........14
      C.1. Complete Context Information and Mappings .................14
      C.2. Only Mapping Information without SAML Attribute Values ....15
      C.3. Authentication Context and serialNumber Mapping ...........16
   Author's Address ..................................................16
        
1. Introduction
1. はじめに

The primary purpose of this document is to provide a mechanism that allows an application to obtain information that expresses the identity of a subject in an X.509 certificate according to [RFC5280]. The identity is stored either in a subject field attribute, as a subject alternative name, or in a subject directory attribute.

このドキュメントの主な目的は、[RFC5280]に従ってX.509証明書のサブジェクトのIDを表す情報をアプリケーションが取得できるようにするメカニズムを提供することです。 IDは、サブジェクトフィールド属性、サブジェクトの別名、またはサブジェクトディレクトリ属性に格納されます。

The motivation for this work is to enable mapping of identity data between an identity system and a certificate where the identity system and the certificate are using different attributes and data formats to express the identity of the same entity. In such a scenario, the certificate subject already has an authenticated identity composed of a set of attributes, or so-called claims, that differ from the set of attributes that are commonly used to express the identity of a certificate subject and that may be governed by a specific certificate profile limiting that set.

この作業の動機は、アイデンティティーシステムと証明書が異なるエンティティーとデータ形式を使用して同じエンティティーのアイデンティティーを表現する場合に、アイデンティティーシステムと証明書の間でアイデンティティーデータのマッピングを有効にすることです。そのようなシナリオでは、証明書のサブジェクトは、証明書のサブジェクトのIDを表すために一般的に使用され、管理される可能性のある属性のセットとは異なる、一連の属性またはいわゆるクレームで構成される認証済みIDをすでに持っています。そのセットを制限する特定の証明書プロファイルによって。

A typical scenario motivating the definition of this extension arises when the source of user authentication and user identity is derived from a SAML [SAML] federation attribute profile. In a SAML federation, the subject presents a SAML assertion in exchange for a certificate that can be uniquely linked to information provided in the original SAML assertion, e.g., attributes and/or level of assurance indicators.

この拡張の定義を動機付ける典型的なシナリオは、ユーザー認証とユーザーIDのソースがSAML [SAML]フェデレーション属性プロファイルから派生したときに発生します。 SAML連携では、サブジェクトは、元のSAMLアサーションで提供された情報(属性や保証レベルなど)に一意にリンクできる証明書と引き換えに、SAMLアサーションを提示します。

Such certificates are sometimes issued in order to provide the user with a means to create an electronic signature that ties the user to the SAML subject, its attributes, and level of assurance indicators.

このような証明書は、SAMLサブジェクト、その属性、および保証レベルのインジケーターにユーザーを結び付ける電子署名を作成する手段をユーザーに提供するために発行されることがあります。

If such a certificate needs to conform to a certificate profile such as [RFC3739], then this certificate may have to use a separate set of attributes to express the subject identity. The certificate also may have to employ a format for attribute values that is different from the set of attributes obtained from the SAML assertion.

そのような証明書が[RFC3739]などの証明書プロファイルに準拠する必要がある場合、この証明書は、サブジェクトIDを表すために別の属性セットを使用する必要がある場合があります。証明書は、SAMLアサーションから取得された属性のセットとは異なる属性値の形式を採用する必要がある場合もあります。

The extension defined in the document makes it possible to represent information about the authentication context employed when authenticating the subject for the purpose of issuing a certificate. This may include information such as:

ドキュメントで定義されている拡張機能により、証明書を発行する目的でサブジェクトを認証するときに使用される認証コンテキストに関する情報を表すことができます。これには、次のような情報が含まれる場合があります。

o the Identity Provider that authenticated the subject o the level of assurance with which the subject was authenticated o the trust framework where this level of assurance was defined o a unique reference to the authentication instant o a mapping between the subject attributes (obtained from the SAML assertion used to authenticate the subject) and the subject identity information placed in the issued certificate.

o サブジェクトを認証したアイデンティティプロバイダーoサブジェクトの認証に使用された保証のレベルoこの保証のレベルが定義された信頼フレームワークoサブジェクト属性間の認証インスタントoaマッピングへの一意の参照(使用されるSAMLアサーションから取得)発行された証明書に配置されたサブジェクトとサブジェクトID情報を認証します。

One scenario where this information may be useful arises when a user logs in to a service using SAML credentials, and the same user (at some point) is required to sign some information. The service may need to verify that the signature was created by the same user that logged on to the service. Today this is only possible using out-of-band knowledge about the Certification Authority (CA) that issued the certificate and its practices. However, this approach does not scale to a large number of service providers, identity providers, and CAs.

この情報が役立つシナリオの1つは、ユーザーがSAML資格情報を使用してサービスにログインし、同じユーザーが(ある時点で)いくつかの情報に署名する必要がある場合です。サービスは、署名がサービスにログオンした同じユーザーによって作成されたことを確認する必要がある場合があります。今日、これは、証明書を発行した認証局(CA)とその慣行に関するアウトオブバンドの知識を使用してのみ可能です。ただし、このアプローチは、多数のサービスプロバイダー、IDプロバイダー、およびCAに対応することはできません。

The extension defined here provides better scalability since it requires only the service provider to maintain a list of trusted CAs. All other information about the relationship between the certificate subject and the SAML authenticated subject is available in the certificate.

ここで定義された拡張は、サービスプロバイダーのみが信頼できるCAのリストを維持する必要があるため、より優れたスケーラビリティを提供します。証明書サブジェクトとSAML認証済みサブジェクトの間の関係に関する他のすべての情報は、証明書で入手できます。

1.1. Terminology
1.1. 用語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 RFC 2119 [RFC2119]で説明されているように解釈されます。

2. Authentication Context Extension Syntax
2. 認証コンテキスト拡張構文

The Authentication Context extension has the following syntax:

認証コンテキスト拡張の​​構文は次のとおりです。

      AuthenticationContexts ::= SEQUENCE SIZE (1..MAX) OF
                                 AuthenticationContext
        
      AuthenticationContext ::= SEQUENCE {
          contextType     UTF8String,
          contextInfo     UTF8String OPTIONAL
      }
        

This extension holds a sequence of AuthenticationContext information. When present, this extension MUST include at least one AuthenticationContext.

この拡張は、AuthenticationContext情報のシーケンスを保持します。存在する場合、この拡張には少なくとも1つのAuthenticationContextが含まれている必要があります。

The type of authentication context defined in AuthenticationContext is identified by the contextType. The contextType MUST contain a URI that identifies the context type as well as the data format and encoding of context information provided in contextInfo.

AuthenticationContextで定義された認証コンテキストのタイプは、contextTypeで識別されます。 contextTypeには、コンテキストタイプを識別するURIと、contextInfoで提供されるコンテキスト情報のデータ形式およびエンコーディングを含める必要があります。

This extension MAY be marked critical.

この拡張機能は、重要とマークされる場合があります。

Applications that find an authentication context information type they do not understand MUST ignore it if the extension is non-critical and MUST reject the certificate if the extension is marked critical. If an application requires that an authentication context exist, and either the extension is absent or none of the provided authentication contexts can be used, the end-user certificate fails validation.

理解できない認証コンテキスト情報タイプを見つけるアプリケーションは、拡張が重要でない場合はそれを無視しなければならず、拡張が重要とマークされている場合は証明書を拒否しなければなりません(MUST)。アプリケーションで認証コンテキストが存在する必要があり、拡張が存在しないか、提供された認証コンテキストを使用できない場合、エンドユーザー証明書は検証に失敗します。

This document defines one authentication context information type (Section 3) that is used to provide information about SAML-based authentication of the subject that was utilized in the certificate issuance process. Other documents can define other authentication context information types.

このドキュメントでは、証明書発行プロセスで使用されたサブジェクトのSAMLベースの認証に関する情報を提供するために使用される1つの認証コンテキスト情報タイプ(セクション3)を定義します。他のドキュメントは、他の認証コンテキスト情報タイプを定義できます。

3. SAML Authentication Context Information
3. SAML認証コンテキスト情報

The SAML Authentication context information provides a contextType field that can be used to carry information about SAML-based authentication of the certified subject as utilized in the certificate issuance process.

SAML認証コンテキスト情報は、証明書発行プロセスで使用される、認証されたサブジェクトのSAMLベースの認証に関する情報を運ぶために使用できるcontextTypeフィールドを提供します。

The data carried in this authentication context information field is identified by the following XML schema ([Schema1] [Schema2]) name space:

この認証コンテキスト情報フィールドに含まれるデータは、次のXMLスキーマ([Schema1] [Schema2])ネームスペースによって識別されます。

      http://id.elegnamnden.se/auth-cont/1.0/saci
        

When this URI is specified as contextType, the associated XML data provided in contextInfo MUST be provided in the form of an XML document [XML], represented by a string of UTF-8-encoded characters.

このURIがcontextTypeとして指定されている場合、contextInfoで提供される関連付けられたXMLデータは、UTF-8エンコード文字の文字列で表されるXMLドキュメント[XML]の形式で提供される必要があります。

The XML document SHOULD exclude any unnecessary line breaks and white space, such as line indentation, to reduce its size as much as possible.

XMLドキュメントは、サイズをできるだけ小さくするために、不要な改行や行のインデントなどの空白を除外する必要があります(SHOULD)。

3.1. contextInfo Data Structure
3.1. contextInfoデータ構造

The data provided in contextInfo SHALL contain XML that is UTF-8 encoded in accordance with the XML schema provided in Appendix B. The XML document string in contextInfo MUST NOT include an XML header. That is, the XML document string contains only the root element <SAMLAuthContext> with its child elements <AuthContextInfo> and <IdAttributes>.

contextInfoで提供されるデータには、付録Bで提供されるXMLスキーマに従ってUTF-8でエンコードされたXMLが含まれている必要があります(SHALL)。contextInfoのXMLドキュメント文字列には、XMLヘッダーを含めないでください。つまり、XMLドキュメント文字列には、ルート要素<SAMLAuthContext>とその子要素<AuthContextInfo>および<IdAttributes>のみが含まれます。

The <AuthContextInfo> and <IdAttributes> elements are outlined in the following subsections.

<AuthContextInfo>要素と<IdAttributes>要素の概要については、次のサブセクションで説明します。

3.1.1. AuthContextInfo Element
3.1.1. AuthContextInfo要素

The <AuthContextInfo> element MAY be present. This element contains the following attributes:

<AuthContextInfo>要素が存在する場合があります。この要素には、次の属性が含まれています。

IdentityProvider (required): The SAML EntityID of the Identity Provider that authenticated the subject.

IdentityProvider(必須):サブジェクトを認証したアイデンティティプロバイダーのSAML EntityID。

AuthenticationInstant (required): Date and time when the subject was authenticated, expressed according to Appendix B.1.

AuthenticationInstant(必須):サブジェクトが認証された日時。付録B.1に従って表現されます。

AuthnContextClassRef (required): A URI identifying the AuthnContextClassRef that is provided in the AuthnStatement of the Assertion that was used to authenticate the subject. This URI identifies the context and the level of assurance associated with this instance of authentication.

AuthnContextClassRef(必須):サブジェクトの認証に使用されたアサーションのAuthnStatementで提供されるAuthnContextClassRefを識別するURI。このURIは、この認証のインスタンスに関連付けられたコンテキストと保証レベルを識別します。

AssertionRef (optional): A unique reference to the SAML assertion.

AssertionRef(オプション):SAMLアサーションへの一意の参照。

ServiceID (optional): An identifier of the service that verified the SAML assertion.

ServiceID(オプション):SAMLアサーションを検証したサービスの識別子。

The <AuthContextInfo> element may hold any number of child elements of type any (processContents="lax"), providing additional information according to local conventions. Any such elements SHOULD be ignored if not understood.

<AuthContextInfo>要素は、anyタイプ(processContents = "lax")の子要素をいくつでも保持でき、ローカルの規則に従って追加情報を提供します。そのような要素は理解されなければ無視されるべきです(SHOULD)。

3.1.2. IdAttributes Element
3.1.2. IdAttributes要素

The <IdAttributes> element MAY be present. This element holds a sequence of one or more <AttributeMapping> elements, where each <AttributeMapping> element contains mapping information about one certificate subject attribute or name form present in the certificate.

<IdAttributes>要素が存在する場合があります。この要素は、1つ以上の<AttributeMapping>要素のシーケンスを保持します。各<AttributeMapping>要素には、証明書に存在する1つの証明書サブジェクト属性または名前形式に関するマッピング情報が含まれます。

Each <AttributeMapping> element MUST specify the following attributes:

各<AttributeMapping>要素は、次の属性を指定する必要があります。

Type: A string containing one of the enumerated values "rdn", "san", or "sda", specifying the type of certificate attribute or name form for which mapping information is provided:

タイプ:列挙値「rdn」、「san」、または「sda」のいずれかを含む文字列。マッピング情報が提供される証明書属性または名前形式のタイプを指定します。

"rdn": Mapping information is provided for an attribute in a Relative Distinguished Name located in the subject field. "san": Mapping information is provided for a name in the Subject Alternative Name extension of the certificate. "sda": Mapping information is provided for an attribute in the Subject Directory Attributes extension.

「rdn」:マッピング情報は、件名フィールドにある相対識別名の属性に提供されます。 「san」:マッピング情報は、証明書のサブジェクトの別名拡張の名前に提供されます。 "sda":サブジェクトディレクトリ属性拡張の属性のマッピング情報が提供されます。

Ref: A reference to the specific attribute or name field. This reference is dependent on the value of Type in the following way:

Ref:特定の属性または名前フィールドへの参照。この参照は、次のようにTypeの値に依存しています。

"rdn": Ref holds a string representation of the object identifier (OID) of the relative distinguished name attribute. "san": Ref holds a string representation of the explicit tag number of the Subject Alternative Name type (e.g., "1" = email address (rfc822Name) and "2" = dNSName). If the SubjectAlternative name is an otherName, then Ref holds a string representation of the OID defining the otherName form. "sda": Ref holds a string representation of the OID of the subject directory attribute attribute.

"rdn":Refは、相対識別名属性のオブジェクト識別子(OID)の文字列表現を保持します。 「san」:Refは、サブジェクトの別名タイプの明示的なタグ番号の文字列表現を保持します(たとえば、「1」=電子メールアドレス(rfc822Name)および「2」= dNSName)。 SubjectAlternative名がotherNameの場合、RefはotherNameフォームを定義するOIDの文字列表現を保持します。 "sda":Refは、サブジェクトディレクトリ属性属性のOIDの文字列表現を保持します。

String representations of object identifiers (OID) in the Ref attribute MUST be represented by a sequence of integers separated by a period, e.g., "2.5.4.32". This string contains only numerals (ASCII 0x30 to 0x39) and periods (ASCII 0x2E), and it MUST NOT contain any other characters.

Ref属性のオブジェクト識別子(OID)の文字列表現は、ピリオドで区切られた整数のシーケンスで表現する必要があります(例:「2.5.4.32」)。この文字列には、数字(ASCII 0x30〜0x39)とピリオド(ASCII 0x2E)のみが含まれ、他の文字を含めることはできません。

Each <AttributeMapping> element MUST contain a <saml:Attribute> element as defined in [SAML]. This SAML attribute element MUST have a Name attribute (specifying its type), MAY have other attributes, and MAY have zero or more <saml:AttributeValue> child elements. A present SAML attribute with absent attribute value limits mapping to the type of SAML attribute that was used to obtain the value stored in the referenced certificate subject attribute or name form, without duplicating the actual attribute value.

各<AttributeMapping>要素には、[SAML]で定義されている<saml:Attribute>要素が含まれている必要があります。このSAML属性要素は、(そのタイプを指定する)Name属性を持たなければならず(MAY)、他の属性を持たなくてもよく(MAY)、0個以上の<saml:AttributeValue>子要素を含んでもよい(MAY)属性値が存在しない現在のSAML属性は、実際の属性値を複製することなく、参照される証明書のサブジェクト属性または名前フォームに格納されている値を取得するために使用されたSAML属性のタイプへのマッピングを制限します。

If an attribute value is present in the SAML attribute, then the value stored in the certificate in the referenced attribute or name form MAY differ in format and encoding from the present SAML attribute value. For example, a SAML attribute value can specify a country expressed as "Sweden", while this country value is stored in the certificate in a countryName attribute using the two letter country code "SE".

属性値がSAML属性に存在する場合、参照される属性または名前の形式で証明書に格納される値は、現在のSAML属性値とは形式およびエンコーディングが異なる場合があります。たとえば、SAML属性値は「スウェーデン」として表される国を指定できますが、この国の値は2文字の国コード「SE」を使用して、countryName属性の証明書に格納されます。

Several <AttributeMapping> elements MAY be present for the same certificate subject attribute or name form if the certificate contains multiple instances of this attribute or name form where their values were obtained from different SAML attributes. However, in such cases, it is not defined which present subject attribute or name form maps to which SAML attribute. A certificate-using application MAY attempt to determine this by comparing attribute values stored in this extension with attribute or name values present in the certificate, but this specification does not define any explicit matching rules that would guarantee an unambiguous result.

異なるSAML属性から値が取得されたこの属性または名前フォームのインスタンスが証明書に複数含まれている場合、同じ証明書のサブジェクト属性または名前フォームにいくつかの<AttributeMapping>要素が存在する場合があります。ただし、そのような場合、どの現在のサブジェクト属性または名前フォームがどのSAML属性にマップされるかは定義されていません。証明書を使用するアプリケーションは、この拡張に格納されている属性値を証明書に存在する属性または名前の値と比較することによってこれを決定しようとしますが、この仕様では、明確な結果を保証する明示的な一致ルールを定義していません。

The <AttributeMapping> element may hold any number of child elements of type any (processContents="lax"), providing additional information according to local conventions. Any such elements MAY be ignored if not understood.

<AttributeMapping>要素は、any型(processContents = "lax")の子要素をいくつでも保持でき、ローカルの規則に従って追加情報を提供します。そのような要素は理解されなければ無視されるかもしれません。

Note: The <AttributeMapping> element is designed to provide mapping between SAML attributes and certificate subject attributes and name forms where there is a distinct and clear relationship between relevant SAML attributes and corresponding certificate attributes and name forms. This does not cover all aspects of complex mapping situations. If more than one SAML attribute maps to the same certificate attribute or if structured multivalued attributes are split into a range of other attributes and name forms, these situations are not covered.

注:<AttributeMapping>要素は、関連するSAML属性と対応する証明書属性および名前形式の間に明確で明確な関係があるSAML属性と証明書サブジェクト属性および名前形式の間のマッピングを提供するように設計されています。これは、複雑なマッピング状況のすべての側面を網羅しているわけではありません。複数のSAML属性が同じ証明書属性にマップされる場合、または構造化された複数値属性が他の属性と名前形式の範囲に分割される場合、これらの状況はカバーされません。

Such complex mapping situations MAY be covered by extending this XML schema or by defining a more versatile context information schema.

そのような複雑なマッピング状況は、このXMLスキーマを拡張するか、またはより用途の広いコンテキスト情報スキーマを定義することによってカバーされる場合があります。

4. Security Considerations
4. セキュリティに関する考慮事項

This extension allows a CA to outsource the process used to identify and authenticate a subject to another trust infrastructure in a dynamic manner that may differ from certificate to certificate. Since the authentication context is explicitly declared in the certificate, one certificate may be issued with a lower level of assurance than another, even though both have the same Issuer.

この拡張機能により、CAは、証明書ごとに異なる動的な方法で、サブジェクトを別の信頼インフラストラクチャに識別および認証するために使用されるプロセスを外部委託できます。認証コンテキストは証明書で明示的に宣言されているため、両方の発行者が同じであっても、ある証明書は別の証明書よりも低いレベルの保証で発行される場合があります。

This means that a relying party needs to be aware of the certificate policy under which this CA operates in order to understand when the certificate provides a level of assurance with regard to subject authentication that is higher than the lowest provided level. A relying party that is not capable of understanding the information in the authentication context extension MUST assume that the certificate is issued using the lowest allowed level of assurance declared by the policy.

これは、証明書がサブジェクト認証に関して提供される最低レベルよりも高いレベルの保証を提供する時期を理解するために、証明書利用者がこのCAが動作する証明書ポリシーを認識する必要があることを意味します。認証コンテキスト拡張の​​情報を理解できない証明書利用者は、ポリシーによって宣言された最低許容レベルの保証を使用して証明書が発行されると想定しなければなりません(MUST)。

5. Normative References
5. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。

[RFC3739] Santesson, S., Nystrom, M., and T. Polk, "Internet X.509 Public Key Infrastructure: Qualified Certificates Profile", RFC 3739, DOI 10.17487/RFC3739, March 2004, <http://www.rfc-editor.org/info/rfc3739>.

[RFC3739] Santesson、S.、Nystrom、M。、およびT. Polk、「Internet X.509 Public Key Infrastructure:Qualified Certificates Profile」、RFC 3739、DOI 10.17487 / RFC3739、2004年3月、<http:// www。 rfc-editor.org/info/rfc3739>。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008, <http://www.rfc-editor.org/info/rfc5280>.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、DOI 10.17487 / RFC5280、2008年5月、<http://www.rfc-editor.org/info/rfc5280>。

[RFC5912] Hoffman, P. and J. Schaad, "New ASN.1 Modules for the Public Key Infrastructure Using X.509 (PKIX)", RFC 5912, DOI 10.17487/RFC5912, June 2010, <http://www.rfc-editor.org/info/rfc5912>.

[RFC5912] Hoffman、P。およびJ. Schaad、「X.509(PKIX)を使用した公開鍵インフラストラクチャ用の新しいASN.1モジュール」、RFC 5912、DOI 10.17487 / RFC5912、2010年6月、<http:// www。 rfc-editor.org/info/rfc5912>。

[SAML] Cantor, S., Kemp, J., Philpott, R., and E. Maler, "Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0", OASIS Standard, 15 March 2005.

[SAML] Cantor、S.、Kemp、J.、Philpott、R.、and E. Maler、 "Assertions and Protocols for the OASIS Security Assertion Markup Language(SAML)V2.0"、OASIS Standard、2005年3月15日。

[XML] Bray, T., Paoli, J., Sperberg-McQueen, C., Maler, E., and F. Yergeau, "Extensible Markup Language (XML) 1.0 (Fifth Edition)", W3C Recommendation, 26 November 2008, <https://www.w3.org/TR/2008/REC-xml-20081126/>.

[XML] Bray、T.、Paoli、J.、Sperberg-McQueen、C.、Maler、E。、およびF. Yergeau、「Extensible Markup Language(XML)1.0(Fifth Edition)」、W3C勧告、2008年11月26日、<https://www.w3.org/TR/2008/REC-xml-20081126/>。

[Schema1] Thompson, H., Beech, D., Maloney, M., and N. Mendelsohn, "XML Schema Part 1: Structures", W3C Recommendation, 28 October 2004, <http://www.w3.org/TR/2004/REC-xmlschema-1-20041028/>.

[Schema1] Thompson、H.、Beech、D.、Maloney、M。、およびN. Mendelsohn、「XML Schema Part 1:Structures」、W3C勧告、2004年10月28日、<http://www.w3.org/ TR / 2004 / REC-xmlschema-1-20041028 />。

[Schema2] Biron, P. and A. Malhotra, "XML Schema Part 2: Datatypes", W3C Recommendation, 28 October 2004, <http://www.w3.org/TR/2004/REC-xmlschema-2-20041028/>.

[Schema2] Biron、P。およびA. Malhotra、「XML Schema Part 2:Datatypes」、W3C勧告、2004年10月28日、<http://www.w3.org/TR/2004/REC-xmlschema-2-20041028 />。

Appendix A. ASN.1 Modules
付録A. ASN.1モジュール

This appendix includes the ASN.1 modules for the authentication context extension. Appendix B.1 includes an ASN.1 module that conforms to the 1998 version of ASN.1. Appendix B.2 includes an ASN.1 module, corresponding to the module present in Appendix B.1, that conforms to the 2008 version of ASN.1. Although a 2008 ASN.1 module is provided, the module in Appendix B.1 remains the normative module as per policy adopted by the PKIX working group for certificate-related specifications.

この付録には、認証コンテキスト拡張用のASN.1モジュールが含まれています。付録B.1には、1998年版のASN.1に準拠するASN.1モジュールが含まれています。付録B.2には、ASN.1の2008バージョンに準拠する、付録B.1にあるモジュールに対応するASN.1モジュールが含まれています。 2008 ASN.1モジュールが提供されていますが、付録B.1のモジュールは、証明書関連の仕様についてPKIXワーキンググループが採用したポリシーに従って、標準モジュールのままです。

A.1. ASN.1 1988 Syntax
A.1. ASN.1 1988構文
 ACE-88
       {iso(1) member-body(2) se(752) e-legnamnden(201)
        id-mod(0) id-mod-auth-context-88(1)}
        
 DEFINITIONS EXPLICIT TAGS ::=
        

BEGIN

ベギン

-- EXPORTS ALL --

-すべてエクスポート-

-- Authentication Context Extension

-認証コンテキスト拡張

 AuthenticationContexts ::= SEQUENCE SIZE (1..MAX) OF
                            AuthenticationContext
        
 AuthenticationContext ::= SEQUENCE {
     contextType     UTF8String,
     contextInfo     UTF8String OPTIONAL
 }
        
 e-legnamnden      OBJECT IDENTIFIER ::= { iso(1) member-body(2)
                                           se(752) 201 }
 id-eleg-ce        OBJECT IDENTIFIER ::= { e-legnamnden 5 }
 id-ce-authContext OBJECT IDENTIFIER ::= { id-eleg-ce 1 }
        

END

終わり

A.2. ASN.1 2008 Syntax
A.2. ASN.1 2008構文
 ACE-08
       {iso(1) member-body(2) se(752) e-legnamnden(201)
        id-mod(0) id-mod-auth-context-08(2)}
        
 DEFINITIONS EXPLICIT TAGS ::=
 BEGIN
 EXPORTS ALL;
 IMPORTS
        
 Extensions{}, EXTENSION
 FROM PKIX-CommonTypes-2009 -- From [RFC5912]
     {iso(1) identified-organization(3) dod(6) internet(1) security(5)
     mechanisms(5) pkix(7) id-mod(0) id-mod-pkixCommon-02(57)};
        

-- Authentication Context Extension

-認証コンテキスト拡張

 ext-AuthenticationContext EXTENSION ::= { SYNTAX
        AuthenticationContexts IDENTIFIED BY
        id-ce-authContext }
        
 AuthenticationContexts ::= SEQUENCE SIZE (1..MAX) OF
                            AuthenticationContext
        
 AuthenticationContext ::= SEQUENCE {
     contextType     UTF8String,
     contextInfo     UTF8String OPTIONAL
 }
        
 ElegnamndenCertExtensions EXTENSION ::= {
     ext-AuthenticationContext, ... }
        
 e-legnamnden      OBJECT IDENTIFIER ::= { iso(1) member-body(2)
                                           se(752) 201 }
 id-eleg-ce        OBJECT IDENTIFIER ::= { e-legnamnden 5 }
 id-ce-authContext OBJECT IDENTIFIER ::= { id-eleg-ce 1 }
        

END

終わり

Appendix B. SAML Authentication Context Info XML Schema
付録B. SAML認証コンテキスト情報XMLスキーマ

This appendix contains an XML schema ([Schema1] [Schema2]) for the SAML Authentication context information defined in Section 3.

この付録には、セクション3で定義されたSAML認証コンテキスト情報のXMLスキーマ([Schema1] [Schema2])が含まれています。

IMPORTANT NOTE: The XML Schema in Appendix B.1 specifies a URL on rows 9 and 10 to the SAML schemaLocation (http://docs.oasis-open.org/security/saml/v2.0/ saml-schema-assertion-2.0.xsd), which is too long to fit into one row and therefore contains a line break. This line break has to be removed before this schema can be successfully compiled.

重要な注意:付録B.1のXMLスキーマは、行9および10のSAML schemaLocation(http://docs.oasis-open.org/security/saml/v2.0/ saml-schema-assertion-へのURLを指定しています2.0.xsd)。1行に収まらないため、改行が含まれています。このスキーマを正常にコンパイルするには、この改行を削除する必要があります。

B.1. XML Schema
B.1. XMLスキーマ
 <?xml version="1.0" encoding="UTF-8"?>
 <xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"
            elementFormDefault="qualified"
     targetNamespace="http://id.elegnamnden.se/auth-cont/1.0/saci"
     xmlns:saci="http://id.elegnamnden.se/auth-cont/1.0/saci"
     xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
        
     <xs:import namespace="urn:oasis:names:tc:SAML:2.0:assertion"
         schemaLocation="http://docs.oasis-open.org/security/saml/v2.0/
 saml-schema-assertion-2.0.xsd"/>
        
     <xs:element name="SAMLAuthContext"
                 type="saci:SAMLAuthContextType"/>
     <xs:complexType name="SAMLAuthContextType">
         <xs:sequence>
             <xs:element ref="saci:AuthContextInfo" minOccurs="0"/>
             <xs:element ref="saci:IdAttributes" minOccurs="0"/>
         </xs:sequence>
     </xs:complexType>
     <xs:element name="AuthContextInfo"
                 type="saci:AuthContextInfoType"/>
     <xs:complexType name="AuthContextInfoType">
         <xs:sequence>
             <xs:any processContents="lax"
                 minOccurs="0" maxOccurs="unbounded"/>
         </xs:sequence>
         <xs:attribute name="IdentityProvider"
                       type="xs:string" use="required"/>
         <xs:attribute name="AuthenticationInstant"
                       type="xs:dateTime" use="required"/>
         <xs:attribute name="AuthnContextClassRef"
                       type="xs:anyURI" use="required"/>
         <xs:attribute name="AssertionRef" type="xs:string"/>
        
         <xs:attribute name="ServiceID" type="xs:string"/>
     </xs:complexType>
        
     <xs:element name="IdAttributes" type="saci:IdAttributesType"/>
     <xs:complexType name="IdAttributesType">
         <xs:sequence>
             <xs:element maxOccurs="unbounded" minOccurs="1"
                         ref="saci:AttributeMapping"/>
         </xs:sequence>
     </xs:complexType>
     <xs:element name="AttributeMapping"
                 type="saci:AttributeMappingType"/>
     <xs:complexType name="AttributeMappingType">
         <xs:sequence>
             <xs:element ref="saml:Attribute"/>
             <xs:any processContents="lax"
                 minOccurs="0" maxOccurs="unbounded"/>
         </xs:sequence>
         <xs:attribute name="Type" use="required">
             <xs:simpleType>
                 <xs:restriction base="xs:string">
                     <xs:enumeration value="rdn"/>
                     <xs:enumeration value="san"/>
                     <xs:enumeration value="sda"/>
                 </xs:restriction>
             </xs:simpleType>
         </xs:attribute>
         <xs:attribute name="Ref" type="xs:string" use="required"/>
     </xs:complexType>
 </xs:schema>
        
Appendix C. SAML Authentication Context Info XML Examples
付録C. SAML認証コンテキスト情報XMLの例

This appendix provides examples of SAML Authentication Context information according to the schema in Appendix B.

この付録では、付録Bのスキーマに従ってSAML認証コンテキスト情報の例を示します。

C.1. Complete Context Information and Mappings
C.1. 完全なコンテキスト情報とマッピング

The following is a complete example with authentication context information as well as mapping information for several subject field attributes and a subject alt name.

以下は、認証コンテキスト情報と、いくつかのサブジェクトフィールド属性とサブジェクト代替名のマッピング情報を含む完全な例です。

<saci:SAMLAuthContext
    xmlns:saci="http://id.elegnamnden.se/auth-cont/1.0/saci"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <saci:AuthContextInfo
        ServiceID="eid2csig"
        AssertionRef="_71b981ab017eb42869ae4b62b2a63add"
        IdentityProvider="https://idp-test.nordu.net/idp/shibboleth"
        AuthenticationInstant="2013-03-05T22:59:57.000+01:00"
        AuthnContextClassRef="http://id.elegnamnden.se/loa/1.0/loa3"/>
    <saci:IdAttributes>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.6">
            <saml:Attribute
                FriendlyName="Country"
                Name="urn:oid:2.5.4.6">
                <saml:AttributeValue xsi:type="xs:string"
                    >SE</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.5">
            <saml:Attribute
                FriendlyName="Personal ID Number"
                Name="urn:oid:1.2.752.29.4.13">
                <saml:AttributeValue xsi:type="xs:string"
                    >200007292386</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.42">
            <saml:Attribute
                FriendlyName="Given Name"
                Name="urn:oid:2.5.4.42">
                <saml:AttributeValue xsi:type="xs:string"
                    >John</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.4">
            <saml:Attribute
        
                FriendlyName="Surname"
                Name="urn:oid:2.5.4.4">
                <saml:AttributeValue xsi:type="xs:string"
                    >Doe</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.3">
            <saml:Attribute
                FriendlyName="Display Name"
                Name="urn:oid:2.16.840.1.113730.3.1.241">
                <saml:AttributeValue xsi:type="xs:string"
                    >John Doe</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="san" Ref="1">
            <saml:Attribute
                FriendlyName="E-mail"
                Name="urn:oid:0.9.2342.19200300.100.1.3">
                <saml:AttributeValue xsi:type="xs:string"
                    >john.doe@example.com</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
    </saci:IdAttributes>
</saci:SAMLAuthContext>
        
C.2. Only Mapping Information without SAML Attribute Values
C.2. SAML属性値なしのマッピング情報のみ

This example shows an instance of the SAML Authentication Context information that only provides a mapping table without providing any authentication context information or SAML attribute values.

この例は、認証コンテキスト情報やSAML属性値を提供せずにマッピングテーブルのみを提供するSAML認証コンテキスト情報のインスタンスを示しています。

<saci:SAMLAuthContext
    xmlns:saci="http://id.elegnamnden.se/auth-cont/1.0/saci"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
    <saci:IdAttributes>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.6">
            <saml:Attribute Name="urn:oid:2.5.4.6"/>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.5">
            <saml:Attribute Name="urn:oid:1.2.752.29.4.13"/>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.42">
            <saml:Attribute Name="urn:oid:2.5.4.42"/>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.4">
            <saml:Attribute Name="urn:oid:2.5.4.4"/>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.3">
        
            <saml:Attribute Name="urn:oid:2.16.840.1.113730.3.1.241"/>
        </saci:AttributeMapping>
        <saci:AttributeMapping Type="san" Ref="1">
            <saml:Attribute Name="urn:oid:0.9.2342.19200300.100.1.3"/>
        </saci:AttributeMapping>
    </saci:IdAttributes>
</saci:SAMLAuthContext>
        
C.3. Authentication Context and serialNumber Mapping
C.3. 認証コンテキストとシリアル番号のマッピング

This example shows an instance of the SAML Authentication Context information; it provides authentication context information and mapping information that specifies the source of the data stored in the serialNumber attribute in the subject field.

この例は、SAML認証コンテキスト情報のインスタンスを示しています。サブジェクトフィールドのserialNumber属性に格納されているデータのソースを指定する認証コンテキスト情報とマッピング情報を提供します。

<saci:SAMLAuthContext
    xmlns:saci="http://id.elegnamnden.se/auth-cont/1.0/saci"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <saci:AuthContextInfo
        ServiceID="eid2csig"
        AssertionRef="_71b981ab017eb42869ae4b62b2a63add"
        IdentityProvider="https://idp-test.nordu.net/idp/shibboleth"
        AuthenticationInstant="2013-03-05T22:59:57.000+01:00"
        AuthnContextClassRef="http://id.elegnamnden.se/loa/1.0/loa3"/>
    <saci:IdAttributes>
        <saci:AttributeMapping Type="rdn" Ref="2.5.4.5">
            <saml:Attribute
                FriendlyName="Personal ID Number"
                Name="urn:oid:1.2.752.29.4.13">
                <saml:AttributeValue xsi:type="xs:string"
                    >200007292386</saml:AttributeValue>
            </saml:Attribute>
        </saci:AttributeMapping>
    </saci:IdAttributes>
</saci:SAMLAuthContext>
        

Author's Address

著者のアドレス

Stefan Santesson 3xA Security AB Scheelev. 17 223 70 Lund Sweden Email: sts@aaa-sec.com

Stefan Santesson 3xA Security AB Scheelev。 17 223 70ルンドスウェーデンメール:sts@aaa-sec.com