[要約] RFC 8176は、認証方法の参照値に関する情報を提供するものであり、認証プロトコルの実装や標準化に役立つ。目的は、認証方法の一貫性と相互運用性を確保するための共通の基準を提供することである。
Internet Engineering Task Force (IETF) M. Jones
Request for Comments: 8176 Microsoft
Category: Standards Track P. Hunt
ISSN: 2070-1721 Oracle
A. Nadalin
Microsoft
June 2017
Authentication Method Reference Values
認証方法の参照値
Abstract
概要
The "amr" (Authentication Methods References) claim is defined and registered in the IANA "JSON Web Token Claims" registry, but no standard Authentication Method Reference values are currently defined. This specification establishes a registry for Authentication Method Reference values and defines an initial set of Authentication Method Reference values.
「amr」(Authentication Methods References)クレームはIANAの「JSON Web Token Claims」レジストリで定義および登録されていますが、現在、標準の認証方法リファレンスの値は定義されていません。この仕様は、認証方法参照値のレジストリを確立し、認証方法参照値の初期セットを定義します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc8176.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc8176で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2017 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2017 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Requirements Notation and Conventions . . . . . . . . . . 4
1.2. Terminology . . . . . . . . . . . . . . . . . . . . . . . 4
2. Authentication Method Reference Values . . . . . . . . . . . 5
3. Relationship to "acr" (Authentication Context Class
Reference) . . . . . . . . . . . . . . . . . . . . . . . . . 7
4. Privacy Considerations . . . . . . . . . . . . . . . . . . . 7
5. Security Considerations . . . . . . . . . . . . . . . . . . . 7
6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 8
6.1. Authentication Method Reference Values Registry . . . . . 8
6.1.1. Registration Template . . . . . . . . . . . . . . . . 9
6.1.2. Initial Registry Contents . . . . . . . . . . . . . . 9
7. References . . . . . . . . . . . . . . . . . . . . . . . . . 12
7.1. Normative References . . . . . . . . . . . . . . . . . . 12
7.2. Informative References . . . . . . . . . . . . . . . . . 13
Appendix A. Examples . . . . . . . . . . . . . . . . . . . . . . 15
Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 15
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 15
The "amr" (Authentication Methods References) claim is defined and registered in the IANA "JSON Web Token Claims" registry [IANA.JWT.Claims], but no standard Authentication Method Reference values are currently defined. This specification establishes a registry for Authentication Method Reference values and defines an initial set of Authentication Method Reference values.
"amr"(認証方法参照)クレームはIANAの "JSON Web Token Claims"レジストリ[IANA.JWT.Claims]で定義および登録されていますが、現在、標準の認証方法参照の値は定義されていません。この仕様は、認証方法参照値のレジストリを確立し、認証方法参照値の初期セットを定義します。
For context, the "amr" (Authentication Methods References) claim is defined by Section 2 of the OpenID Connect Core 1.0 specification [OpenID.Core] as follows:
コンテキストについては、「amr」(Authentication Methods References)クレームは、OpenID Connect Core 1.0仕様[OpenID.Core]のセクション2で次のように定義されています。
amr OPTIONAL. Authentication Methods References. JSON array of strings that are identifiers for authentication methods used in the authentication. For instance, values might indicate that both password and OTP authentication methods were used. The definition of particular values to be used in the "amr" Claim is beyond the scope of this specification. Parties using this claim will need to agree upon the meanings of the values used, which may be context-specific. The "amr" value is an array of case sensitive strings.
amrオプション。認証方法のリファレンス。認証で使用される認証方法の識別子である文字列のJSON配列。たとえば、値は、パスワードとOTPの両方の認証方法が使用されたことを示している場合があります。 「amr」クレームで使用される特定の値の定義は、この仕様の範囲を超えています。この主張を使用する当事者は、使用される値の意味について合意する必要があります。これは、状況によって異なります。 「amr」値は、大文字と小文字を区別する文字列の配列です。
Typically, each "amr" value provides an identifier for a family of closely related authentication methods. For example, the "otp" identifier intentionally covers OTPs (One-Time Passwords) based on both time and HMAC (Hashed Message Authentication Code). Many relying parties will be content to know that an OTP has been used in addition to a password; the distinction between which kind of OTP was used is not useful to them. Thus, there's a single identifier that can be satisfied in two or more nearly equivalent ways.
通常、各「amr」値は、密接に関連する認証方法のファミリの識別子を提供します。たとえば、「otp」識別子は、時間とHMAC(ハッシュメッセージ認証コード)の両方に基づくOTP(ワンタイムパスワード)を意図的にカバーしています。多くの証明書利用者は、パスワードに加えてOTPが使用されたことを知って満足します。使用されたOTPの種類の区別は、彼らにとっては役に立ちません。したがって、2つ以上のほぼ同等の方法で満たすことができる単一の識別子があります。
Similarly, there's a whole range of nuances between different fingerprint-matching algorithms. They differ in false-positive and false-negative rates over different population samples and also differ based on the kind and model of fingerprint sensor used. Like the OTP case, many relying parties will be content to know that a fingerprint match was made, without delving into and differentiating based on every aspect of the implementation of fingerprint capture and match. The "fpt" identifier accomplishes this.
同様に、指紋照合アルゴリズムにはさまざまなニュアンスがあります。それらは、異なる母集団サンプルでの偽陽性率と偽陰性率が異なり、使用する指紋センサーの種類とモデルによっても異なります。 OTPの場合と同様に、多くの依存パーティは、指紋のキャプチャと照合の実装のあらゆる側面に基づいて掘り下げて区別することなく、指紋の照合が行われたことを知って満足します。 「fpt」識別子はこれを実現します。
Ultimately, the relying party is depending upon the identity provider to do reasonable things. If it does not trust the identity provider to do so, it has no business using it. The "amr" value lets the identity provider signal to the relying party additional information about what it did, for the cases in which that information is useful to the relying party.
最終的に、依存パーティは合理的なことを行うためにIDプロバイダーに依存しています。 IDプロバイダーを信頼しない場合、それを使用するビジネスはありません。 「amr」値を使用すると、IDプロバイダーは、情報が証明書利用者にとって有用である場合のために、証明書プロバイダーが実行したことに関する追加情報を証明書利用者に通知できます。
The "amr" values defined by this specification are not intended to be an exhaustive set covering all use cases. Additional values can and will be added to the registry by other specifications. Rather, the values defined herein are an intentionally small set and are already actually being used in practice.
この仕様で定義されている「amr」値は、すべての使用例を網羅する包括的なセットを意図したものではありません。追加の値は、他の仕様によってレジストリに追加できます。むしろ、ここで定義された値は意図的に小さいセットであり、実際に実際に使用されています。
The values defined by this specification only make distinctions that are known to be useful to relying parties. Slicing things more finely than would be used in practice would actually hurt interoperability, rather than helping it, because it would force relying parties to recognize that several or many different values actually mean the same thing to them.
この仕様で定義されている値は、証明書利用者に役立つことがわかっている区別のみを行います。実際に使用されるよりも細かくスライスすると、相互運用性を損なうことになります。相互運用性を向上させるのではなく、信頼性のある当事者に、いくつかまたは多くの異なる値が実際には同じことを意味することを認識させるためです。
For context, while the claim values registered pertain to authentication, note that OAuth 2.0 [RFC6749] is designed for resource authorization and cannot be used for authentication without employing appropriate extensions, such as those defined by OpenID Connect Core 1.0 [OpenID.Core]. The existence of the "amr" claim and values for it should not be taken as encouragement to try to use OAuth 2.0 for authentication without employing extensions that enable secure authentication to be performed.
コンテキストについては、登録されたクレーム値は認証に関連していますが、OAuth 2.0 [RFC6749]はリソース承認用に設計されており、OpenID Connect Core 1.0 [OpenID.Core]で定義されているような適切な拡張機能を使用しないと認証に使用できないことに注意してください。 「amr」クレームの存在とその値は、安全な認証の実行を可能にする拡張機能を使用せずにOAuth 2.0を認証に使用することを奨励するものではありません。
When used with OpenID Connect, if the identity provider supplies an "amr" claim in the ID Token resulting from a successful authentication, the relying party can inspect the values returned and thereby learn details about how the authentication was performed. For instance, the relying party might learn that only a password was used or it might learn that iris recognition was used in combination with a hardware-secured key. Whether "amr" values are provided and which values are understood by what parties are both beyond the scope of this specification. The OpenID Connect MODRNA Authentication Profile 1.0 [OpenID.MODRNA] is one example of an application context that uses "amr" values defined by this specification.
OpenID Connectで使用すると、IDプロバイダーが認証の成功の結果としてIDトークンに「amr」クレームを提供した場合、依存パーティは返された値を検査して、認証がどのように実行されたかについての詳細を知ることができます。たとえば、証明書利用者は、パスワードのみが使用されたことを知ったり、虹彩認識がハードウェアで保護されたキーと組み合わせて使用されたことを知ったりします。 「amr」値が提供されるかどうか、およびどの値がどの関係者によって理解されるかは、どちらもこの仕様の範囲を超えています。 OpenID Connect MODRNA認証プロファイル1.0 [OpenID.MODRNA]は、この仕様で定義されている「amr」値を使用するアプリケーションコンテキストの一例です。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This specification uses the terms defined by JSON Web Token (JWT) [RFC7519] and OpenID Connect Core 1.0 [OpenID.Core].
この仕様では、JSON Web Token(JWT)[RFC7519]およびOpenID Connect Core 1.0 [OpenID.Core]で定義された用語を使用しています。
The following is a list of Authentication Method Reference values defined by this specification:
以下は、この仕様で定義されている認証方法参照の値のリストです。
face Biometric authentication [RFC4949] using facial recognition.
顔認証を使用した生体認証[RFC4949]。
fpt Biometric authentication [RFC4949] using a fingerprint.
fpt指紋を使用した生体認証[RFC4949]。
geo Use of geolocation information for authentication, such as that provided by [W3C.REC-geolocation-API-20161108].
geo [W3C.REC-geolocation-API-20161108]によって提供されるものなど、認証のための位置情報の使用。
hwk Proof-of-Possession (PoP) of a hardware-secured key. See Appendix C of [RFC4211] for a discussion on PoP.
hwkハードウェアで保護された鍵の所有証明(PoP)。 PoPについては、[RFC4211]の付録Cをご覧ください。
iris Biometric authentication [RFC4949] using an iris scan.
虹彩スキャンを使用した虹彩生体認証[RFC4949]。
kba Knowledge-based authentication [NIST.800-63-2] [ISO29115].
kba知識ベース認証[NIST.800-63-2] [ISO29115]。
mca Multiple-channel authentication [MCA]. The authentication involves communication over more than one distinct communication channel. For instance, a multiple-channel authentication might involve both entering information into a workstation's browser and providing information on a telephone call to a pre-registered number.
mcaマルチチャネル認証[MCA]。認証には、複数の異なる通信チャネルを介した通信が含まれます。たとえば、マルチチャネル認証には、ワークステーションのブラウザへの情報の入力と、事前登録された番号への電話に関する情報の提供の両方が含まれる場合があります。
mfa Multiple-factor authentication [NIST.800-63-2] [ISO29115]. When this is present, specific authentication methods used may also be included.
mfa多要素認証[NIST.800-63-2] [ISO29115]。これが存在する場合、使用される特定の認証方法も含まれる場合があります。
otp One-time password [RFC4949]. One-time password specifications that this authentication method applies to include [RFC4226] and [RFC6238].
otpワンタイムパスワード[RFC4949]。この認証方法が適用されるワンタイムパスワードの仕様には、[RFC4226]と[RFC6238]が含まれます。
pin Personal Identification Number (PIN) [RFC4949] or pattern (not restricted to containing only numbers) that a user enters to unlock a key on the device. This mechanism should have a way to deter an attacker from obtaining the PIN by trying repeated guesses.
PIN個人識別番号(PIN)[RFC4949]またはユーザーがデバイスのキーのロックを解除するために入力するパターン(数字のみを含むことに限定されない)。このメカニズムには、推測を繰り返し試行することにより、攻撃者がPINを取得できないようにする方法が必要です。
pwd Password-based authentication [RFC4949].
pwdパスワードベースの認証[RFC4949]。
rba Risk-based authentication [JECM].
rbaリスクベース認証[JECM]。
retina Biometric authentication [RFC4949] using a retina scan.
網膜スキャンを使用した網膜生体認証[RFC4949]。
sc Smart card [RFC4949].
scスマートカード[RFC4949]。
sms Confirmation using SMS [SMS] text message to the user at a registered number.
SMS [SMS]テキストメッセージを使用した登録済み番号のユーザーへの確認。
swk Proof-of-Possession (PoP) of a software-secured key. See Appendix C of [RFC4211] for a discussion on PoP.
swkソフトウェアで保護された鍵の所有証明(PoP)。 PoPについては、[RFC4211]の付録Cをご覧ください。
tel Confirmation by telephone call to the user at a registered number. This authentication technique is sometimes also referred to as "call back" [RFC4949].
tel登録番号のユーザーへの電話による確認。この認証技術は、「コールバック」[RFC4949]と呼ばれることもあります。
user User presence test. Evidence that the end user is present and interacting with the device. This is sometimes also referred to as "test of user presence" [W3C.WD-webauthn-20170216].
userユーザープレゼンステスト。エンドユーザーが存在し、デバイスと対話している証拠。これは、「ユーザープレゼンスのテスト」と呼ばれることもあります[W3C.WD-webauthn-20170216]。
vbm Biometric authentication [RFC4949] using a voiceprint.
声紋を使用したvbm生体認証[RFC4949]。
wia Windows integrated authentication [MSDN].
wia Windows統合認証[MSDN]。
The "acr" (Authentication Context Class Reference) claim and "acr_values" request parameter are related to the "amr" (Authentication Methods References) claim, but with important differences. An Authentication Context Class specifies a set of business rules that authentications are being requested to satisfy. These rules can often be satisfied by using a number of different specific authentication methods, either singly or in combination. Interactions using "acr_values" request that the specified Authentication Context Classes be used and that the result should contain an "acr" claim saying which Authentication Context Class was satisfied. The "acr" claim in the reply states that the business rules for the class were satisfied -- not how they were satisfied.
「acr」(認証コンテキストクラスリファレンス)クレームと「acr_values」リクエストパラメータは「amr」(認証メソッドリファレンス)クレームに関連していますが、重要な違いがあります。 Authentication Context Classは、認証が要求されている一連のビジネスルールを指定します。これらのルールは、多くの場合、さまざまな特定の認証方法を単独でまたは組み合わせて使用することで満たすことができます。 「acr_values」を使用した対話は、指定された認証コンテキストクラスが使用され、どの認証コンテキストクラスが満たされたかを示す「acr」クレームが結果に含まれることを要求します。返信の「acr」クレームは、クラスのビジネスルールが満たされたことを示しています。どのように満たされたのかではありません。
In contrast, interactions using the "amr" claim make statements about the particular authentication methods that were used. This tends to be more brittle than using "acr", since the authentication methods that may be appropriate for a given authentication will vary over time, both because of the evolution of attacks on existing methods and the deployment of new authentication methods.
対照的に、「amr」クレームを使用した対話では、使用された特定の認証方法について説明します。これは、「acr」を使用するよりも脆弱になる傾向があります。これは、既存の方法に対する攻撃の進化と新しい認証方法の展開の両方が原因で、特定の認証に適した認証方法が時間とともに変化するためです。
The list of "amr" claim values returned in an ID Token reveals information about the way that the end user authenticated to the identity provider. In some cases, this information may have privacy implications.
IDトークンで返された「amr」クレーム値のリストは、エンドユーザーがIDプロバイダーを認証した方法に関する情報を明らかにします。場合によっては、この情報はプライバシーに影響を与える可能性があります。
While this specification defines identifiers for particular kinds of credentials, it does not define how these credentials are stored or protected. For instance, ensuring the security and privacy of biometric credentials that are referenced by some of the defined Authentication Method Reference values is beyond the scope of this specification.
この仕様は特定の種類の資格情報の識別子を定義しますが、これらの資格情報がどのように保存または保護されるかを定義しません。たとえば、定義された認証方法参照値の一部によって参照される生体認証資格情報のセキュリティとプライバシーを保証することは、この仕様の範囲を超えています。
The security considerations in OpenID Connect Core 1.0 [OpenID.Core], OAuth 2.0 [RFC6749], and the entire OAuth 2.0 Threat Model [RFC6819] apply to applications using this specification.
OpenID Connect Core 1.0 [OpenID.Core]、OAuth 2.0 [RFC6749]、およびOAuth 2.0脅威モデル[RFC6819]のセキュリティに関する考慮事項は、この仕様を使用するアプリケーションに適用されます。
As described in Section 3, taking a dependence upon particular authentication methods may result in brittle systems since the authentication methods that may be appropriate for a given authentication will vary over time.
セクション3で説明したように、特定の認証方法に依存すると、特定の認証に適した認証方法が時間とともに変化するため、システムが脆弱になる可能性があります。
This specification establishes the IANA "Authentication Method Reference Values" registry for "amr" claim array element values. The registry records the Authentication Method Reference value and a reference to the specification that defines it. This specification registers the Authentication Method Reference values defined in Section 2.
この仕様は、「amr」クレーム配列要素値のIANA「認証方法参照値」レジストリを確立します。レジストリは、認証方法参照の値と、それを定義する仕様への参照を記録します。この仕様は、セクション2で定義された認証方法参照の値を登録します。
Values are registered on an Expert Review [RFC5226] basis after a three-week review period on the <jwt-reg-review@ietf.org> mailing list, on the advice of one or more Designated Experts. To increase potential interoperability, the Designated Experts are requested to encourage registrants to provide the location of a publicly accessible specification defining the values being registered, so that their intended usage can be more easily understood.
値は、<jwt-reg-review@ietf.org>メーリングリストの3週間のレビュー期間の後に、1人以上のDesignated Expertsの助言に基づいて、Expert Review [RFC5226]ベースで登録されます。潜在的な相互運用性を高めるために、指定された専門家は、登録者に、登録されている値を定義する公にアクセス可能な仕様の場所を提供して、意図された使用法をより簡単に理解できるように促すよう要求されます。
Registration requests sent to the mailing list for review should use an appropriate subject (e.g., "Request to register Authentication Method Reference value: otp").
確認のためにメーリングリストに送信される登録リクエストでは、適切な件名を使用する必要があります(「認証方法参照値の登録リクエスト:otp」など)。
Within the review period, the Designated Experts will either approve or deny the registration request, communicating this decision to the review list and IANA. Denials should include an explanation and, if applicable, suggestions as to how to make the request successful. Registration requests that are undetermined for a period longer than 21 days can be brought to the IESG's attention (using the <iesg@ietf.org> mailing list) for resolution.
レビュー期間内に、Designated Expertsは登録リクエストを承認または拒否し、この決定をレビューリストとIANAに通知します。拒否には、要求を成功させる方法についての説明と、該当する場合は提案を含める必要があります。 21日を超える期間が不明な登録要求は、解決のために(<iesg@ietf.org>メーリングリストを使用して)IESGに通知することができます。
IANA must only accept registry updates from the Designated Experts and should direct all requests for registration to the review mailing list.
IANAは、Designated Expertsからのレジストリの更新のみを受け入れ、登録のすべてのリクエストをレビューメーリングリストに転送する必要があります。
It is suggested that the same Designated Experts evaluate these registration requests as those who evaluate registration requests for the IANA "JSON Web Token Claims" registry [IANA.JWT.Claims].
IANAの「JSON Web Token Claims」レジストリ[IANA.JWT.Claims]の登録要求を評価する担当者と同じDesignated Expertsがこれらの登録要求を評価することをお勧めします。
Criteria that should be applied by the Designated Experts include determining whether the proposed registration duplicates existing functionality; whether it is likely to be of general applicability or whether it is useful only for a single application; whether the value is actually being used; and whether the registration description is clear.
Designated Expertsが適用すべき基準には、提案された登録が既存の機能を複製するかどうかの決定が含まれます。一般的に適用できる可能性が高いか、それとも単一のアプリケーションにのみ役立つか値が実際に使用されているかどうか。登録の説明が明確かどうか。
Authentication Method Reference Name: The name requested (e.g., "otp") for the authentication method or family of closely related authentication methods. Because a core goal of this specification is for the resulting representations to be compact, it is RECOMMENDED that the name be short -- that is, not to exceed 8 characters without a compelling reason to do so. To facilitate interoperability, the name must use only printable ASCII characters excluding double quote ('"') and backslash ('\') (the Unicode characters with code points U+0021, U+0023 through U+005B, and U+005D through U+007E). This name is case sensitive. Names may not match other registered names in a case-insensitive manner unless the Designated Experts state that there is a compelling reason to allow an exception.
認証方法参照名:認証方法または密接に関連する認証方法のファミリに対して要求された名前(「otp」など)。この仕様の中心的な目標は、結果の表現をコンパクトにすることなので、名前は短くすること、つまり、やむを得ない理由がない限り8文字を超えないようにすることをお勧めします。相互運用性を促進するために、名前には二重引用符( '"')とバックスラッシュ( '\')を除く印刷可能なASCII文字のみを使用する必要があります(コードポイントU + 0021、U + 0023からU + 005B、およびU + 005DのUnicode文字この名前は大文字と小文字が区別されます。指定された専門家が例外を許可するやむを得ない理由があると述べていない限り、名前は大文字と小文字を区別しない方法で他の登録名と一致しない場合があります。
Authentication Method Reference Description: Brief description of the Authentication Method Reference (e.g., "One-time password").
認証方法リファレンスの説明:認証方法リファレンスの簡単な説明(「ワンタイムパスワード」など)。
Change Controller: For Standards Track RFCs, state "IESG". For others, give the name of the responsible party. Other details (e.g., postal address, email address, home page URI) may also be included.
変更管理者:標準化過程のRFCについては、「IESG」と記載します。その他の場合は、責任者の名前を入力してください。その他の詳細(たとえば、住所、電子メールアドレス、ホームページURI)も含まれる場合があります。
Specification Document(s): Reference to the document or documents that specify the parameter, preferably including URIs that can be used to retrieve copies of the documents. An indication of the relevant sections may also be included but is not required.
仕様ドキュメント:パラメータを指定する1つまたは複数のドキュメントへの参照。できれば、ドキュメントのコピーを取得するために使用できるURIを含む。関連セクションの表示も含まれる場合がありますが、必須ではありません。
o Authentication Method Reference Name: "face" o Authentication Method Reference Description: Facial recognition o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法リファレンス名:「顔」o認証方法リファレンスの説明:顔認識o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "fpt" o Authentication Method Reference Description: Fingerprint biometric o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「fpt」o認証方法のリファレンスの説明:指紋生体認証o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "geo"
o Authentication Method Reference Description: Geolocation
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
o Authentication Method Reference Name: "hwk"
o Authentication Method Reference Description: Proof-of-possession
of a hardware-secured key
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
o Authentication Method Reference Name: "iris" o Authentication Method Reference Description: Iris scan biometric o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「iris」o認証方法のリファレンスの説明:アイリススキャンバイオメトリックo変更コントローラー:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "kba" o Authentication Method Reference Description: Knowledge-based authentication o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方式のリファレンス名:「kba」o認証方式のリファレンスの説明:知識ベースの認証o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "mca" o Authentication Method Reference Description: Multiple-channel authentication o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「mca」o認証方法のリファレンスの説明:マルチチャンネル認証o変更コントローラ:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "mfa" o Authentication Method Reference Description: Multiple-factor authentication o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法リファレンス名:「mfa」o認証方法リファレンスの説明:多要素認証o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "otp" o Authentication Method Reference Description: One-time password o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「otp」o認証方法のリファレンスの説明:ワンタイムパスワードo変更コントローラ:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "pin" o Authentication Method Reference Description: Personal Identification Number or pattern o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法参照名:「ピン」o認証方法参照説明:個人識別番号またはパターンo変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "pwd"
o Authentication Method Reference Description: Password-based
authentication
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
o Authentication Method Reference Name: "rba"
o Authentication Method Reference Description: Risk-based
authentication
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
o Authentication Method Reference Name: "retina" o Authentication Method Reference Description: Retina scan biometric o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方式のリファレンス名:「retina」o認証方式のリファレンスの説明:Retinaスキャンバイオメトリックo変更コントローラー:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "sc" o Authentication Method Reference Description: Smart card o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「sc」o認証方法のリファレンスの説明:スマートカードo変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "sms" o Authentication Method Reference Description: Confirmation using SMS o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「sms」o認証方法のリファレンスの説明:SMSを使用した確認o変更コントローラ:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "swk" o Authentication Method Reference Description: Proof-of-possession of a software-secured key o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「swk」o認証方法のリファレンスの説明:ソフトウェアで保護されたキーの所有証明o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "tel" o Authentication Method Reference Description: Confirmation by telephone call o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方式のリファレンス名:「tel」o認証方式のリファレンスの説明:電話による確認o変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "user" o Authentication Method Reference Description: User presence test o Change Controller: IESG o Specification Document(s): Section 2 of [RFC8176]
o 認証方法のリファレンス名:「ユーザー」o認証方法のリファレンスの説明:ユーザープレゼンステストo変更管理者:IESG o仕様書:[RFC8176]のセクション2
o Authentication Method Reference Name: "vbm"
o Authentication Method Reference Description: Voice biometric
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
o Authentication Method Reference Name: "wia"
o Authentication Method Reference Description: Windows integrated
authentication
o Change Controller: IESG
o Specification Document(s): Section 2 of [RFC8176]
[IANA.JWT.Claims] IANA, "JSON Web Token Claims", <http://www.iana.org/assignments/jwt>.
[IANA.JWT.Claims] IANA、「JSON Web Token Claims」、<http://www.iana.org/assignments/jwt>。
[OpenID.Core] Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, "OpenID Connect Core 1.0", November 2014, <http://openid.net/specs/openid-connect-core-1_0.html>.
[OpenID.Core] Sakimura N.、Bradley、J.、Jones、M.、de Medeiros、B。、およびC. Mortimore、「OpenID Connect Core 1.0」、2014年11月、<http://openid.net/ specs / openid-connect-core-1_0.html>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, DOI 10.17487/RFC5226, May 2008, <http://www.rfc-editor.org/info/rfc5226>.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、DOI 10.17487 / RFC5226、2008年5月、<http://www.rfc-editor.org / info / rfc5226>。
[RFC6749] Hardt, D., Ed., "The OAuth 2.0 Authorization Framework", RFC 6749, DOI 10.17487/RFC6749, October 2012, <http://www.rfc-editor.org/info/rfc6749>.
[RFC6749] Hardt、D。、編、「The OAuth 2.0 Authorization Framework」、RFC 6749、DOI 10.17487 / RFC6749、2012年10月、<http://www.rfc-editor.org/info/rfc6749>。
[RFC7519] Jones, M., Bradley, J., and N. Sakimura, "JSON Web Token (JWT)", RFC 7519, DOI 10.17487/RFC7519, May 2015, <http://www.rfc-editor.org/info/rfc7519>.
[RFC7519]ジョーンズ、M。、ブラッドリー、J.、N。崎村、「JSON Web Token(JWT)」、RFC 7519、DOI 10.17487 / RFC7519、2015年5月、<http://www.rfc-editor.org / info / rfc7519>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <http://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<http://www.rfc-editor.org/info/ rfc8174>。
[ISO29115] International Organization for Standardization, "ISO/IEC 29115:2013 Information technology - Security techniques - Entity authentication assurance framework", ISO/IEC 29115:2013, April 2013, <https://www.iso.org/standard/45138.html>.
[ISO29115]国際標準化機構、「ISO / IEC 29115:2013情報技術-セキュリティ技術-エンティティ認証保証フレームワーク」、ISO / IEC 29115:2013、2013年4月、<https://www.iso.org/standard/ 45138.html>。
[JECM] Williamson, G., "Enhanced Authentication In Online Banking", Journal of Economic Crime Management 4.2: 18-19, 2006, <http://utica.edu/academic/institutes/ecii/publications/ articles/51D6D996-90F2-F468-AC09C4E8071575AE.pdf>.
[JECM] Williamson、G。、「Enhanced Authentication In Online Banking」、Journal of Economic Crime Management 4.2:18-19、2006、<http://utica.edu/academic/institutes/ecii/publications/articles/51D6D996- 90F2-F468-AC09C4E8071575AE.pdf>。
[MCA] ldapwiki.com, "Multiple-channel Authentication", August 2016, <https://www.ldapwiki.com/wiki/ Multiple-channel%20Authentication>.
[MCA] ldapwiki.com、「Multiple-channel Authentication」、2016年8月、<https://www.ldapwiki.com/wiki/Multiple-channel%20Authentication>。
[MSDN] Microsoft, "Integrated Windows Authentication with Negotiate", September 2011, <http://blogs.msdn.com/b/benjaminperkins/ archive/2011/09/14/iis-integrated-windows-authentication-with-negotiate.aspx>.
[MSDN] Microsoft、「統合Windows認証とネゴシエート」、2011年9月、<http://blogs.msdn.com/b/benjaminperkins/archive/2011/09/14/iis-integrated-windows-authentication-with-negotiate .aspx>。
[NIST.800-63-2] National Institute of Standards and Technology (NIST), "Electronic Authentication Guideline", NIST Special Publication 800-63-2, DOI 10.6028/NIST.SP.800-63-2, August 2013, <http://nvlpubs.nist.gov/ nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf>.
[NIST.800-63-2]国立標準技術研究所(NIST)、「電子認証ガイドライン」、NIST Special Publication 800-63-2、DOI 10.6028 / NIST.SP.800-63-2、2013年8月、 <http://nvlpubs.nist.gov/ nistpubs / SpecialPublications / NIST.SP.800-63-2.pdf>。
[OpenID.MODRNA] Connotte, J. and J. Bradley, "OpenID Connect MODRNA Authentication Profile 1.0", March 2017, <http://openid.net/specs/ openid-connect-modrna-authentication-1_0.html>.
[OpenID.MODRNA] Connotte、J。およびJ. Bradley、「OpenID Connect MODRNA Authentication Profile 1.0」、2017年3月、<http://openid.net/specs/ openid-connect-modrna-authentication-1_0.html>。
[RFC4211] Schaad, J., "Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF)", RFC 4211, DOI 10.17487/RFC4211, September 2005, <http://www.rfc-editor.org/info/rfc4211>.
[RFC4211] Schaad、J。、「Internet X.509 Public Key Infrastructure Certificate Request Message Format(CRMF)」、RFC 4211、DOI 10.17487 / RFC4211、2005年9月、<http://www.rfc-editor.org/info / rfc4211>。
[RFC4226] M'Raihi, D., Bellare, M., Hoornaert, F., Naccache, D., and O. Ranen, "HOTP: An HMAC-Based One-Time Password Algorithm", RFC 4226, DOI 10.17487/RFC4226, December 2005, <http://www.rfc-editor.org/info/rfc4226>.
[RFC4226] M'Raihi、D.、Bellare、M.、Hoornaert、F.、Naccache、D。、およびO. Ranen、「HOTP:An HMAC-Based One-Time Password Algorithm」、RFC 4226、DOI 10.17487 / RFC4226、2005年12月、<http://www.rfc-editor.org/info/rfc4226>。
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", FYI 36, RFC 4949, DOI 10.17487/RFC4949, August 2007, <http://www.rfc-editor.org/info/rfc4949>.
[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、FYI 36、RFC 4949、DOI 10.17487 / RFC4949、2007年8月、<http://www.rfc-editor.org/info/rfc4949>。
[RFC6238] M'Raihi, D., Machani, S., Pei, M., and J. Rydell, "TOTP: Time-Based One-Time Password Algorithm", RFC 6238, DOI 10.17487/RFC6238, May 2011, <http://www.rfc-editor.org/info/rfc6238>.
[RFC6238] M'Raihi、D.、Machani、S.、Pei、M。、およびJ. Rydell、「TOTP:Time-Based One-Time Password Algorithm」、RFC 6238、DOI 10.17487 / RFC6238、2011年5月、< http://www.rfc-editor.org/info/rfc6238>。
[RFC6819] Lodderstedt, T., Ed., McGloin, M., and P. Hunt, "OAuth 2.0 Threat Model and Security Considerations", RFC 6819, DOI 10.17487/RFC6819, January 2013, <http://www.rfc-editor.org/info/rfc6819>.
[RFC6819] Lodderstedt、T.、Ed。、McGloin、M。、およびP. Hunt、「OAuth 2.0脅威モデルとセキュリティの考慮事項」、RFC 6819、DOI 10.17487 / RFC6819、2013年1月、<http://www.rfc -editor.org/info/rfc6819>。
[SMS] 3GPP, "Technical realization of the Short Message Service (SMS)", 3GPP Technical Specification (TS) 03.40 Version 7.5.0 (2001-12), January 2002, <https://portal.3gpp.org/desktopmodules/Specifications/ SpecificationDetails.aspx?specificationId=141>.
[SMS] 3GPP、「ショートメッセージサービス(SMS)の技術的実現」、3GPP技術仕様(TS)03.40バージョン7.5.0(2001-12)、2002年1月、<https://portal.3gpp.org/desktopmodules / Specifications / SpecificationDetails.aspx?specificationId = 141>。
[W3C.REC-geolocation-API-20161108] Popescu, A., "Geolocation API Specification 2nd Edition", World Wide Web Consortium Recommendation REC-geolocation-API-20161108, November 2016, <https://www.w3.org/TR/2016/ REC-geolocation-API-20161108>.
[W3C.REC-geolocation-API-20161108] Popescu、A。、「Geolocation API Specification 2nd Edition」、World Wide Web Consortium Recommendation REC-geolocation-API-20161108、2016年11月、<https://www.w3.org / TR / 2016 / REC-geolocation-API-20161108>。
[W3C.WD-webauthn-20170216] Bharadwaj, V., Le Van Gong, H., Balfanz, D., Czeskis, A., Birgisson, A., Hodges, J., Jones, M., Lindemann, R., and J. Jones, "Web Authentication: An API for accessing Scoped Credentials", World Wide Web Consortium Working Draft WD-webauthn-20170216, February 2017, <http://www.w3.org/TR/2017/WD-webauthn-20170216/>.
[W3C.WD-webauthn-20170216] Bharadwaj、V.、Le Van Gong、H.、Balfanz、D.、Czeskis、A.、Birgisson、A.、Hodges、J.、Jones、M.、Lindemann、R。 、およびJ. Jones、「Web Authentication:API for Scoped Credentials」、World Wide Web Consortium Working Draft WD-webauthn-20170216、February 2017、<http://www.w3.org/TR/2017/WD- webauthn-20170216 />。
In some cases, the "amr" claim value returned may contain a single Authentication Method Reference value. For example, the following "amr" claim value indicates that the authentication performed used an iris scan biometric:
場合によっては、返される「amr」クレーム値に単一の認証方法参照値が含まれることがあります。たとえば、次の「amr」クレーム値は、実行された認証がアイリススキャンバイオメトリックを使用したことを示しています。
"amr": ["iris"]
In other cases, the "amr" claim value returned may contain multiple Authentication Method Reference values. For example, the following "amr" claim value indicates that the authentication performed used a password and knowledge-based authentication:
他の場合では、返される「amr」クレーム値に複数の認証方法参照値が含まれている場合があります。たとえば、次の "amr"クレーム値は、実行された認証がパスワードと知識ベースの認証を使用したことを示しています。
"amr": ["pwd", "kba"]
Acknowledgements
謝辞
Caleb Baker participated in specifying the original set of "amr" values. Jari Arkko, John Bradley, Ben Campbell, Brian Campbell, William Denniss, Linda Dunbar, Stephen Farrell, Paul Kyzivat, Elaine Newton, James Manger, Catherine Meadows, Alexey Melnikov, Kathleen Moriarty, Nat Sakimura, and Mike Schwartz provided reviews of the specification.
Caleb Bakerは、元の「amr」値のセットの指定に参加しました。 Jari Arkko、John Bradley、Ben Campbell、Brian Campbell、William Denniss、Linda Dunbar、Stephen Farrell、Paul Kyzivat、Elaine Newton、James Manger、Catherine Meadows、Alexey Melnikov、Kathleen Moriarty、Nat Sakimura、Mike Schwartzが仕様のレビューを提供。
Authors' Addresses
著者のアドレス
Michael B. Jones Microsoft
マイケルB.ジョーンズマイクロソフト
Email: mbj@microsoft.com
URI: http://self-issued.info/
Phil Hunt Oracle
フィルハントオラクル
Email: phil.hunt@yahoo.com
Anthony Nadalin Microsoft
アンソニーナダリンマイクロソフト
Email: tonynad@microsoft.com