アイデンティティ管理の基礎
認証(Authentication)と認可(Authorization)の違い
認証(Authentication)
「あなたは誰ですか?」を確認するプロセス
- 利用者が本人であることを証明する仕組みです。
- 例:ID+パスワード、指紋・顔などの生体認証、電子証明書など
- 本人確認(eKYC)も認証の一種
主な認証方式
| 認証方式 | 説明 | 例 |
|---|---|---|
| パスワード認証 | ID + パスワード | メールアドレス+パスワード |
| 多要素認証(MFA) | 複数の認証要素の組み合わせ | パスワード+SMSコード |
| 生体認証 | 指紋・顔・声などの生体情報 | 指紋認証・Face ID |
| 証明書認証 | デジタル証明書による認証 | クライアント証明書 |
認証の3要素
- 知識要素(Knowledge):知っているもの
例:パスワード、秘密の質問 - 所有要素(Possession):持っているもの
例:スマートフォン、ICカード、認証アプリ - 存在要素(Inherence):自分自身
例:指紋、顔、声紋
認可(Authorization)
「あなたは何ができるか?」を制御するプロセス
- 認証されたユーザーが、どのリソースにどの権限でアクセスできるかを決定します。
- 例:特定ファイルの閲覧権限、管理者のみの設定変更、APIごとのアクセス制御
主な認可の実例
| シーン | 認証 | 認可 |
|---|---|---|
| オフィス入館管理 | 社員証で本人確認 | 5階フロアだけ入れる |
| Googleドライブ | Googleアカウントでログイン | ファイルの「閲覧・編集・削除」権限 |
| SNSアプリ連携 | Instagramアカウントでログイン | 「写真を読み取る」権限をCanvaへ付与 |
権限レベルのイメージ
- システム管理者:すべてのリソースにアクセス
- 部門管理者:部門ごとのリソース管理
- 一般ユーザー:自分のリソースのみ操作可能
まとめ
- 認証は「本人確認」
- 認可は「権限管理」
- 両者を正しく理解することで、安全で使いやすいサービス設計が可能です
次は、なぜOAuth 2.0やOpenID Connectが必要なのか、現代のID管理の課題とその解決策について解説します。