IPSIE Levels
- SL - セッションライフサイクル
- AL - アカウントライフサイクル
各レベルには、それ以前のレベルが含まれます(例:SL3 には SL1 と SL2 の要件が含まれます)。SL と AL は互いに独立しています。
| IPSIE LEVEL |
Application (aka RP) | Identity Service |
|---|---|---|
| SL1 | - NIST 800-63-4 の FAL2 準拠*を満たさなければならない - アプリケーション固有のセッション有効期間は、assertion から設定しなければならない |
- NIST 800-63-4 の FAL2 準拠*を満たさなければならない - MFA を適用し、認証クラスを Application に伝達しなければならない |
| SL2 | - Identity Service の要求によりセッションを終了しなければならない - 依頼していないフェデレーション assertion を受け入れてはならない |
- Application からの認証方式要求を適用しなければならない |
| SL3 | - セッション状態の変更を Identity Service に伝達しなければならない | - ユーザー、セッション、およびデバイスの状態変更を Application に伝達しなければならない |
| AL1 | - Identity Service によるユーザーの停止、アーカイブ、または削除をサポートしなければならない | - Application からアカウントを廃止しなければならない |
| AL2 | - サインイン前に、Identity Service によるユーザーの作成および更新をサポートしなければならない - ユーザーのローカルでの作成・更新・削除、および Identity Service が提供するプロファイルの利用は許可してはならない - グループ claims をアプリケーションのロールおよび権限に対応付けることをサポートしなければならない |
- プロビジョニングされたユーザーとそのプロファイルデータを Application に同期しなければならない - ユーザーのグループ所属 claims を Application に同期しなければならない |
| AL3 | - アプリケーションのロールを Identity Service に公開しなければならない | - Application のロールを取り込み、ユーザーに対応付けなければならない - ユーザーのロール claims を Application に同期しなければならない |
IPSIE Session Lifecycle SL1 - Single Sign-On & Session Lifetime Controls
レベル SL1 は、アプリケーションから Identity Provider への基本的なシングルサインオンを可能にし、ユーザーに関するアイデンティティ情報(ステートメント)を伝達します。レベル SL1 のシングルサインオンは、NIST 800-63-4 の FAL2 における技術要件を満たします。
*注: IPSIE は、NIST 800-63-4 の FAL2 で規定されるすべての統制を含むわけではありません。IPSIE SL1 は、フェデレーションプロトコルのセキュリティに影響する FAL2 の技術的統制を要求します。データ取扱ポリシーのようなビジネス上の合意は、IPSIE の対象範囲外です。
Application は、Identity Service が assertion で伝達したセッション有効期間を尊重し、有効期限後は Identity Service とセッションを再検証します。再検証は、新しいシングルサインオンフローで行うことも、Refresh Token を用いて行うこともできます。Identity Service が伝達するセッション有効期間は、Identity Service 側のセッションより短い可能性が高いです。目的は、RP が Identity Service に再確認する間隔を Identity Service に設定させることです。
Identity Service は、SSO assertion 内で、Identity Service におけるユーザーの認証方式に関する情報を伝達しなければなりません。
IPSIE Session Lifecycle SL2 - MFA, Logout, & Session Termination
レベル SL2 は、ユーザーが Identity Service でログインする際に、Application が特定の認証方式を要求できる機能を追加します。
Application は、Identity Service からの依頼していないフェデレーション要求を受け入れてはなりません(例:SAML IdP 主導のフェデレーション)。
Identity Service は、セッション終了イベントを伝達できなければなりません。Application は、Identity Service からのセッション終了要求に従って動作しなければなりません。
IPSIE Session Lifecycle SL3 - Continuous Access
レベル SL3 は、Identity Service と Application 間の認証において、継続的なアクセスを追加します。
Application は、IP アドレスの変更などのセッション変更を Identity Service に伝達し、初回サインイン後にユーザーのセッションで起きていることについて、Identity Service がより多くのコンテキストを把握できるようにします。
Identity Service は、アカウントおよびデバイスのポスチャ(状態・姿勢)の変更を application に伝達し、application がそれらの変更に関する自らのポリシーに基づき必要と判断するアクションを取れるようにします。application も identity services も、いかなる状態変更に対しても必ず対応しなければならないわけではなく、状態変更への対応ポリシーは SL3 の対象範囲外です。
IPSIE Account Lifecycle Level AL1 - User and Profile Synchronization
IPSIE Lifecycle Level P1 は、Identity Service が Application と同期することを要求します。具体的には、アクセス権を持つユーザーおよびそのプロファイルデータを同期します。Application は、Identity Service が管理するユーザー、または提供されたユーザープロファイルデータについて、独立に作成・更新・削除を行ってはなりません。Application が SSO トークン内の claims を用いたアカウント作成の Just In Time (JIT) をサポートすることはあり得ますが、JIT のサポートは IPSIE の要件ではありません。
IPSIE Account Lifecycle Level AL2 - User Group Membership
レベル P2 は、Identity Service がユーザーをグループに編成し、グループ所属を Application と同期できる機能を追加します。Application は、グループ所属を用いてユーザーのロールと権限を判定しなければなりません。
IPSIE Account Lifecycle Level AL3 - User Roles
レベル P3 は、Application に存在するロールを Application が Identity Service に公開できる機能、および Identity Service がそれらのロールをユーザーに対応付け、各ユーザーが持つロールを Application と同期できる機能を追加します。