認証と認可
はじめにAWS SAPの問題などを解いていると、認証、認可、フェデレーション、IdPなどの言葉が出てきて毎回あいまいな理解で進めてしまうため、ここではまず基本的な認証/認可/IdPについてビルへの入館とビル内の執務室に入るまでを例えて簡単にまとめてみようと思います。
ビルのフロントでのやり取り
ビルに着くとまずはフロントにて私が誰であるかを確認してもらいます。
誰であるかの確認が取れると、ビル入館証を受け取ることができ、ビル内に入ることができます。
ビル内の執務室に入館証をかざして、執務室に入ることができます。
このやり取りが認証/認可/Idpです。
では上記を分解していきましょう。
認証
フロントにて私が誰であるかを確認するために免許証を提示し、フロントが「あなたは〇〇ですね」と確認する行為が認証です。
IdP
フロントにて「誰であるか」の証明ができると、フロントから入館証を発行してもらえます。
この受付で本人確認済みであることを証明し、入館証 (トークン)を発行する「仕組み」がIdPです。
私は〇〇ですよ、という証明ができたことで、入館証 (トークン)を使ってビルに入ることができたわけです。
認可
ビル内に入ることが無事にでき、執務室へ入るために入館証をかざします。
セキュリティは入館証の権限が執務室に入れて良いかどうかを確認し、入室を許可します。
これが認可です。
入館証にて、執務室に入る権限を与えています。
まとめ
AWSで言うと、
IdP = IAM Identity Center や外部IdP(Microsoft Entra ID, Oktaなど)
トークン = STSの一時クレデンシャル
認可 = IAMポリシー
非常に短い内容ですが、以降フェデレーションなども別記事でまとめていきたいと思います。