Open3
CAEP, RISC and SSE @ OpenID Foundation Shared Signals and Events WG
このスクラップでは OpenID FoundationのShared Signals and Events WG で策定が進められている仕様について整理します。
- CAEP
- RISC
と言う2つの観点(目的)とそれを実現するためのフレームワーク(SSE Framework)がどのように実現されるかを理解していわゆる認証基盤のようなところが採用できる状態になることがGOALです。
IETF Security Events WGの仕様
- RFCになってるもの
- RFC8417 Security Event Token (SET) : セキュリティイベントをどう表現するか
-
RFC 8935
Push-Based Security Event Token (SET) Delivery Using HTTP : セキュリティイベントをPushで通知する方法 -
RFC 8936
Poll-Based Security Event Token (SET) Delivery Using HTTP : セキュリティイベントをポーリングで提供/取得する方法
- 策定中
- Subject Identifiers for Security Event Tokens : セキュリティイベントの対象となるSubject Identifierの表現方法
フォーマット、Push/Pull(Polling)の仕組みが既にRFC化されているので、それを先に覚えておくとこの後見るCAEP/RISCなイベントフォーマットやSSE Frameworkの理解が捗りそう。
CAEP理解のためのドキュメント
CAEPについて、最初の頃に出たGoogleの記事がOIDFのページからもリンクされている。
Re-thinking federated identity with the Continuous Access Evaluation Protocol | Google Cloud Blog
他には microsoft の発表にも注目すると良いだろう。
- Azure AD security enforcement with Continuous Access Evaluation
- Azure AD の継続的アクセス評価 | Microsoft Docs
翻訳ではない日本語の記事もある。
上記記事の著者はRISCとの違いが気になっているようだが、
- フェデレーションの時って最初のトークン発行のところでリスク評価するよね
- その後のリソースアクセスでも評価が必要だよね -> CAEP
ぐらいで良いと思う。