OASIS 標準、2005 3 15ftp.fml.org/pub/NSRG/doc/SAML/saml-glossary-2.0-os-j.pdfSAML...
Transcript of OASIS 標準、2005 3 15ftp.fml.org/pub/NSRG/doc/SAML/saml-glossary-2.0-os-j.pdfSAML...
OASIS OASIS セキュリティ・アサーション・マークアップ言語(SAML) 用語集 V2.0 OASIS標準、2005年 3月 15日
文書識別子:
場所:
編集者:
SAML V2.0協力者:
1
概要:
本仕様は、OASIS セキュリティ・アサーション・マークアップ言語(SAML)仕様および関
連文書全体を通して使用される用語を定義する。
ステータス:
本書はセキュリティサービス技術委員会によって策定された OASIS 標準文書である。20
05年 3月 1日付けで OASIS会員により承認された。
意見や誤りがあれば、委員はメールリストへ security51 [email protected] 。
一般の方はWebフォームから http://www.oasis-open.org/committees/comments/form.php
?wg_abbrev=security. 。改訂事項はすべて委員会のWebページで公開される
(http://www.oasis-open.org/committees/security)。
本仕様の実装に影響する特許開示およびライセンス供与についての情報は、セキュリティ
サービス技術委員会の知的所有権Webページを参照のこと(http://www.oasis-open.org/com
mittees/security/ipr.php)。
2
目次
1 用語集 ...........................................................................................................................................4 2 参考.............................................................................................................................................21
3
1 用語集
本書は、OASIS セキュリティ・アサーション・マークアップ言語(SAML)仕様および関連文書で使
用される用語を定義する標準文書である。
定義には、外部の文献(付録にまとめている)から直接取り入れたものや、外部文献を基にしながら
SAMLの文脈に合うよう大幅に変更を加えたもの、SAMLのために新規に策定したものがある。こ
こで規定していない言葉の定義はほかの文献を参照されたい。
一部の定義には複数の意味を提示している。これらは(a)、(b)、...などのように表記した。この用語
集の別項で定義している用語の参照にはイタリック体文字を使った。
SAML仕様と関連文書で使用される用語の定義は以下の通り。
用語 定義
Access /アクセス システムエンティティのリソースの一部または全体の操作、
使用、その知識の取得、その表現の取得のためにシステムエ
ンティティとやり取りすること。[RFC2828]
Access Control /アクセス制御 権限のないアクセスに対するリソースの保護。リソースの使
用をセキュリティポリシーに沿って規制するとともに、ポリ
シーに従って権限が与えられたシステムエンティティにだけ
それを許すプロセス。[RFC2828]
Access Control Information アクセス制御の目的で使用するすべての情報。コンテキスト
/アクセス制御情報 情報を含む[X.812]。コンテキスト情報としては接続元 IPアド
レス、暗号強度、要求処理の種類、時刻などがある。アクセ
ス制御情報の一部は要求自体に固有であったり、要求が送信
される接続に関連していたり、あるいは時刻など"環境的"であ
ったりする。[RFC2829]
4
Access Rights /アクセス権限 サブジェクトがリソースに関して認められるやり取りの種類
の記述。たとえば読み込み、書き込み、実行、追加、変更、
削除。[Taxonomy]
Account /アカウント 典型的には、プリンシパルとビジネスサービスプロバイダの
間で日常的に取引やサービス提供をする正式なビジネス合意。
Account Linkage 2つの違ったプロバイダ間で同じプリンシパルを表すアカウ
/アカウントのリンク ントを関係付けて、プロバイダがプリンシパルについてやり
取りできるようにする方法。アカウントのリンクは属性の共
有またはアイデンティティ連携によって確立する。
Active Role /アクティブなロール システムエンティティがリソースのアクセスといった何らか
の処理を実行する際のロール、役割。
Administrative Domain 次のもののから 1個または複数の組み合わせで定義される環
/管理ドメイン 境またはコンテキスト。すなわち管理ポリシー、インターネッ
トドメイン名登録、一般の法的主体(例えば個人、企業、その
他の正式に組織された主体)、およびホストとネットワーク機
器にそれらをつなぐネットワーク(および場合によってはその
他の特質)を集めたもの、さらにその上で実行されるネットワ
ークサービスとアプリケーション(多くの場合は各種)。管理ド
メインはいくつかのセキュリティドメインを収容または定義
していてよい。管理ドメインは単一サイトあるいは複数サイト
に広がっていてよい。管理ドメインを定義する特質は、多くの
場合そうであるように時間とともに進化してよい。管理ドメイ
ンは管理ドメイン間の境界を超えてやり取りしてよく、境界を
超えたサービスの提供や利用の合意を結んでよい。
5
Administrator /管理者 システム(例えば SAML によるセキュリティシステム)をイン
ストールまたは保守する人員、あるいはシステムエンティティ
や、ユーザ、コンテンツの管理のために(目的の用途のためで
なく。エンドユーザも参照)それを使う人員。管理者は一般に
特定の管理ドメインに属し、複数の管理ドメインに関係してい
てもよい。
Affiliation, Affiliation Group プリンシパルの識別子に 1つの名前空間を共有する(連携の意
/アフィリエーション、 味で)システムエンティティの集合。
アフィリエーショングループ
Anonymity /匿名性 匿名である特質や状態をいい、未知または秘匿の名前や身元を
持った状況。[RFC2828]
Artifact /アーティファクト SAMLアーティファクトを参照。
Assertion /アサーション SAMLオーソリティが生成する次のことに関するデータ。すな
わちサブジェクトに実行された認証、サブジェクトに関する属
性情報、指定のリソースについてサブジェクトに適用される認
可データ。
Asserting Party 正式にはいくつかの SAMLオーソリティをホストする管理ド
/アサーティングパーティ メイン。一般には SAMLオーソリティのインスタンス。
Attribute /属性 オブジェクト(SAMLではサブジェクト)の明確な特性。オブジ
ェクトの属性がオブジェクトを記述すると言う。実世界のオブ
ジェクトの属性は寸法や、形、重さ、色など物理的特質で示さ
れることが多い。仮想空間のオブジェクトは、たとえば寸法や、
エンコード、ネットワークアドレスなどを記述する属性を持つ。
属性は多くの場合「属性名」と「属性値」の対で表現される。
6
たとえば"foo"が値"bar"を持ち、"count"が値 1、"gizmo"が値"fr
ob"と"2"を持つなど。これらは「属性・値ペア」と呼ばれるこ
とがある。なお識別子は基本的に「別格の属性」である。識別
子と XML属性も参照。
Attribute Authority 属性アサーションを生成するシステムエンティティ。[SAMLAgree]
/属性オーソリティ
Attribute Assertion サブジェクトの属性についての情報を運ぶアサーション。
/属性アサーション
Authentication /認証 システムエンティティが主張するプリンシパル・アイデンティ
ティを、指定または前提の信頼水準で確認すること。
[CyberTrust] [SAMLAgree]
Authentication Assertion サブジェクトについて実施され成功した認証についての情報
/認証アサーション を運ぶアサーション。
Authentication Authority 認証アサーションを生成するシステムエンティティ。
/認証オーソリティ [SAMLAgree]
Authorization /認可 サブジェクトが、あるリソースに指定の種類のアクセスを許さ
れるかどうかを、該当するアクセス制御情報の査定によって決
定するプロセス。通常、認可は認証の背景の中で行われる。サ
ブジェクトが認可を受ければ、いろいろな種類のアクセスを実
行する権限が認められる。[Taxonomy]
Authorization Decision /認可決定 認可の行為の結果。結果には否定もあり、その場合サブジェク
トはリソースへのアクセスを認められない。
7
Authorization Decision Assertion 認可決定についての情報を運ぶアサーション。
/認可決定アサーション
Back Channel /バックチャネル 2つのシステムエンティティ間の直接通信をいい、HTTPクラ
イアント(たとえばユーザエージェント)など別のシステムエ
ンティティを通じたメッセージの"リダイレクト"を経由しな
いもの。フロントチャネルも参照。
Binding, Protocol Binding 総称的に、あるプロトコルのメッセージと、おそらくはメッセ
/バインディング、 ージ交換パターンから、別のプロトコルへの具体的なかたちの
プロトコルバインディング 対応付けの仕様。たとえば SAML の<AuthnRequest>メッセー
ジを HTTPに対応付けるのはバインディングの一例。この同じ
SAML メッセージを SOAP に対応付けると、また別のバイン
ディングになる。SAMLの中では、各バインディングに"SAM
L xxxバインディング"の形式の名前を与える。
Credentials /クレデンシャル 主張されたプリンシパル・アイデンティティを確立するために
送信されるデータ。[X.800] [SAMLAgree]
End User /エンドユーザ 目的の用途で(システム管理の目的でなく。管理者、ユーザを
参照)リソースを利用する人。
Federated Identity あるプリンシパルを指して使う識別子や属性の集合について
/連携されたアイデンティティ プロバイダ間で合意がある場合、そのプリンシパルの身元はプ
ロバイダの集合の中で連携されているという。
Federate /連携する 複数のエンティティをリンクまたは結合すること。[Merriam]
8
Federation /連携 SAMLでは 2つの意味でこの用語を使う:
a) 2つのエンティティ間で相互関係を確立する行為。[Merriam]
b) 任意の数のサービスプロバイダとアイデンティティプロバ
イダを含んだ提携関係。
Front Channel /フロントチャネル HTTP を使う 2 つのサーバ間で"HTTP リダイレクト"メッセー
ジを使って実現する"通信チャネル"。Webブラウザなどのユー
ザエージェントあるいは他の HTTP クライアントを経由して
互いにメッセージを送る[RFC2616]。バックチャネルも参照。
Identifier /識別子 SAMLでは 2つの意味でこの用語を使う:
c) 身元を特定するもの。[Merriam]
d) システムエンティティに対応付けられ、そのシステムエン
ティティを一意に参照するデータオブジェクト(文字列な
ど)。1つのシステムエンティティが複数の別の識別子から
参照されてもよい。識別子は基本的にエンティティの"別格
の属性"である。属性も参照。
Identity /身元 あるエンティティの本質[Merriam]。エンティティの身元は通
常その特徴によって記述され、識別子がそれらの中に含まれる
ことがある。識別子、属性も参照。
Identity Defederation プロバイダ間で、特定の識別子や属性の集合によるプリンシパ
/アイデンティティ連携の解除 ルの参照を止めることを合意する行為。
Identity Federation プリンシパルに関して連携されたアイデンティティを作成す
/アイデンティティ連携 る行為。
9
Identity Provider サービスプロバイダの一種であり、プリンシパルの身元情報を作成、維持、
/アイデンティティプロバイダ 管理するとともに、連携内のほかのサービスプロバイダにプリンシパルの認
証を提供する。Webブラウザプロファイルなどを使う。
Initial SOAP Sender SOAPメッセージパスの始点で SOAPメッセージを発信する
/初期 SOAP送信者 SOAP送信者。[WSGloss]
Login, Logon, Sign-On
/ログイン、ログオン、サインオン ユーザが認証オーソリティにクレデンシャルを提示して、単純
セッションを確立するとともに、オプションでリッチセッショ
ンを確立するプロセス。
Logout, Logoff, Sign-Off
/ログアウト、ログオフ、サインオフ ユーザが単純セッションまたはリッチセッションを終了する
要望を知らせるプロセス。
Markup Language /マークアップ言語 特定目的のためのXML文書の構造に適用される XML要素と XML
属性の集合。通常は XML スキーマの集合と関連文書によって定義
される。たとえばセキュリティ・アサーション・マークアップ言語
(SAML)は、2つのスキーマとSAML仕様一式で定義されている。
Name Qualifier /名前修飾子 複数の名前空間(連携の意味で)で使われている識別子をはっ
きり区別して、違ったプリンシパルを表すための文字列。
Namespace /名前空間 SAMLではいくつかの意味でこの用語を使う:
e) (連携名の議論)その中では識別子が一意に 1 つのプリンシ
パルを表現するドメイン。
f) (認可決定に関して)与えられたアクションがそこから来る
アクション値の集合を識別する URI。
g) (XML) XML名前空間を参照。
10
Party /パーティ 一般に、アサーションの受け取りやリソースのアクセスといっ
た何らかのプロセスや通信に参加する 1 つまたは複数のプリ
ンシパル。
Persistent Pseudonym /永続的仮名 複数のセッションにまたがる長い期間、与えられた信頼パーテ
ィに対してあるプリンシパルを識別するためにプロバイダか
ら割り当てられる、プライバシーを保つ名前識別子。アイデン
ティティ連携の表現に使うことができる。
Policy Decision Point (PDP) 自身または要求する他のシステムエンティティのために認可
/ポリシー決定点 決定を行うシステムエンティティ[PolicyTerm]。例として SAM
L PDP は認可決定要求を受け取り、応答として認可決定アサ
ーションを生成する。PDPは"認可決定オーソリティ"である。
Policy Enforcement Point (PEP) 認可決定を要求し、つづいてそれを施行するシステムエンティ
/ポリシー実行点 ティ[PolicyTerm]。例えば SAML PEPは認可決定要求を PDPに送
り、応答として送られてくる認可決定アサーションを消費する。
Principal /プリンシパル 身元が認証できるシステムエンティティ。[X.811]
Principal Identity プリンシパルの身元の表現であり、普通は識別子。
/プリンシパル・アイデンティティ
Profile /プロファイル 次のいくつかのうち 1つの目的のための規則の集合。各集合は
"SAMLの xxxプロファイル"または"xxx SAMLプロファイル"
の形式の名前が与えられる。
a) プロトコルまたはその他の使用コンテキストへのアサーシ
ョンの埋め込み、およびそこからの注出の方法の規則。
b) 特定の使用コンテキストでの SAMLプロトコルメッセージ
の使用規則。
11
c) SAML で表現された属性を別の属性表現体系に対応付ける
規則。このような規則の集合は"属性プロファイル"として
知られる。
Provider /プロバイダ アイデンティティプロバイダとサービスプロバイダの両者を一般に指す言葉。
Proxy /プロキシ 別体として振る舞うことが認められたエンティティ。
a) 別体として振る舞う権限または力。
b) そのような権限を与える文書。[Merriam]
Proxy Server /プロキシサーバ クライアントとサーバのコンピュータシステム間でプロトコ
ルを中継し、クライアントにはサーバとして、サーバにはクラ
イアントとして映るコンピュータプロセス。[RFC2828]
Pull /プル システムエンティティから能動的に情報を要求すること。
Push /プッシュ 能動的に要求のないシステムエンティティに情報を供給すること。
Relying Party /信頼パーティ ほかのシステムエンティティからの情報に基づいて行動の決
定をするシステムエンティティ。例えば SAML 信頼パーティ
はサブジェクトに関してアサーティングパーティ(SAML オー
ソリティ)から受け取るアサーションによって行動を決める。
Requester, SAML Requester SAMLプロトコルを使ってほかのシステムエンティティ(SAM
/要求者、SAML要求者 L オーソリティ、応答者)にサービスを要求するシステムエン
ティティ。"クライアント"という用語はこの意味で使わない。
多くのシステムエンティティはクライアントおよびサーバの
両者として同時にまたは交互に振る舞うからである。SAML
の SOAP バインディングを使う場合、SAML 要求者はアーキ
テクチャ的に初期 SOAP送信者と区別される。
12
Resource /リソース 情報システムに収容されているデータ(たとえばファイルやメ
モリ内情報などのかたちで)、ならびに次のもの:
a) システムが提供するサービス。
b) システム設備のアイテム(つまりハードウェア、ファームウ
ェア、ソフトウェア、図書などのシステム構成物)。
c) システムの運用および設備を収容する施設。[RFC2828]
SAMLではリソースを最初の 2つの意味で用い、リソースの参
照に URI参照を使う。
Responder, SAML Responder SAMLプロトコルを使ってほかのシステムエンティティ(要求
/応答者、SAML応答者 者)からのサービス要求に応答するシステムエンティティ(SA
MLオーソリティ)。"サーバ"という用語はこの意味で使わない。
多くのシステムエンティティはクライアントおよびサーバの
両者として同時にまたは交互に振る舞うからである。SAML
の SOAP バインディングを使う場合、SAML 応答者はアーキ
テクチャ的に最終 SOAP受信者と区別される。
Role /ロール 辞書ではロール、役割を"役者が演じる登場人物または役"ある
いは"働きまたは立場"と定義している。システムエンティティ
は、たとえばアクティブなロールとパッシブなロールなど、し
ばしば各種のロールを同時にまたは交互に果たす。一般に管理
者の概念はロールの一例である。
SAML Authority SAMLドメインモデルでアサーションを発行する抽象的なシ
/SAMLオーソリティ ステムエンティティ。属性オーソリティ、認証オーソリティ、
ポリシー決定点(PDP)も参照。
Security /セキュリティ 情報の守秘性の確保、情報の処理に使うシステムやネットワー
クの保護、それらのアクセス制御などを行う安全策の集まり。
セキュリティは通常、秘匿性、守秘性、完全性、可用性などの
13
概念に広がる。互いに相関したものなどを含む攻撃に対して抵
抗できるシステムを確保することが意図されている。[CyberTrust]
Security Architecture 次の事柄を記述する管理ドメインとそのセキュリティドメイ
/セキュリティアーキテクチャ ンのための計画および原理の集合。すなわちシステムがユーザ
の必要を満たすために提供を求められるセキュリティサービ
ス、サービスを実装するために必要なシステム要素、脅威環境
に対処するために要素に求められる性能水準。システムの完備
したセキュリティアーキテクチャが取り組む対象には、運用管
理的セキュリティ、通信セキュリティ、コンピュータセキュリ
ティ、放射セキュリティ、要員的セキュリティ、および物理的
セキュリティがあり、それぞれについてセキュリティポリシー
を規定する。完備したセキュリティアーキテクチャは故意の知
的な脅威と偶発的脅威の両者に対処する。セキュリティアーキ
テクチャは管理ドメインの進化にともなって、その密接に結び
付いた一部分として時間とともに明示的に高度化する必要が
ある。[RFC2828]
Security Assertion セキュリティアーキテクチャのコンテキストで議論されるア
/セキュリティアサーション サーション。
Security Assertion Markup Language (SAML) /セキュリティ・アサーション・マークアップ言語
次のものを記述する仕様の集合。すなわち XMLでコード化さ
れるセキュリティアサーション、アサーションを各種のプロト
コルとフレームワークに組み込むプロファイル、アサーション
の取得に使う要求/応答プロトコル、そのプロトコルから各種
のトランスファープロトコル(たとえば SOAP、HTTP)へのバイ
ンディング。
14
SAML Artifact 小さな固定サイズの構造データオブジェクトであり、通常はよ
/SAMLアーティファクト り大きな可変長の SAML プロトコルメッセージを指し示すも
の。SAMLアーティファクトは URLに埋め込んで HTTPメッ
セージで運ぶように設計されており、たとえば"3xx リダイレ
クション"ステータスコードの HTTP 応答メッセージとそれに
続く HTTP GETメッセージなどを用いる。この方法を使うと、
サービスプロバイダがユーザエージェントを経由して、別のプ
ロバイダに間接的に SAML アーティファクトを運ぶことがで
き、受け取ったプロバイダは元のプロバイダとの直接やり取り
によって SAML アーティファクトを逆参照して、SAML プロ
トコルメッセージを取得する。HTTPプロトコルとユーザエー
ジェントの実装の各種の特性に触発されてこの手法が成立し
た。[SAMLBind]のアーティファクトバインディングの節で、S
AML アーティファクトのフォーマットとそれを取り入れた S
AML HTTPプロトコルバインディングが定義されている。
Security Context
/セキュリティコンテキスト 個々の SAML プロトコルメッセージで見た場合、メッセージ
のセキュリティコンテキストとは、メッセージのセキュリティ
ヘッダブロック(存在する場合)、および受け手へメッセージを
送る際に用いるその他のセキュリティの仕組みの意味的な和
集合である。その他のセキュリティの仕組みとしては HTTP、
TLS/SSL、IPSECなどのネットワークスタックの下位レイヤで
使われるものがその例。
システムエンティティ"アリス"が別のシステムエンティティ"
ボブ"とやり取りする場合で考えると、セキュリティコンテキ
ストとは、名目的にアリスとボブの間のネットワーク接続にわ
たって用いられるすべてのセキュリティの仕組みの意味的な
和集合である。アリスとボブをそれぞれ、たとえばプロバイダ
15
やユーザエージェントに置き換えて考えてよい。このセキュリ
ティコンテキストの概念は、たとえば[RFC2743]で用いられる
"セキュリティコンテキスト"の考え方や、分散コンピューティ
ング環境[DCE]で用いられるものに近い。
Security Domain セキュリティモデルおよびセキュリティアーキテクチャによ
/セキュリティドメイン って定義される環境またはコンテキストであり、リソースの集
合とリソースへのアクセス権限が与えられたシステムエンテ
ィティの集合を含む。1個の管理ドメインの中に 1個または複
数のセキュリティドメインが存在してよい。あるセキュリティ
ドメインを定義する特質は、一般に時間とともに進化する。
[Taxonomy]
Security Policy システムや組織がリソースの保護のためにどのようにセキュ
/セキュリティポリシー リティサービスを提供するかを規定または管理する規則と実
践の集合。セキュリティポリシーはセキュリティアーキテクチ
ャの構成要素である。セキュリティポリシーのかなりの部分は、
セキュリティポリシー表現を用いてセキュリティサービスに
よって実現される。[RFC2828] [Taxonomy]
Security Policy Expression プリンシパル・アイデンティティやその属性と、認められるア
/セキュリティポリシー表現 クションの対応付け。セキュリティポリシー表現は基本的にア
クセス制御リストであることが多い。[Taxonomy]
Security Service システムがリソースに特定の保護を与えるために提供する処
/セキュリティサービス 理または通信のサービス。リソースはそのシステム内にあって
も別のシステムにあってもよい。認証サービス、あるいは PKI
による文書の属性および認証サービスがこの一例。セキュリテ
ィサービスは AAAサービスの上位集合である。一般にセキュ
リティサービスはセキュリティポリシーの一部を実現するも
16
のであり、セキュリティの仕組みによって実装する。
[RFC2828] [Taxonomy]
Service Provider システムエンティティがプリンシパルやその他のエンティテ
/サービスプロバイダ ィにサービスを提供する場合に果たすロール。
Session /セッション システムエンティティ間の継続的なやり取りであり、多くはプ
リンシパルが関与し、やり取りの間その何らかの状態を維持す
ることに特徴がある。
Session Authority システムエンティティがセッションについての状態を維持す
/セッションオーソリティ るときに果たすロール。アイデンティティプロバイダがしばし
ばこの役割を果たす。
Session Participant
/セッションパーティシパント システムエンティティが少なくとも 1 つのセッションオーソ
リティとともにセッションに加わっているときに果たすロー
ル。
Site /サイト 地理上または DNS名の意味において非公式に管理ドメインを
指す言葉。管理ドメインの地理上またはトポロジー上の特定部
分を指して使うことがある。あるいは ASP サイトの場合のよ
うに複数の管理ドメインにわたってもよい。
Subject /サブジェクト セキュリティドメインのコンテキストの中でのプリンシパル。
SAML アサーションはサブジェクトに関して宣言を行うもの
である。
17
System Entity, Entity コンピュータ/ネットワークシステムの能動的な要素。例えば
/システムエンティティ、 機能の明確な集合を備え持った自動化プロセスやプロセスの
エンティティ 集合、あるサブシステム、人または人のグループなど。
[RFC2828] [SAMLAgree]
Time-Out /タイムアウト 何らかの事象が発生せずに経過すると、ある条件が真になる時
間。たとえば無活動の状態が一定時間続いたためにセッション
が終了させられると、セッションが"タイムアウト"すると言う。
Transient Pseudonym /一時的仮名 複数のセッションにまたがる必要のない比較的短い期間、与え
られた信頼パーティに対してあるプリンシパルを識別するた
めにアイデンティティプロバイダから割り当てられるプライ
バシーを保つ識別子。
Ultimate SOAP Receiver SOAPメッセージの最終的な宛先である SOAP受信者。SOAP
/最終 SOAP受信者 本体および自身に向けられたすべての SOAP ヘッダブロック
の内容の処理に責任を負う。たとえば SOAP 仲介者の問題な
ど、状況によっては SOAP メッセージは最終 SOAP 受信者に
届かない場合がある。最終 SOAP 受信者が同時に同じ SOAP
メッセージの SOAP仲介者であることはできない。[WSGloss]
User /ユーザ システムとそのリソースを任意の目的で利用する人。[SAMLAgree]
Uniform Resource Identifier (URI) /ユニフォーム・リソース・アイデンティファイア
抽象または物理リソースを識別する簡潔な文字列[RFC2396]。
URIはワールド・ワイド・ウェブ上のリソースを指定する普遍
的な仕組みである。Uniform Resource Locator (URL)は URIの
下位集合であり、ネットワーク上の"場所"などのアドレッシン
グスキーマをリソースの主になるアクセスの仕組みに結びつ
けて用いる。
18
URI Reference /URI参照 後続のナンバー記号(#)とフラグメント識別子を持つことがで
きる URI [RFC2396]。フラグメント識別子は指定のリソース内
の特定の場所または領域を指定する。
XML /XML Extensible Markup Languageを略して XML。XML文書と呼ばれ
るデータオブジェクトのクラスを記述するとともに、それを処理
するコンピュータプログラムの挙動の一部を記述する。[XML]
XML Attribute /XML属性 XML 要素の開始タグに埋め込まれ、名前と値を持つ XML デ
ータ構造。下記のイタリック体部分が XML属性の例:
属性も参照。
XML Element /XML要素 XML文書の中で階層的に編成される 1 つ 1 つの XMLデータ
構造であり、開始タグと終了タグまたは空白タグのどちらかで
示される。例:
XML Namespace /XML名前空間 URI 参照によって識別され、XML 文書の中で要素型や属性名
として使われる名前の集まり。XML 名前空間は多くの場合 X
MLスキーマと対応付けられる。たとえば SAMLは 2つのスキ
ーマを定義していて、それぞれが独自のXML名前空間を持つ。
19
XML Schema /XML Schema XML 文書の集合の中で使うマークアップ言語の規則を記述た
めに、ワールド・ワイド・ウェブ・コンソーシアム(W3C)で策
定されたフォーマット。"スキーマ"または小文字で“XML sch
ema”はこのフォーマットの個々のインスタンスを指す。例と
して、SAMLは 2つのスキーマを定義していて、1つはセキュ
リティアサーションをコード化する XML文書のための規則を
収め、もう 1 つは要求/応答プロトコルメッセージをコード化
する XML 文書のための規則を収めている。スキーマは XML
要素と XML属性のほかに、これらの構造に適用するデータ型
も定義する。
20
2 参考
21
付録 A 謝辞
OASISセキュリティサービス技術委員会の寄与に編集者から謝意を表する。発行時点での委員会の
投票委員は次の通り:
22
さらに以下の前 SSTC 委員から受けた OASIS セキュリティ・アサーション・マークアップ言語標
準の今回および従来の版への貢献にも編集者から謝意を表する:
最後に、OASISセキュリティ・アサーション・マークアップ言語仕様の策定資料を提供いただいた
以下の各位にも編集者の謝意を表明したい:
23
付録 B 法定通知
OASISは、本文書で記述された技術の実装や利用に関して主張される可能性がある知的財産や他の
権利の正当性や範囲についてや、そのような権利のライセンスが利用可能または不可能かもしれな
いことについて、何の立場もとらないし、そのような権利を確認するために努力してきたとも主張
しない。OASIS仕様の権利に関する OASISの手続き情報は OASISウェブサイトで見ることができ
る。公表のために利用可能となっている権利の主張の写しと利用可能となるであろうライセンスの
保証、または、本仕様の実装者または利用者がそのような財産権を利用するための一般的なライセ
ンスまたは許可を取得しようとした試みの結果は、OASIS Executive Directorから取得することがで
きる。
OASISは、関心のあるものは誰でも、本仕様を実装するために必要とされる技術を対象とする著作
権、特許または特許申請、または、他の財産権についての注意をうながしてもらうようお願いする。
このような情報については、OASIS Executive Directorに連絡していただきたい。
Copyright © OASIS Open 2005. All Rights Reserved.
上記著作権表示とこの段落が全ての複製と派生物に含められるなれば、本文書とその翻訳は複製さ
れ他者へ提供されてもよく、それを解説したり説明したり、その実装を援助する派生的作業は、全
てであ一部であれ何の制限もなく、準備され、公表され、配布されてもよい。しかしながら、OASIS
仕様を開発するという目的のために必要とされる場合(この場合、OASIS Intellectual Property Rights
文書中で定義される著作権のための手続きにしたがわなければならない)や英語以外の言語へ翻訳
するために必要とされる場合を除いて、本文書自身は著作権表示または OASIS への参照を削除す
るなどどのような方法でも改変できない。
上で付与した制限付きの許可は永続的なものであり、OASIS もしくはその後継者または任命者に
よって取り消されることはない。
本文書およびここに含まれる情報は「現状有姿」のままで提供され、この情報の利用がどのような
権利も侵害しないという保証や、商品性や特定の目的への適応性についての暗黙の保証を含むがこ
れらに限らず、明示的または暗示的を問わず、一切の保証を OASISは行なわない。
24