ログイン

認証 vs 認可

認証と認可は、最新のコンピュータシステムでよく使われる、混同されやすい用語です。両方ともセキュリティに関係しているため、同じ意味として使われることもあります。ただし、実際には、読んでいくとわかるように、認証と認可は違う意味を持ち、使い方も違います。

お急ぎの場合は、この記事の下の認証vs.認可にお進みください。このテーマについて詳しく学びたい方は、次のセクションをお読みください。では、簡単にこの2つのテーマについて触れていきましょう。:

  • 認証とは?

認可とは?

「認証する」または「認可する」という意味を理解するとともに、それらの相違点と類似点について確認しましょう。最後に、どのようにAuth0 は認証と認可を管理するのかについても学びましょう。

認証とは?

認証とは、ユーザーまたはデバイス(つまり、エンティティ)が本物であるかどうかを確認するプロセスのことです。認証プロセス中、エンティティは、例えば、認証要素のような、それを証明する何かに頼っている場合がほとんどです。たとえば、銀行で自分の口座からお金を引き出そうとする時、自分自身を証明する身分証明書を提示するように尋ねられるかもしれません。同じように、飛行機の搭乗券を購入する場合、搭乗前に、パスポートで自分が搭乗券の利用者であることを証明しなければなりません。どちらの例も、実生活で私たちが体験している、身元確認のための認証プロセスです(認証済のユーザー)。

デジタル取引でも、たとえば Facebookのプロフィールや勤め先のウェブメールクライアントにアクセスしようとすると、同じようなプロセスが生じます。このような場合、通常は、ID、パスポートなどのような文書を利用する代わりに、その人が知っていること(例:ユーザー名やパスワード)、またはデバイスを所有していること(コードのある SMS を受信できるモバイルフォン)をシステムに示すことで本人であることを証明します。知識を提示したり、特定のデバイスを管理していることを証明した後に、対象システムはあなたの ID を認識し、アクセスを許可します。この場合、認証済のユーザーは、認証要素によって自分の ID を証明します。そうした要素には、シングル認証、または二要素認証、または多要素認証があります。

認可とは?

認証とは反対に、認可とは、どのリソースエンティティティ(ユーザーまたはデバイス)がアクセスできるか、どのアクションを実行できるか(アクセス権限など)を確認するプロセスを指します。

具体的な例としては、コンサートのチケットを買うことを想像してみてください。この場合、運営者は、あなたの ID (あなたが誰なのか)に興味を持つことはほとんどありません。運営者にとって大事なのは、あなたがコンサート会場に入場することを認可されているかどうかということです。ID やパスポートの代わりに、コンサート会場に入る権利を持っていることを証明するには、チケットを使います。

コンサート会場への入場を承認するチケットには、あなたの ID に関する情報は記載されていないことがほとんどです。あなたの ID 情報が記載されていたとしても、それが認可プロセスで確認されるわけではありません。

インターネットをベースにしたソフトウェアアプリケーションでは、トークン と呼ばれるアーチファクトを使って認可を処理するのが、通常の手段です。ユーザーがサインインすると、アプリケーションは、ユーザーが何をするのかに注意し始めます。この場合、その後、ユーザー ID に基づいた承認に情報を含んでいるトークンが作成されます。このシステムは、この認可トークンを使って、認可の判断を行います。こうして、リソースへのアクセスを付与したり、リクエストを回避したりします。

認証vs.認可

これまでのセクションで、認証と認可が何を意味しているかを見てきましたが、これらの用語の定義や用途は、重複してしまうことがよくあります(これらを混同させてしまう根本原因かもしれません)。たとえば、銀行で窓口に提示されるユーザー ID は、あなたの口座にある資金へのアクセスを認可するためにも使われます。

同じように、アクセスを制御するためにバッジが必要な企業は、同じバッジを人物の認証(名前と写真)とアクセスの認可の両方に利用します。

認証と認可は、特定の状況下では、同じ意味で使われているように見えるため、混乱を招きます。

しかし、大事なことは、認証は結果的に認可に導くとしても、認可は認証に導くことはない、ということです。

ID の証明は、アクセス権限を付与するのに十分であると同時に(物事を達成するために、自分が認可されること)、認可の取得は、エンティティを特定するのに使えるわけではありません。

たとえば、搭乗券は、飛行機への搭乗を認可しますが、あなたの IDについてのデータも記載しています。それにより乗務員はあなたの名前を知ることができるのです。しかし、コンサートに行くチケットには、ID の詳細情報は記載されていません。コンサートに行く権利を単に証明するものでしかありません。

要するに:

  • 認証は、ユーザーまたはデバイスを特定する行為です。
  • 認可は、ユーザーおよびデバイスのアクセス権限を許可したり、拒否したりする行為です。
  • 認証は、許可を判断する際の要素として使用できます。.
  • 認可のアーチファクトは、ユーザーまたはデバイスを特定する際には役立ちません。

より詳しく学ぶには?

ID とアクセスの管理に関する多数のトピックをご紹介する[IAM 入門ページ](https://auth0.com/intro-to-iam/)を引き続きご覧ください。

Table of contents

構築か購入か?

認証と認可のニーズに対し、何をするべきか学びましょう。

ホワイトペーパーを入手する

Quick assessment

認証システムを説明しているユースケースは、次のどれですか?(当てはまるものをすべてお選びください)

Quick assessment

これらの回答のうちどれが正しいですか?

無料で構築を開始