« 欧州 ETSI ホワイトペーパー:認知マネジメントによるオペレーターの体験の理解 | Main | 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023 »

2023.01.12

米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

こんにちは、丸山満彦です。

NISTが「 SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」と同時に、「NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」を公表し、意見募集をしていますね。。。

FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors(連邦職員および委託業者のアイデンティティの検証(PIV))を補完するものですね。。。

 

Fig1_20230112031001

NIST - ITL

・2023.01.10 SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation

SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
Announcement 発表
Summary 概要
This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-217 provide technical requirements on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している FIPS 201-3 を補完するものである。SP 800-217 のドラフト・ガイドラインは、PIV ID アカウントおよび PIV クレデンシャルに支えられた PIV 連係を実装するために、連係した PIV ID の使用およびアサーションの使用に関する技術的要件を提供する。
Note to Reviewers 査読者への注記
The family of PIV credentials includes a variety of form factors and authenticator types – as envisioned in OMB Memoranda M-19-22 and M-22-09 and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in this public draft SP 800-217 Guidelines for PIV Federation. The companion document, SP 800-157r1 Guidelines for Derived PIV Credentials, details the authenticators themselves. Both documents are closely aligned with draft release SP 800-63-4 Digital Identity Guidelines. NIST hopes that the draft document enable a close alignment with new and emerging digital identity and federation technologies employed in the federal government, while maintaining a strong security posture. PIV クレデンシャル・ファミリは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説されたように、さまざまなフォーム係数および認証子タイプを含んでいる。これらのクレデンシャルの分野横断的および省庁間の使用は、この公開草案 SP 800-217 個人確認(PIV)連携に関するガイドライン で概説された連携プロトコルによって提供される。附属書の SP 800-157r1 派生した PIV クレデンシャルに関するガイドライン は、認証子そのものを詳述している。両方の文書は、ドラフト・リリース SP 800-63-4 デジタル・アイデンティティ・ガイドラインに密接に整合している。NIST は、このドラフトが、連邦政府で採用されている新し いデジタル ID および連携技術と緊密に連携し、強力なセキュリティ体制を維持できるようになることを期待している。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントおよび推奨事項を求めている。
Home Agency Attributes ホーム機関属性
・Are additional attributes needed in the guidelines to achieve interagency or cross-domain interoperability? ・機関間またはドメイン間の相互運用性を達成するために、ガイドラインに追加の属性が必要か?
・Are additional attributes required for RP provisioning and access? ・RP のプロビジョニングとアクセスに追加の属性が必要か?
PIV Federation PIV フェデレーション
・Are additional process steps or mechanisms needed for the connection and communication between home-IdP-to PIV identity account? ・ホーム-IDP-PIV ID アカウント間の接続と通信に追加のプロセス手順または機構が必要か?
・Do the required parameters for establishing trust agreements fit the use cases for PIV RPs? ・トラスト・アグリーメントを確立するために必要なパラメータは、PIV RP の使用事例に適合しているか?
・Are the required identity attributes sufficient for PIV use cases? ・要求される ID 属性は、PIV 使用事例にとって十分か?
・Are the federated subject identifier requirements sufficient for PIV use cases? ・連携対象識別子の要件は、PIV の使用事例にとって十分か?
・Is it clear how to apply the binding ceremony for RP-managed bound authenticators at FAL3 to PIV and non-PIV authenticators? ・FAL3 で RP が管理する結合認証子の結合式を PIV および非 PIV 認証子に適用する方法は明確か?
Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. It also calls for the federated use of those credentials. These guidelines provide technical requirements for federal agencies implementing digital identity services for federal employees and contractors and are not intended to constrain the development or use of standards outside of this purpose. This document focuses on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. Federation allows a PIV identity account to be used by relying parties outside the PIV identity account's home agency. FIPS 201 は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している。また、これらのクレデンシャルの連携利用を要求している。このガイドラインは、連邦職員および請負業者のためのデジタル ID サービスを実装する連邦機関 のための技術要件を提供し、この目的以外の標準の開発または使用を制約することは意図していない。この文書は、PIV ID アカウントおよび PIV クレデンシャルに裏付けられた PIV 連帯を実施するための、連 帯された PIV ID の使用およびアサーションの使用に重点を置いている。フェデレーションにより、PIV ID アカウントの所属機関以外の依拠当事者によって PIV ID アカウントが使用されるようになる。

 

・[PDF] SP 800-217 (Draft)

20230112-34623

 

目次...

Table of Contents  目次 
1. Introduction 1. はじめに
1.1. Background 1.1. 背景
1.2. Purpose and Scope 1.2. 目的および範囲
1.3. Federation Use Cases 1.3. 連携の使用例
1.3.1. Federation Considerations 1.3.1. 連携に関する考察
1.4. Audience 1.4. 想定読者
1.5. Notations 1.5. 表記方法
1.6. Document Structure 1.6. 文書構造
2. Architecture 2. アーキテクチャ
2.1. PIV Identity Account 2.1. PIV アイデンティティ・アカウント
2.2. Identity Providers 2.2. ID プロバイダ
2.2.1. Home IdP 2.2.1. ホーム IdP
2.2.2. PIV IdP 2.2.2. PIV IdP
2.3. PIV Credentials 2.3. PIV クレデンシャル
2.4. Relying Parties 2.4. 依拠当事者
3. Trust Agreements 3. トラスト・アグリーメント
3.1. Bilateral Agreements 3.1. 二者契約
3.2. Multilateral Agreements 3.2. 多者契約
3.3. Identity Proxies and Brokers 3.3. 身分証明書代理人および仲介業者
3.4. Shared Signaling 3.4. 共有シグナリング
3.5. Home IdPs 3.5. ホームIdP
4. Federation Assurance Level (FAL) 4. フェデレーション保証レベル(FAL)
4.1. Reaching Different FALs in PIV Federation 4.1. PIV 連盟における異なる FAL への到達
4.1.1. FAL1 4.1.1. FAL1
4.1.2. FAL2 4.1.2. FAL2
4.1.3. FAL3 4.1.3. FAL3
4.2. Selecting FAL 4.2. FALの選択
5. Requirements of IdPs and RPs 5. IdP と RP の要件
5.1. IdP Requirements 5.1. IdP の要件
5.1.1. Authentication Requirements 5.1.1. 認証の要件
5.1.2. PIV Identity Account Identification 5.1.2. PIV Identity アカウント識別
5.1.3. Session Management 5.1.3. セッション管理
5.2. RP Requirements 5.2. RP 要件
5.2.1. Assertion Processing 5.2.1. アサーション処理
5.2.2. RP Subscriber Accounts 5.2.2. RP 利用者アカウント
5.2.3. Session Management 5.2.3. セッション管理
5.2.4. Changing the Federated Identifier 5.2.4. 連携識別子の変更
6. Protocol Requirements 6. プロトコル要件
6.1. Required Attributes 6.1. 必要な属性
6.2. Assertion Contents 6.2. アサーション内容
6.2.1. Federated Identifier 6.2.1. 連携識別子
6.2.2. Authorization and Access Rights 6.2.2. 認証とアクセス権
6.3. Discovery and Registration 6.3. 発見と登録
6.4. Assertion Presentation 6.4. アサーションプレゼンテーション
6.5. Attribute APIs 6.5. 属性API
6.6. Identity Proxies and Brokers 6.6. IDプロキシとブローカー
References 参考文献
Appendix A. Examples 附属書A. 例
A.1. Direct Connection to the Home IdP A.1. ホームIdPへの直接接続
A.2. Multilateral Federation Network A.2. 多者間連携ネットワーク
A.3. Enterprise Application A.3. エンタープライズ・アプリケーション
A.4. PKI-Based Federation Gateway A.4. PKIベースの連携ゲートウェイ
A.5. PIV Federation Proxy as a Federation Authority A.5. 連携認証元としての PIV 連携プロキシ
A.6. FAL3 With a PIV Card A.6. FAL3 と PIV カード
A.7. FAL3 With an RP-Bound Authenticator A.7. RP バウンド認証機能付き FAL3
Appendix B. Glossary of Terms 附属書B. 用語集
Appendix C. Abbreviations 附属書C. 略語

 

2章 情報提供 PIV連携の一般的なアーキテクチャの記述。
3章 規範 PIV連携におけるトラスト・アグリーメントの記述。
4章 規範 PIV連携に適用されるフェデレーション保証レベルについての説明。
5章 規範 PIV連携における IdP と RP の要件についての説明。
6章 規範 アサーション・コンテンツを含む、PIV連携要素の要件。
参考文献 情報提供 本文書から参照される出版物のリスト
附属書A 参考資料 本文書で使用される特定の用語の用語集
附属書B 参考資料 本文書で使用される略語の抜粋リスト

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

 

 

 

 

|

« 欧州 ETSI ホワイトペーパー:認知マネジメントによるオペレーターの体験の理解 | Main | 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州 ETSI ホワイトペーパー:認知マネジメントによるオペレーターの体験の理解 | Main | 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023 »