パストークンを設計する場合は、機能および設計の両方の考慮事項を検討する必要があります。
機能要件
- 1 つのセキュリティ ドメイン内の 1 人の確認済みユーザーに、別のドメインへの自動サインインの実行を許可します。そのサインオンは、ターゲット ドメインでそのユーザーの確認が拒否された場合は失敗する可能性があります。
- ユーザーに通常のサインオン メカニズムの回避を許可する、セキュリティ ホールが作成されないようにします。
設計上の考慮事項
- パストークンのコンテンツおよびパストークン処理 (生成および検証) は、指定されたパストークンを生成および使用する ESM Module (およびその関連 ESM) に任されます。
- それらが無効になっているか、セキュリティ ドメインのいずれかによって使用されている ESM Module でパストークンがサポートされていない場合は、パストークン操作は正常に失敗します。
- パストークンは、偽造またはリプレイが困難である必要があります。
- パストークンから重要な情報 (パスワードなど) を導き出すことが困難または不可能である必要があります。パストークン自体が主に有線上のみで公開される場合は、この要件は柔軟に設定されます。これは、ユーザーが SSL を使用しているか有線上でパスワードを公開しているかのどちらかである可能性があるためです。これにより、セキュリティ リスクはより大きくなります。
- 与えられたパストークンは、ユーザーおよびサインオン グループに固有のものとなります。
- パストークンは、使い捨てまたは一時的である必要があります。それをアーカイブするメカニズムは、ESM Module に任されます。