ホーム > 情報処理安全確保支援士試験 > 2021年 秋期
情報処理安全確保支援士試験 2021年 秋期 午前2 問04
シングルサインオンの実装方式の一つであるSAML認証の特徴はどれか。
ア:IdP(Identity Provider)がSP(Service Provider)の認証要求によって利用者認証を行い,認証成功後に発行されるアサーションをSPが検証し、問題がなければクライアントがSPにアクセスする。(正解)
イ:Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い、クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
ウ:認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
エ:リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。
解説
シングルサインオン(SSO)は、一度の認証で複数のサービスにアクセスできる仕組みです。その中で、SAML(Security Assertion Markup Language)はWebブラウザを利用したSSOの代表的な技術です。
SAML認証の特徴について
SAML認証は、主に以下の3者で構成されます。
- IdP(Identity Provider):利用者の認証を行う認証サーバ
- SP(Service Provider):サービスを提供する側(例:Webアプリ)
- 利用者(クライアント):サービスを利用するユーザ
SAML認証の流れは次のようになります。
- 利用者がSPにアクセスし、認証が必要なサービスに到達する。
- SPは利用者に直接認証をするのではなく、IdPに認証を依頼する(認証要求)。
- 利用者はIdPで認証(IDとパスワードなど)を受ける。
- 認証に成功すると、IdPは「アサーション」と呼ばれる認証情報を発行する。
- このアサーションを利用者を通じてSPへ渡し、SPはそのアサーションを検証する。
- 問題なければ、SPは利用者のアクセスを許可し、以降のサービス利用が可能になる。
なぜ選択肢「ア」が正解なのか
選択肢アは上述のSAMLの流れを正確に述べています。特に重要なのは「IdPが認証を行い、認証成功後に発行されるアサーションをSPが検証する」という部分です。このやり取りがSAML認証のコアとなります。
他の選択肢との違い
- イ:Webサーバに導入されたエージェントによる認証でcookieを使う方式は典型的なWebサイトのセッション管理に近く、SAMLの特徴ではありません。
- ウ:Kerberosプロトコルを用いる認証はSAMLとは異なり、特にWindows環境などで使われるチケットベースの認証方式です。
- エ:リバースプロキシで認証を行う方式はプロキシレベルでの認証管理であり、SAMLの仕組みとは異なります。
まとめ
- SAML認証は、IdPが利用者を認証し、SPがその認証結果をアサーションで受け取り検証する方式です。
- SPは認証自体を行わず、IdPに依存するためセキュリティの分離と信頼性が高いです。
- 選択肢「ア」はこの正確な動きを説明しているため、正解です。