情報処理安全確保支援士試験 2023年 秋期 午前2 問14
OAuth2.0に関する記述のうち、適切なものはどれか。
ア:認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
イ:認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。(正解)
ウ:認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
エ:認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
解説
OAuth2.0に関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:OAuth2.0は認可プロトコルであり、認可サーバが利用者の許可を得てクライアントに権限を付与します。
- 根拠:OAuth2.0は認証ではなく、リソースへのアクセス権限を管理する仕組みであるため、認可サーバが中心的役割を担います。
- 差がつくポイント:認証(本人確認)と認可(権限付与)の違いを正確に理解し、OAuth2.0が認可に特化したプロトコルであることを押さえることです。
正解の理由
選択肢イは「認可を行うためのプロトコルであり、認可サーバが利用者(リソースオーナー)の許可を得てサービス(クライアント)に適切な権限を付与する」と記述しています。これはOAuth2.0の本質を正確に表しています。OAuth2.0は利用者の認証情報を直接扱わず、利用者の許可を基にクライアントに限定的なアクセス権を与える仕組みであり、認証ではなく認可に焦点を当てています。
よくある誤解
OAuth2.0は認証プロトコルと誤解されやすいですが、実際には認可プロトコルです。認証はOpenID Connectなどの別の仕組みで補完されます。
解法ステップ
- OAuth2.0の目的が認証か認可かを確認する。
- 認可サーバの役割を理解する(利用者の許可を得て権限を付与)。
- 利用者(リソースオーナー)、サービス(クライアント)、認可サーバの関係を整理する。
- 選択肢の記述がOAuth2.0の定義に合致しているかを判断する。
- 認証に関する記述はOAuth2.0の範囲外であることを認識する。
選択肢別の誤答解説ステップ
- ア:認可サーバが利用者本人かどうかを確認するのは認証の役割であり、OAuth2.0の認可サーバの役割とは異なります。
- イ:正解。認可サーバが利用者の許可を得てクライアントに権限を付与する認可プロトコルの説明として正しい。
- ウ:OAuth2.0は認証プロトコルではなく認可プロトコルなので誤りです。
- エ:認証サーバが権限を付与するという記述は誤りで、認証と認可の役割を混同しています。
補足コラム
OAuth2.0は「認可フレームワーク」として設計されており、ユーザーのパスワードをクライアントに渡さずに第三者サービスに限定的なアクセス権を与えることができます。認証が必要な場合はOpenID ConnectをOAuth2.0の上に重ねて利用することが一般的です。
FAQ
Q: OAuth2.0は認証プロトコルですか?
A: いいえ、OAuth2.0は認可プロトコルであり、認証は別の仕組みで行います。
A: いいえ、OAuth2.0は認可プロトコルであり、認証は別の仕組みで行います。
Q: 認可サーバの役割は何ですか?
A: 利用者の許可を得て、クライアントに対して適切なアクセス権限を付与することです。
A: 利用者の許可を得て、クライアントに対して適切なアクセス権限を付与することです。
Q: OAuth2.0で利用者のパスワードはクライアントに渡されますか?
A: 渡されません。利用者の認証情報は認可サーバが管理し、クライアントはアクセストークンを受け取ります。
A: 渡されません。利用者の認証情報は認可サーバが管理し、クライアントはアクセストークンを受け取ります。
関連キーワード: OAuth2.0, 認可プロトコル, 認証と認可, 認可サーバ, アクセストークン