ホーム > 情報処理安全確保支援士試験 > 2023年春期

情報処理安全確保支援士試験 2023年春期午前2 問03

シングルサインオンの実装方式の一つであるSAML認証の流れとして,適切なものはどれか。

ア：IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し,問題がなければクライアントがSPにアクセスする。（正解）

イ：Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。

ウ：認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。

エ：リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。

解説

SAML（Security Assertion Markup Language）は、Webシングルサインオン（SSO）の実装方式の一つで、異なるドメイン間で安全に認証情報を交換するための標準規格です。問題の選択肢の中で正しいSAML認証の流れは「ア」です。

IdP（Identity Provider：認証局）が利用者の認証を行う
利用者（ユーザー）がサービスプロバイダ（SP）にアクセスしようとすると、SPは認証されているかを確認します。未認証の場合は、利用者をIdPにリダイレクトします。IdPではユーザーの認証情報（ユーザー名とパスワードなど）を確認します。
IdPがアサーションを発行する
認証が成功すると、IdPはユーザーが認証された証明である「SAMLアサーション（Assertion）」を生成します。このアサーションは、認証結果や利用者情報を含んでいます。
SPがアサーションを検証する
利用者はこのアサーションをSPに渡します。SPは受け取ったアサーションの信頼性・整合性を検証します。問題なければ、利用者はSPのサービスを利用可能となります。

イ：Webサーバのエージェントとcookieによる認証
これはSAMLの典型的な方式ではなく、特定の実装や独自方式に近いです。SAMLはアサーションに基づく認証情報のやり取りを特徴としており、cookieだけを用いるのに限定されません。
ウ：Kerberosプロトコルによる認証
Kerberosは別の認証プロトコルであり、主にWindowsドメイン環境やネットワーク内認証に使われます。SAMLの流れには含まれません。
エ：リバースプロキシでの認証
リバースプロキシ認証は、プロキシサーバで認証処理をする方式であり、これはSAMLの方式とは異なります。

SAML認証は、IdPが認証し認証情報（アサーション）を発行し、そのアサーションをSPが受け取って検証するという流れです。このプロセスにより、複数のサービス間でスムーズかつ安全にシングルサインオンが実現されます。

したがって、問題文の中では選択肢「ア」が正解となる理由は以下の通りです：

これがSAML認証の基本的な流れとなっており、SSOにおける標準的な仕組みを示しています。