情報処理安全確保支援士 2023年春期午前2 問03

問題文

シングルサインオンの実装方式の一つであるSAML認証の流れとして、適切なものはどれか。

選択肢

ア：IdP(Identity Provider)が利用者認証を行い、認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントがSPにアクセスする。（正解）

イ：Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い、クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。

ウ：認証サーバはKerberosプロトコルを使って利用者認証を行い、クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。

エ：リバースプロキシで利用者認証が行われ、クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。

シングルサインオンの実装方式の一つであるSAML認証の流れ【午前2 解説】

要点まとめ

結論：SAML認証ではIdPが利用者認証を行い、発行したアサーションをSPが検証してアクセスを許可します。
根拠：SAMLはXMLベースの認証情報交換プロトコルで、IdPとSP間で認証情報（アサーション）を安全にやり取りします。
差がつくポイント：IdPとSPの役割理解、アサーションの意味、Kerberosやcookie認証との違いを押さえることが重要です。

正解の理由

選択肢アはSAML認証の基本的な流れを正確に表しています。IdP（Identity Provider）が利用者の認証を行い、認証成功後にアサーション（認証情報）を発行します。SP（Service Provider）はこのアサーションを受け取り、検証して問題なければ利用者にサービスを提供します。クライアントはSPにアクセスしますが、認証はIdPが担うためSPは直接認証情報を持ちません。これがSAML認証の特徴です。

よくある誤解

SAML認証は単にcookieやチケットを使う認証方式ではなく、IdPとSP間で認証情報を安全に交換する仕組みです。Kerberosやリバースプロキシの認証方式とは異なります。

解法ステップ

SAML認証の基本構成要素（IdPとSP）を理解する。
IdPが利用者認証を行い、認証情報（アサーション）を発行することを確認する。
SPはアサーションを受け取り、検証してアクセス許可を判断することを押さえる。
他の認証方式（Kerberos、cookie認証、リバースプロキシ認証）との違いを整理する。
選択肢の説明とSAMLの流れを照合し、正しいものを選ぶ。

選択肢別の誤答解説

ア: IdPが認証しアサーションをSPが検証する正しいSAML認証の流れ。
イ: Webサーバのエージェントが認証しcookieを使う方式はSAMLではなく、一般的なWeb認証の説明。
ウ: Kerberosプロトコルを使う認証はSAMLとは別の認証方式であり、チケットを用いる。
エ: リバースプロキシで認証する方式はSAML認証の流れとは異なり、プロキシ認証の一種。

補足コラム

SAML（Security Assertion Markup Language）は、異なるドメイン間で認証情報を安全にやり取りするためのXMLベースの標準規格です。主に企業間のシングルサインオン（SSO）で利用され、IdPが認証を一元管理し、SPは認証結果を信頼してサービスを提供します。OAuthやOpenID Connectと並ぶ代表的な認証連携技術です。

FAQ

Q: SAMLのアサーションとは何ですか？
A: アサーションはIdPが発行する認証情報のことで、利用者の認証結果や属性情報を含みます。SPはこれを検証してアクセスを許可します。

Q: SAML認証とKerberos認証の違いは？
A: SAMLはWebベースの認証情報交換プロトコルで、IdPとSP間でXML形式のアサーションをやり取りします。Kerberosはチケットを使ったネットワーク認証プロトコルで、主に内部ネットワークで利用されます。

関連キーワード: SAML認証、シングルサインオン、IdP, SP, アサーション、Kerberos, cookie認証、リバースプロキシ認証、XML, 認証プロトコル

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！