情報処理安全確保支援士試験 2024年 秋期 午前2 問08
シングルサインオン(SSO)に関する記述のうち、適切なものはどれか。
ア:SAML方式ではURL形式の1人一つの利用者IDをIdPで自動生成することによってインターネット上の複数のWebサイトにおけるSSOを実現する。
イ:エージェント方式ではクライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視しログイン画面が表示されたら認証情報を代行入力する。
ウ:代理認証方式ではSSOの対象サーバにSSOのモジュールを組み込む必要がありシステムの改修が必要となる。
エ:リバースプロキシ方式ではSSOを利用する全てのトラフィックがリバースプロキシサーバに集中する。(正解)
解説
シングルサインオン(SSO)に関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:リバースプロキシ方式ではSSO利用時の全トラフィックがリバースプロキシサーバに集中するため、管理と制御が一元化される。
- 根拠:リバースプロキシはクライアントとサーバ間の中継役であり、認証やアクセス制御を一括で処理する仕組みだから。
- 差がつくポイント:各SSO方式の特徴とシステム改修の有無、認証情報の管理方法を正確に理解することが重要。
正解の理由
リバースプロキシ方式は、クライアントからの全アクセスを一旦リバースプロキシサーバが受け取り、認証や認可を行います。これにより、SSOの対象となる複数のシステムへのアクセスが一元管理され、トラフィックがリバースプロキシに集中するのが特徴です。したがって「エ」の記述が正しいと言えます。
よくある誤解
SAML方式でIDを自動生成するのは誤りで、IDはIdPが管理しユーザごとに一意に割り当てられます。エージェント方式はログイン画面の監視ではなく、認証情報の代理入力を行う仕組みです。
解法ステップ
- 各方式(SAML、エージェント、代理認証、リバースプロキシ)の基本的な仕組みを確認する。
- SAML方式は認証情報の交換プロトコルであり、IDの自動生成は行わないことを理解する。
- エージェント方式はクライアント側のソフトウェアが認証情報を代行入力するが、ログイン画面の監視は誤り。
- 代理認証方式は対象サーバの改修が必要な場合が多いが、問題文の記述が正確か検証する。
- リバースプロキシ方式は全トラフィックがプロキシに集中する特徴があり、これが正しい記述であると判断する。
選択肢別の誤答解説ステップ
- ア: SAML方式は認証情報を交換する標準プロトコルであり、IDをIdPが自動生成するわけではありません。IDはユーザごとに管理されます。
- イ: エージェント方式は認証情報の代行入力を行いますが、ログイン画面の監視は正確ではありません。クライアントPCにエージェントを導入し、認証情報を自動入力します。
- ウ: 代理認証方式は対象サーバにモジュールを組み込む必要がある場合もありますが、必ずしもシステム改修が必要とは限りません。記述がやや誤解を招きます。
- エ: リバースプロキシ方式はSSO利用時の全トラフィックがリバースプロキシサーバに集中し、一元管理が可能なため正しい記述です。
補足コラム
シングルサインオン(SSO)は複数のシステムに対して一度の認証でアクセスを可能にする仕組みです。代表的な方式にはSAML、OAuth、OpenID Connectなどがあります。リバースプロキシ方式は、認証処理をプロキシサーバに集約するため、運用管理が容易になる反面、プロキシサーバの負荷や障害が全体に影響するリスクもあります。
FAQ
Q: SAML方式でIDは自動生成されますか?
A: いいえ。SAMLではIdPがユーザIDを管理し、認証情報をサービスプロバイダに提供しますが、IDの自動生成は行いません。
A: いいえ。SAMLではIdPがユーザIDを管理し、認証情報をサービスプロバイダに提供しますが、IDの自動生成は行いません。
Q: エージェント方式のエージェントは何をしますか?
A: クライアントPCに導入され、ユーザの認証情報を対象システムに代わって自動入力し、ログインを支援します。
A: クライアントPCに導入され、ユーザの認証情報を対象システムに代わって自動入力し、ログインを支援します。
Q: リバースプロキシ方式のデメリットは?
A: 全トラフィックがプロキシに集中するため、負荷集中や単一障害点になるリスクがあります。
A: 全トラフィックがプロキシに集中するため、負荷集中や単一障害点になるリスクがあります。
関連キーワード: シングルサインオン, SSO, リバースプロキシ方式, SAML, エージェント方式, 代理認証方式, 認証管理, Web認証