情報処理安全確保支援士 2024年 秋期 午前2 問16
問題文
利用者Aが所有するリソースBがWebサービスC上にある。OAuth 2.0において、利用者Aの認可の下、WebサービスDからリソースBへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここでWebサービスCは認可サーバを兼ねているものとする。
選択肢
ア:WebサービスCが、アクセストークンを発行する。(正解)
イ:WebサービスCが、利用者Aのデジタル証明書をWebサービスDに送信する。
ウ:WebサービスDが、アクセストークンを発行する。
エ:WebサービスDが、利用者Aのデジタル証明書をWebサービスCに送信する。
OAuth 2.0におけるアクセストークン発行の役割【午前2 解説】
要点まとめ
- 結論:OAuth 2.0では認可サーバがアクセストークンを発行し、限定的なリソースアクセスを許可します。
- 根拠:認可サーバは利用者の認可を受けてアクセストークンを発行し、クライアント(WebサービスD)に渡します。
- 差がつくポイント:アクセストークン発行の主体が認可サーバ(WebサービスC)であり、クライアントやリソースサーバではない点を理解すること。
正解の理由
OAuth 2.0の基本的な役割分担では、認可サーバが利用者の認可を得てアクセストークンを発行します。このアクセストークンを使い、クライアント(WebサービスD)がリソースサーバ(WebサービスC)に限定的アクセスを行います。問題文でWebサービスCが認可サーバを兼ねているため、アクセストークン発行はWebサービスCが行うのが正しい動作です。
よくある誤解
アクセストークンを発行するのはクライアント側やリソースサーバ側と誤解しがちですが、実際は認可サーバが発行します。デジタル証明書の送信はOAuth 2.0の標準的な動作ではありません。
解法ステップ
- OAuth 2.0の役割分担を確認する(認可サーバ、リソースサーバ、クライアント、利用者)。
- 問題文で認可サーバがどのサービスかを特定する(WebサービスC)。
- アクセストークン発行の主体は認可サーバであることを思い出す。
- 選択肢の中で認可サーバがアクセストークンを発行するものを選ぶ。
- デジタル証明書の送信はOAuth 2.0の標準フローに含まれないため除外する。
選択肢別の誤答解説
- ア: WebサービスCがアクセストークンを発行するため正解。
- イ: 利用者のデジタル証明書をWebサービスDに送信するのはOAuth 2.0の標準動作ではない。
- ウ: クライアント(WebサービスD)がアクセストークンを発行することはない。
- エ: クライアントが認可サーバに利用者のデジタル証明書を送る動作もOAuth 2.0の基本フローには含まれない。
補足コラム
OAuth 2.0は「認可フレームワーク」であり、アクセストークンを用いて第三者クライアントに限定的なリソースアクセスを許可します。アクセストークンは認可サーバが発行し、リソースサーバはそのトークンを検証してアクセスを制御します。デジタル証明書はOAuth 2.0の認可フローには直接関係しませんが、TLS通信などのセキュリティ層で利用されることがあります。
FAQ
Q: OAuth 2.0でアクセストークンは誰が発行しますか?
A: 認可サーバが利用者の認可を受けてアクセストークンを発行します。
A: 認可サーバが利用者の認可を受けてアクセストークンを発行します。
Q: クライアントはアクセストークンを発行できますか?
A: いいえ。クライアントは認可サーバからアクセストークンを受け取り、それを使ってリソースにアクセスします。
A: いいえ。クライアントは認可サーバからアクセストークンを受け取り、それを使ってリソースにアクセスします。
Q: OAuth 2.0でデジタル証明書はどのように使われますか?
A: OAuth 2.0の認可フロー自体には含まれませんが、通信の安全性確保のためTLSで利用されることがあります。
A: OAuth 2.0の認可フロー自体には含まれませんが、通信の安全性確保のためTLSで利用されることがあります。
関連キーワード: OAuth 2.0, 認可サーバ、アクセストークン、リソースサーバ、クライアント認証、Webサービス、セキュリティプロトコル
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!