ホーム > 情報処理安全確保支援士試験 > 2025年春期

情報処理安全確保支援士試験 2025年春期午前2 問02

シングルサインオンの実装方式の一つである SAML 認証の特徴として、適切なものはどれか。

ア：IdP (Identity Provider) が利用者認証を行い、認証成功後に発行されるアサーションを SP (Service Provider) が検証し、問題がなければクライアントは SPにアクセスできるようになる。（正解）

イ：Web サーバに導入されたエージェントが認証サーバと連携して利用者認証を行い、クライアントは認証成功後に発行される cookie を使用して SPにアクセスできるようになる。

ウ：認証サーバは Kerberos プロトコルを使って利用者認証を行い、クライアントは認証成功後に発行されるチケットを使用して SP にアクセスできるようになる。

エ：リバースプロキシで利用者認証が行われ、クライアントは認証成功後にリバースプロキシ経由で SP にアクセスできるようになる。

解説

シングルサインオンの実装方式の一つである SAML 認証の特徴【午前2 解説】

要点まとめ

結論：SAML認証ではIdPが認証し、発行するアサーションをSPが検証してアクセスを許可します。
根拠：SAMLはXMLベースの認証情報交換標準で、IdPとSP間で認証情報を安全にやり取りする仕組みです。
差がつくポイント：KerberosやCookie認証、リバースプロキシ方式と混同せず、SAMLのアサーションとIdP・SPの役割を正確に理解することが重要です。

正解の理由

選択肢アは、SAML認証の基本的な流れを正確に説明しています。IdP（Identity Provider）が利用者の認証を行い、認証成功後に発行される「アサーション」という証明書をSP（Service Provider）が受け取り検証します。検証が問題なければ、クライアントはSPのサービスにアクセス可能となります。これはSAMLの標準的な認証フローであり、他の選択肢は異なる認証方式や仕組みを説明しているため誤りです。

よくある誤解

SAML認証はCookieやKerberosのチケットを使う認証方式ではありません。IdPとSP間でXML形式のアサーションをやり取りする点が特徴です。

解法ステップ

SAML認証の基本構成要素（IdP、SP、クライアント）を理解する。
IdPが認証を担当し、認証情報をアサーションとして発行することを確認する。
SPは受け取ったアサーションを検証し、問題なければアクセスを許可する流れを把握する。
他の認証方式（Kerberos、Cookie認証、リバースプロキシ認証）との違いを整理する。
問題文の選択肢と照らし合わせ、SAMLの特徴に合致するものを選ぶ。

選択肢別の誤答解説

ア: 正解。IdPが認証し、アサーションをSPが検証するSAMLの基本的な流れを示す。
イ: 誤り。Webサーバのエージェントが認証し、Cookieを使う方式はSAMLではなく、一般的なWeb認証やセッション管理の説明。
ウ: 誤り。Kerberosプロトコルを使う認証はSAMLとは別の方式で、チケットベースの認証を行う。
エ: 誤り。リバースプロキシで認証を行う方式はSAMLではなく、プロキシ認証やアクセス制御の一種。

補足コラム

SAML（Security Assertion Markup Language）は、異なるドメイン間でのシングルサインオンを実現するためのXMLベースの標準規格です。IdPが認証情報をアサーションとして発行し、SPがそれを受け取って検証することで、ユーザーは複数のサービスをシームレスに利用できます。OAuthやOpenID Connectと並ぶ代表的な認証連携技術として広く使われています。

FAQ

Q: SAMLのアサーションとは何ですか？
A: アサーションはIdPが発行する認証情報の証明書で、ユーザーの認証状態や属性情報を含みます。SPはこれを検証してアクセスを許可します。

Q: SAMLとKerberosの違いは何ですか？
A: SAMLはWebベースの認証連携標準でXMLを使い、IdPとSP間で認証情報を交換します。一方Kerberosはチケットを使ったネットワーク認証プロトコルで、主に内部ネットワークで使われます。

関連キーワード: SAML認証, シングルサインオン, IdP, SP, アサーション, Kerberos, Cookie認証, リバースプロキシ

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2025年 春期 午前2 問02

解説