システムアーキテクト 2025年 午前2 問03

一度のログインで複数のWebサイトを利用できる仕組みを提供するOSSはどれか【午前2 解説】

要点まとめ

• 結論：A社の要件である「いずれかのWebサイトで一度ログインすれば全サイト利用可」を実現するOSSは、IDプロバイダ機能を持つKeycloakです。
• 根拠：KeycloakはOpenID Connect、OAuth2、SAMLなどの標準認証プロトコルを実装し、IdPとしてセッション管理やトークン発行でシングルサインオンを提供します。
• 差がつくポイント：BINDはDNS、OpenSSLは暗号処理、Logstashはログ収集処理であり、認証・SSOの機能を持たない点で明確に区別できます。

正解の理由

よくある誤解（2〜3 行）

• 「OpenSSLがあれば認証はできる」は誤りで、OpenSSLは暗号化ライブラリであり認証フレームワークではありません。
• 「DNS（BIND）やログ処理（Logstash）でSSOが実現できる」は誤解で、これらは認証機能を持ちません。

解法ステップ

1. 要件を短く整理：一度のログインで全サイト利用＝シングルサインオン（SSO）を求めている。
2. SSOを提供するソフトウェアの特徴を挙げる：IdP機能、トークン発行、標準プロトコル対応。
3. 選択肢を機能で比較：BIND（DNS）、OpenSSL（暗号化）、Logstash（ログ処理）、Keycloak（IdP/SSO）。
4. 標準プロトコルの有無で絞る：OpenID Connect/SAML/OAuth2を実装しているのはKeycloak。
5. 結論：要件を満たすのはKeycloakであり、よって イ を選ぶ。

選択肢別の誤答解説

• ア: BIND
  DNSサーバソフトウェアであり、名前解決の提供が主目的です。認証やSSOの機能はありません。
• イ: Keycloak
  正解。IdPとしてSSOを実現するための機能（OpenID Connect、SAML、OAuth2、ユーザフェデレーション、管理コンソールなど）を備えます。
• ウ: Logstash
  ログ収集・変換・転送パイプラインのOSSで、認証やトークン発行などの機能は提供しません。
• エ: OpenSSL
  暗号化処理・証明書管理のライブラリ／ツール群であり、認証サービスやSSOプロバイダではありません。

補足コラム（関連知識など）

• Keycloakの基本概念：Realm（認証領域）、Client（アプリケーション）、Identity Provider（外部IdP連携）、User Federation（LDAP/AD接続）。
• SSOでよく使われるプロトコル：SAML（主に企業間・教育機関）、OAuth2（認可）、OpenID Connect（OAuth2上の認証）。
• 実環境での注意点：クロスドメインのクッキー制約やリバースプロキシ構成、トークンの有効期限と更新（リフレッシュトークン）管理を設計する必要があります。
• 代替OSS例：CASやShibbolethなどもSSOを提供しますが、Keycloakは多機能かつUIでの管理がしやすい点が特徴です。

FAQ