情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問2: SAML（Security Assertion Markup Language）の説明として，最も適切なものはどれか。

問題本文

SAML（Security Assertion Markup Language）の説明として，最も適切なものはどれか。

選択肢

• ア.Web サービスに関する情報を公開し，Web サービスが提供する機能などを検索可能にするための仕様
• イ.権限がない利用者による読取り，改ざんから電子メールを保護して送信するための仕様
• ウ.ディジタル署名に使われる鍵情報を効率よく管理するための Web サービスの仕様
• エ.認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するための Web サービスの仕様

正解

エ. 認証情報に加え，属性情報とアクセス制御情報を異なるドメインに伝達するための Web サービスの仕様

解説

SAMLはXMLベースで認証・認可情報を異なるドメイン間で安全に伝達する標準で、SSO(シングルサインオン)の基盤となる。IdP(認証側)が発行するアサーションに、認証結果・属性情報・アクセス制御情報を含めてSP(サービス側)へ渡す。エがこの役割を正しく述べている。実務ではクラウド連携の認証統合で広く使われる。

選択肢ごとの解説

• ア.Webサービスの情報を公開し検索可能にするのはUDDIの説明で、SAMLとは異なる。
• イ.電子メールの保護はS/MIMEなどの役割で、認証情報の伝達を担うSAMLとは異なる。
• ウ.署名に使う鍵情報を効率よく管理するのはXKMSなどの領域で、認証情報を伝達するSAMLの目的ではない。
• エ.認証情報に加え属性・アクセス制御情報を異なるドメインへ伝達するというSAMLの本質を正しく述べており正解。