情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問4: シングルサインオンの実装方式の一つである SAML 認証の特徴はどれか。
←情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ
シングルサインオンの実装方式の一つである SAML 認証の特徴はどれか。
問題本文
シングルサインオンの実装方式の一つである SAML 認証の特徴はどれか。
選択肢
- ア.IdP(Identity Provider)が SP(Service Provider)の認証要求によって利用者認証を行い,認証成功後に発行されるアサーションを SP が検証し,問題がなければクライアントが SP にアクセスする。
- イ.Web サーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に利用者に発行される cookie を使用して SP にアクセスする。
- ウ.認証サーバは Kerberos プロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用して SP にアクセスする。
- エ.リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由で SP にアクセスする。
正解
ア. IdP(Identity Provider)が SP(Service Provider)の認証要求によって利用者認証を行い,認証成功後に発行されるアサーションを SP が検証し,問題がなければクライアントが SP にアクセスする。
解説
SAMLによるSSOでは、IdPが利用者認証を担い、認証成功の証明としてアサーション(署名付きの認証情報)を発行する。SPはこれを検証し、問題なければアクセスを許可する。この役割分担を述べたアが正しい。実務ではIdPに認証を集約でき、複数SaaSへ安全に横断ログインできる点が利点となる。
選択肢ごとの解説
- ア.IdPが認証しアサーションをSPが検証する流れはSAMLの基本動作そのもので正解。
- イ.エージェントとcookieによる方式はリバースプロキシ/エージェント型SSOの説明で、SAMLとは異なり誤り。
- ウ.Kerberosのチケットを用いる方式は別の認証基盤で、アサーションを使うSAMLとは異なるため誤り。
- エ.リバースプロキシ経由のアクセスは代理認証型SSOの説明で、SAML認証の特徴ではないため誤り。
情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ の過去問一覧へ戻る・問4