情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問14: OAuth 2.0 に関する記述のうち,適切なものはどれか。
←情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
OAuth 2.0 に関する記述のうち,適切なものはどれか。
問題本文
OAuth 2.0 に関する記述のうち,適切なものはどれか。
選択肢
- ア.認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- イ.認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
- ウ.認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- エ.認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
正解
イ. 認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
解説
OAuth 2.0は認可(アクセス権限の委譲)のためのプロトコルで、リソースオーナーの許可を得て、認可サーバがクライアント(サービス)にリソースアクセス権限(アクセストークン)を付与する。よってイが正解。本人確認(認証)が主目的ではなく、認証にはOpenID Connectが用いられる。実務ではユーザーのパスワードを渡さずに第三者サービスへ限定的なアクセスを許可できる。
選択肢ごとの解説
- ア.本人確認を主目的とするのは認証であり、OAuthの主目的である認可(権限付与)と合わない。
- イ.認可プロトコルとして利用者許可の下でクライアントに権限を付与する、OAuthの説明そのもの。
- ウ.OAuthは認証ではなく認可のプロトコルなので誤り。
- エ.権限付与の内容は正しいが、OAuthは認証ではなく認可のプロトコルである点が誤り。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問14