情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問3: シングルサインオンの実装方式の一つである SAML 認証の流れとして，適切なものはどれか。

問題本文

シングルサインオンの実装方式の一つである SAML 認証の流れとして，適切なものはどれか。

選択肢

• ア.IdP（Identity Provider）が利用者認証を行い，認証成功後に発行されるアサーションを SP（Service Provider）が検証し，問題がなければクライアントが SP にアクセスする。
• イ.Web サーバに導入されたエージェントが認証サーバと連携して利用者認証を行い，クライアントは認証成功後に利用者に発行される cookie を使用して SP にアクセスする。
• ウ.認証サーバは Kerberos プロトコルを使って利用者認証を行い，クライアントは認証成功後に発行されるチケットを使用して SP にアクセスする。
• エ.リバースプロキシで利用者認証が行われ，クライアントは認証成功後にリバースプロキシ経由で SP にアクセスする。

正解

ア. IdP（Identity Provider）が利用者認証を行い，認証成功後に発行されるアサーションを SP（Service Provider）が検証し，問題がなければクライアントが SP にアクセスする。

解説

SAMLはドメインをまたぐSSOの標準で、認証を担うIdPと、サービスを提供しSSOを利用するSPが役割分担する。利用者はIdPで認証され、その結果を表すアサーション(署名付きXML)をSPが検証し、正当ならアクセスを許可する。アがこの流れに合致し正解。実務ではクラウドSaaSへのフェデレーション認証で広く使われ、IdP集約で認証強化や監査を一元化できる。

選択肢ごとの解説

• ア.IdPが認証しアサーションをSPが検証して許可する流れはSAMLの標準動作そのもので正しい。
• イ.エージェントとcookieによる方式はリバースプロキシ/エージェント型SSOの説明でSAMLではなく誤り。
• ウ.Kerberosのチケットを使う方式は別のSSO方式で、SAML認証の流れの説明ではなく誤り。
• エ.リバースプロキシで認証して中継する方式は代理型SSOの説明でSAMLの仕組みとは異なり誤り。