SAML認証｜情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問4

• ア：IdP（Identity Provider）がSP（Service Provider）の認証要求によって利用者認証を行い，認証成功後に発行されるアサーションをSPが検証し，問題がなければクライアントがSPにアクセスする。
• イ：Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い，クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
• ウ：認証サーバはKerberosプロトコルを使って利用者認証を行い，クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
• エ：リバースプロキシで利用者認証が行われ，クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。

解説

SAML認証は、IdPが利用者を認証し、その結果を示すアサーションをSPへ渡すことで、シングルサインオンを実現する方式です。

SPが認証要求を出し、IdPで利用者認証が行われます。認証に成功すると、IdPは認証結果や属性情報などを含むSAMLアサーションを発行し、SPはそのアサーションを検証します。問題がなければ、クライアントはSPのサービスにアクセスできます。

したがって、アが適切です。

❌他選択肢が誤りの理由
イ：Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い，クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
⇒エージェント方式のSSOに関する説明です。Webサーバ側にエージェントを導入して認証サーバと連携する方式であり、IdPがSAMLアサーションを発行してSPが検証するSAML認証の説明ではありません。

---

ウ：認証サーバはKerberosプロトコルを使って利用者認証を行い，クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
⇒Kerberos認証の説明です。チケットを使って認証を行う方式であり、XMLベースのSAMLアサーションを使って異なるドメイン間で認証情報を伝達するSAML認証とは異なります。

---

エ：リバースプロキシで利用者認証が行われ，クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。
⇒リバースプロキシ方式のSSOに関する説明です。リバースプロキシが認証を代行し、対象サービスへの通信を中継する方式であり、IdPとSPの間でアサーションをやり取りするSAML認証の特徴ではありません。

---

TSUNAGARU-ADVICE

まず押さえたいこと

SAML認証では、IdPが利用者を認証し、認証結果を示すアサーションを発行します。SPはそのアサーションを検証し、問題がなければ利用者にサービスへのアクセスを許可します。つまり、IdPが認証し、SPがアサーションを検証する流れです。

迷ったときの判断軸

SAML認証を見分けるポイントは、IdP・SP・アサーションという用語です。cookieを使うエージェント方式、チケットを使うKerberos方式、リバースプロキシ経由で認証する方式とは仕組みが異なります。認証結果をアサーションとして渡すSSOならSAML認証と判断できます。

科目Bにつなげるために

科目Bでは、SSOの構成図や通信の流れから、どの装置・サービスが認証し、どこが認証結果を検証するかを読み取ることがあります。SAMLでは、利用者・IdP・SP・アサーションの関係を順番に追えるようにしておきましょう。