シングルサインオン|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問7
出典:令和4年秋期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ
シングルサインオン(SSO)に関する記述のうち,適切なものはどれか。
- ア:SAML方式では,インターネット上の複数のWebサイトにおけるSSOを,IdP(Identity Provider)で自動生成されたURL形式の1人一つの利用者IDで実現する。
- イ:エージェント方式では,クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し,ログイン画面が表示されたら認証情報を代行入力する。
- ウ:代理認証方式では,SSOの対象サーバにSSOのモジュールを組み込む必要があり,システムの改修が必要となる。
- エ:リバースプロキシ方式では,SSOを利用する全てのトラフィックがリバースプロキシサーバに集中し,リバースプロキシサーバが単一障害点になり得る。
TSUNAGARU-ADVICE
まず押さえたいこと
リバースプロキシ方式のSSOでは、利用者から各システムへのアクセスをリバースプロキシサーバが中継します。そのため、SSO対象の通信がリバースプロキシサーバに集中する点が特徴です。
迷ったときの判断軸
SAML方式はIdPとSPの間で認証情報を連携する方式であり、自動生成URL形式の利用者IDで実現するものではありません。代理認証方式はログイン情報を代行入力する方式で、対象サーバ側の改修が不要な場合があります。リバースプロキシ方式は、中継点に通信が集まり、単一障害点になり得ると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、SSOの方式ごとに、認証情報を誰が扱うのか、対象システムの改修が必要か、障害時の影響範囲はどこかを問われることがあります。リバースプロキシ方式は、導入しやすい一方で、通信集中と単一障害点のリスクを意識して読み取りましょう。
シングルサインオン(SSO)は、一度ログインすれば、許可された複数のサービスを再ログインなしで利用できる仕組みです。
SSOにはいくつかの方式があり、どこで認証を確認するか、どのように各サービスへログインさせるかが異なります。
エージェント方式は、サービス側のサーバに認証確認用の仕組みを入れる方式です。各サーバのエージェントが、利用者がすでに認証済みかを確認します。
代理認証方式は、利用者の代わりにIDやパスワードを入力する方式です。ログイン画面が表示されると、クライアントPC上のエージェントが認証情報を自動入力します。
リバースプロキシ方式は、利用者と各サービスの間に認証用の中継サーバを置く方式です。すべてのアクセスがリバースプロキシを経由するため、認証を集中管理できます。
認証連携方式は、認証を行うサービスと、利用者が使いたいサービスの間で認証情報をやり取りする方式です。SAMLやOpenID Connectを使うことで、異なるドメインや組織をまたいだSSOを実現できます。
つまりSSOは、「一度の認証結果を、複数のサービスで使い回せるようにする仕組み」です。方式ごとに、認証情報を確認する場所や連携方法が異なります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:SAML方式では,インターネット上の複数のWebサイトにおけるSSOを,IdP(Identity Provider)で自動生成されたURL形式の1人一つの利用者IDで実現する。
⇒SAML方式は、IdPが利用者を認証し、認証結果を示すSAMLアサーションをSPに渡すことでSSOを実現する方式です。URL形式の利用者IDを使う説明は、OpenIDの説明に近く、SAML方式の説明ではありません。
イ:エージェント方式では,クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し,ログイン画面が表示されたら認証情報を代行入力する。
⇒認証情報を代行入力する方式は、代理認証方式の説明です。エージェント方式では、SSO対象のWebサーバなどにエージェントモジュールを導入し、認証サーバと連携してアクセス制御を行います。
ウ:代理認証方式では,SSOの対象サーバにSSOのモジュールを組み込む必要があり,システムの改修が必要となる。
⇒対象サーバにSSO用モジュールを組み込む説明は、エージェント方式の説明です。代理認証方式は、ログイン画面に対してIDやパスワードなどを代行入力する方式であり、対象システム側の改修を抑えやすい点が特徴です。