SAML認証|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問3

出典:令和5年春期 午前Ⅱ 問3 分野:セキュリティ / 情報セキュリティ
シングルサインオンの実装方式の一つであるSAML認証の流れとして,適切なものはどれか。
  • ア:IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントがSPにアクセスする。
  • イ:Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
  • ウ:認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
  • エ:リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。
この問題を解く
解説

SAML(Security Assertion Markup Language)は、複数のサービス間で認証情報などをやり取りするための仕組みです。主に、シングルサインオン(SSO)で使われます。

シングルサインオンとは、一度ログインすれば、別のサービスにも再度ログインせずに利用できる仕組みです。

用語 意味
SP 利用者がアクセスしたいサービス
IdP 利用者を認証するサービス
SAMLアサーション 認証結果や利用者情報を伝えるデータ

SAMLを使った基本的な流れは、次のとおりです。

  1. 利用者がSPにアクセスする
  2. SPがIdPに対して、利用者が認証済みか確認する
  3. IdPが認証結果をSAMLアサーションとしてSPに返す
  4. 認証済みであれば、利用者はSPにログインできる
SAML認証

つまりSAMLは、「認証を担当するサービス」と「利用者が使いたいサービス」の間で、ログイン情報を安全に連携するための仕様と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
⇒エージェント方式の説明です。SAML認証では、IdPが発行したアサーションをSPが検証します。
ウ:認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
⇒Kerberos認証の説明です。SAML認証では、チケットではなくSAMLアサーションを用います。
エ:リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。
⇒リバースプロキシ方式の説明です。SAML認証の流れではありません。
TSUNAGARU-ADVICE

まず押さえたいこと

SAML認証では、IdPが利用者を認証し、認証結果を示すアサーションを発行します。その後、SPがそのアサーションを検証し、正当な認証結果であることを確認してアクセスを許可する流れになります。

迷ったときの判断軸

SAMLで重要なのは、IdP・SP・アサーションの3点です。cookieを使うエージェント方式、チケットを使うKerberos方式、リバースプロキシ方式とは異なり、IdPが発行したアサーションをSPが検証する説明がSAML認証です。

科目Bにつなげるために

科目Bでは、シングルサインオンの方式について、誰が認証し、どの情報を誰が検証するのかを読み取る力が問われます。SAMLでは、認証する主体はIdP、サービスを提供する主体はSPと整理しておくと、認証連携の流れを追いやすくなります。

の問題 試験TOPへ の問題