情報処理安全確保支援士試験 令和6年秋期午前Ⅱ SSO
出典:令和6年秋期 午前Ⅱ 問8
分野:セキュリティ / 情報セキュリティ
シングルサインオン(SSO)に関する記述のうち,適切なものはどれか。
- ア:SAML方式では,URL形式の1人一つの利用者IDをIdP(Identity Provider)で自動生成することによって,インターネット上の複数のWebサイトにおけるSSOを実現する。
- イ:エージェント方式では,クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し,ログイン画面が表示されたら認証情報を代行入力する。
- ウ:代理認証方式では,SSOの対象サーバにSSOのモジュールを組み込む必要があり,システムの改修が必要となる。
- エ:リバースプロキシ方式では,SSOを利用する全てのトラフィックがリバースプロキシサーバに集中する。
TSUNAGARU-ADVICE
まず押さえたいこと
SSOの方式は、認証情報をどう連携するかだけでなく、利用者の通信がどこを経由するかで特徴が分かれます。
迷ったときの判断軸
リバースプロキシ方式では、利用者は直接各システムへアクセスするのではなく、リバースプロキシを経由してSSO対象システムへアクセスします。そのため、SSOを利用するトラフィックがリバースプロキシサーバに集中すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、SSO方式を名称で覚えるだけでなく、認証処理をどこで行い、対象システムに改修が必要か、通信がどこに集中するかまで問われます。SAML方式・エージェント方式・代理認証方式・リバースプロキシ方式の違いを、構成図で説明できるようにしておきましょう。
シングルサインオン(Single Sign On:SSO)とは、一度ログインするだけで、許可された複数のサービスを利用できる仕組みです。たとえば、会社のポータルサイトにログインすると、メール、勤怠管理、経費精算システムなどにも再ログインせずにアクセスできるような仕組みです。
SSOを実現する方式には、エージェント方式・代理認証方式・リバースプロキシ方式・認証連携方式などがあります。
リバースプロキシ方式のSSOでは、利用者からSSO対象システムへのアクセスをリバースプロキシサーバが中継します。
リバースプロキシサーバ側で認証を行い、認証済みの利用者だけを対象システムへ転送する仕組みです。
そのため、SSOを利用する通信がリバースプロキシサーバに集中しやすいという特徴があります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:SAML方式では,URL形式の1人一つの利用者IDをIdP(Identity Provider)で自動生成することによって,インターネット上の複数のWebサイトにおけるSSOを実現する。
⇒URL形式の利用者IDを自動生成する、という点で違います。SAML方式は、IdPが認証結果を示すSAMLアサーションをSPに渡すことでSSOを実現します。
イ:エージェント方式では,クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し,ログイン画面が表示されたら認証情報を代行入力する。
⇒クライアントPC側で代行入力する、という点で違います。これは代理認証方式に近い説明です。
ウ:代理認証方式では,SSOの対象サーバにSSOのモジュールを組み込む必要があり,システムの改修が必要となる。
⇒対象サーバにモジュールを組み込む、という点で違います。これはエージェント方式の説明です。