情報処理安全確保支援士試験 令和7年春期午前Ⅱ SAML認証
出典:令和7年春期 午前Ⅱ 問2
分野:セキュリティ / 情報セキュリティ
シングルサインオンの実装方式の一つであるSAML認証の特徴として,適切なものはどれか。
- ア:IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントがSPにアクセスできるようになる。
- イ:Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に発行されるcookieを使用してSPにアクセスできるようになる。
- ウ:認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスできるようになる。
- エ:リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスできるようになる。
TSUNAGARU-ADVICE
まず押さえたいこと
SAML認証の本質は、IdPが利用者を認証し、その結果をアサーションとしてSPに伝えることです。SP自身が認証するのではなく、認証結果を信頼して受け入れる仕組みだと捉えることが重要です。
迷ったときの判断軸
SAMLで特徴的なのは、認証後にcookieやチケットをそのまま使うことではなく、IdPが発行したアサーションをSPが検証することです。Kerberosやエージェント方式、リバースプロキシ方式との違いは、認証情報の受け渡しにSAMLアサーションを使う点にあります。
科目Bにつなげるために
科目Bでは、シングルサインオン方式を名前で覚えるだけでなく、誰が認証し、何を受け取って、どこで検証するのかを流れで説明できることが重要です。SAMLは、IdPによる認証結果をSPが検証して利用者を受け入れる方式として整理しておきましょう。
SAML認証は、SSOの方式の一つであり、XMLベースのメッセージのやり取りで複数のシステムやサービスの間で認証情報・属性情報・権限の認可情報を交換します。
SPは「サービスを提供する側」、IdPは「本人確認を行う側」と考えると理解しやすいです。たとえば、クラウドサービスへログインするときに、社内アカウントで認証する場合、クラウドサービス側がSP、社内の認証基盤がIdPに当たります。
【SAML認証の具体的な流れ】
SAML認証では、利用者がSPへアクセスしたあと、SPとIdPの間で認証情報がやり取りされます。具体的な流れは以下のとおりです。
利用者が、利用したいサービスにアクセスします。SPは、利用者が認証済みかどうかを確認します。
利用者が未認証の場合、SPはIdPに対して認証要求を送信します。利用者はIdPのログイン画面へリダイレクトされます。
IdPは、利用者ID・パスワード・多要素認証などを用いて、利用者が正しい本人であるかを確認します。
認証に成功すると、IdPは認証結果を含むSAMLアサーションをSPへ送信します。SAMLアサーションには、利用者を識別する情報や認証結果などが含まれます。
SPは、IdPから受け取った認証応答を検証します。問題がなければ、利用者はサービスを利用できます。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に発行されるcookieを使用してSPにアクセスできるようになる。
⇒cookieを用いたエージェント連携方式の説明であり、SAMLのアサーション連携とは異なります。
ウ:認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスできるようになる。
⇒Kerberosのチケットを用いる方式の説明です。
エ:リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスできるようになる。
⇒リバースプロキシで認証する方式の説明であり、SAML認証そのものの特徴ではありません。