シングルサインオンの実装方式の一つであるSAML認証の特徴として、適切なものはどれか。
- IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントはSPにアクセスできるようになる。
- Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に発行されるcookieを使用してSPにアクセスできるようになる。
- 認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスできるようになる。
- リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスできるようになる。
解答
ア
解説
SAML(Security Assertion Markup Language)認証は、Webベースのシングルサインオン(SSO)を実現するためのオープン標準規格です。
異なるセキュリティドメインに存在する複数のWebサービス間で、ユーザーの認証情報(誰であるか)と認可情報(何ができるか)を安全に交換することを目的としています。
- IdP(Identity Provider)が利用者認証を行い,認証成功後に発行されるアサーションをSP(Service Provider)が検証し、問題がなければクライアントはSPにアクセスできるようになる。
正しいです。
SAML認証の特徴です。 - Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い,クライアントは認証成功後に発行されるcookieを使用してSPにアクセスできるようになる。
Webシングルサインオンの一般的な方式です。
特にエージェント方式(またはリバースプロキシ方式の一部)に該当します。SAMLとは異なる独立した認証プロトコルや仕組みを使用します。クライアント側には通常、セッション管理のためにCookieが発行されます。 - 認証サーバはKerberosプロトコルを使って利用者認証を行い,クライアントは認証成功後に発行されるチケットを使用してSPにアクセスできるようになる。
Kerberos認証の特徴です。
Kerberosは主に企業内ネットワークでの認証に使われるプロトコルで、チケット(Ticket Granting Ticket: TGT、Service Ticket: ST)を発行することでシングルサインオンを実現します。WebベースのSAMLとは異なる文脈で使われます。 - リバースプロキシで利用者認証が行われ,クライアントは認証成功後にリバースプロキシ経由でSPにアクセスできるようになる。
リバースプロキシ方式のシングルサインオンの特徴です。
リバースプロキシがユーザーからのアクセスをすべて受け付け、そこで認証処理を行います。認証が成功すると、リバースプロキシがユーザーに代わってSPへのアクセスを仲介します。これはSAMLとは異なる実装アプローチです。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | 情報セキュリティ |
出題歴
- SC 令和7年度春期 問2
- SC 令和5年度春期 問3
- SC 令和3年度秋期 問4
