HOME»情報処理安全確保支援士掲示板»シングサインオン(SSO)についての質問

情報処理安全確保支援士掲示板

掲示板検索:

シングサインオン(SSO)についての質問[0470]

桃太郎侍さん(No.1)

自分が使用している参考書にCookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難だと書かれていました。

一方で、SAMLによるSSOは異なるドメインでもSSOを構築できると書かれていました。

そこで二点の疑問があります
一. ”なぜ”Cookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難なのか
二. ”なぜ”SAMLによるSSOは異なるドメインでもSSOを構築できるのか

この二点について解説していただけると助かります。

2020.03.21 10:57
らうさん(No.2)

情報処理安全確保支援士平成30年春期 午前U 問5に解説があります。
https://www.sc-siken.com/kakomon/30_haru/am2_5.html

それぞれの特徴を理解するように心がけましょう!

2020.03.25 17:16
桃太郎侍さん(No.3)

らうさん、ありがとうございます♪(´ε` )


2020.03.27 11:11
都内SEさん(No.4)

SSOについて、まとめました。
こんな感じですね。
■クッキーを用いたSSOの場合
この場合、認証情報の連携はクッキーが有効な範囲に限られます。
大抵の場合、同一ドメイン内でしか有効ではないので、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。

■リバプロ型SSOの場合
この場合、ネットワーク構成の制約上、
同一ドメインでの認証情報連携を前提としているため、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
1つのリバースプロキシの先のバックエンドに、複数のドメインがあるようなケースって、
あまりないはずです。

■SAMLの場合
この場合、IdPとSPがアカウント情報(ID)を事前連携することで、
ドメインを超えて信頼の輪(Circle of trust)を築くことができます。
さらに、SOAPやHTTPのリダイレクト機能でIdPとSP間で
アサーション情報をやり取りする(1度だけ、ユーザによるIdPでの認証操作が必要)
ことで、クライアントはCircle of trust内の全SPへの
cookie(アクセス権)を入手できるわけです。

2020.05.02 12:31

返信投稿用フォーム

スパム防止のために初投稿日から2カ月以上経過したスレッドへの書き込みは禁止しています。

© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop