HOME»情報処理安全確保支援士掲示板»シングサインオン(SSO)についての質問
投稿する
»[0468] 本試験まで。約1ヶ月、コロナに負けないように 投稿数:5
»[0467] 30年秋期試験問題 午後1大問2に関しての質問 投稿数:3
[0470] シングサインオン(SSO)についての質問
桃太郎侍さん(No.1)
自分が使用している参考書にCookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難だと書かれていました。
一方で、SAMLによるSSOは異なるドメインでもSSOを構築できると書かれていました。
そこで二点の疑問があります
一. ”なぜ”Cookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難なのか
二. ”なぜ”SAMLによるSSOは異なるドメインでもSSOを構築できるのか
この二点について解説していただけると助かります。
一方で、SAMLによるSSOは異なるドメインでもSSOを構築できると書かれていました。
そこで二点の疑問があります
一. ”なぜ”Cookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難なのか
二. ”なぜ”SAMLによるSSOは異なるドメインでもSSOを構築できるのか
この二点について解説していただけると助かります。
2020.03.21 10:57
らうさん(No.2)
情報処理安全確保支援士平成30年春期 午前Ⅱ 問5に解説があります。
https://www.sc-siken.com/kakomon/30_haru/am2_5.html
それぞれの特徴を理解するように心がけましょう!
https://www.sc-siken.com/kakomon/30_haru/am2_5.html
それぞれの特徴を理解するように心がけましょう!
2020.03.25 17:16
桃太郎侍さん(No.3)
らうさん、ありがとうございます♪(´ε` )
2020.03.27 11:11
都内SEさん(No.4)
SSOについて、まとめました。
こんな感じですね。
■クッキーを用いたSSOの場合
この場合、認証情報の連携はクッキーが有効な範囲に限られます。
大抵の場合、同一ドメイン内でしか有効ではないので、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
■リバプロ型SSOの場合
この場合、ネットワーク構成の制約上、
同一ドメインでの認証情報連携を前提としているため、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
1つのリバースプロキシの先のバックエンドに、複数のドメインがあるようなケースって、
あまりないはずです。
■SAMLの場合
この場合、IdPとSPがアカウント情報(ID)を事前連携することで、
ドメインを超えて信頼の輪(Circle of trust)を築くことができます。
さらに、SOAPやHTTPのリダイレクト機能でIdPとSP間で
アサーション情報をやり取りする(1度だけ、ユーザによるIdPでの認証操作が必要)
ことで、クライアントはCircle of trust内の全SPへの
cookie(アクセス権)を入手できるわけです。
こんな感じですね。
■クッキーを用いたSSOの場合
この場合、認証情報の連携はクッキーが有効な範囲に限られます。
大抵の場合、同一ドメイン内でしか有効ではないので、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
■リバプロ型SSOの場合
この場合、ネットワーク構成の制約上、
同一ドメインでの認証情報連携を前提としているため、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
1つのリバースプロキシの先のバックエンドに、複数のドメインがあるようなケースって、
あまりないはずです。
■SAMLの場合
この場合、IdPとSPがアカウント情報(ID)を事前連携することで、
ドメインを超えて信頼の輪(Circle of trust)を築くことができます。
さらに、SOAPやHTTPのリダイレクト機能でIdPとSP間で
アサーション情報をやり取りする(1度だけ、ユーザによるIdPでの認証操作が必要)
ことで、クライアントはCircle of trust内の全SPへの
cookie(アクセス権)を入手できるわけです。
2020.05.02 12:31
その他のスレッド
»[0469] 試験要綱の大幅変更 投稿数:2»[0468] 本試験まで。約1ヶ月、コロナに負けないように 投稿数:5
»[0467] 30年秋期試験問題 午後1大問2に関しての質問 投稿数:3