HOME»情報処理安全確保支援士掲示板»平成26年秋午後2 問1 ID管理・認証管理

情報処理安全確保支援士掲示板

掲示板検索:

[0538]平成26年秋午後2 問1 ID管理・認証管理

たかしさん(No.1)
そもそもの前提ががよくわからずに復習が進まないため、申し訳ありませんが初歩の初歩の質問となります。

まず、説明文の記述より以下の通り理解しています。

・N社は全地域から利用できる共通システム(Gシステム)と地域の社内システムと併用させることになっている。
・ID管理および利用者認証の方式と運用を統一することにした。

→現在、この段階から躓いております。
伺いたいことは、今回は
「Gシステムと地域社内システムを包含する統合的なID管理、利用者認証(1度の認証をもってGシステムにも地域社内システムにもSSOできるようにすること)を考えているのか」
「地域社内システムは既存のID管理、利用者認証を踏襲する前提でありGシステムとは無関係という位置付けで、Gシステムに閉じたID管理、認証管理を個別に考えているのか」
についてです。

そもそも上記どちらでもないという場合、どのように理解すべきかを伺てますと大変ありがたいです。
2020.09.26 15:56
グルタミンさん(No.2)
[欧米地域からの要望への対応]に以下のような内容があります
・要望1  「一度PCにログインすれば、欧米社内システム及びGシステムへのSSOができるようにしてほしい」
・要望2  「仮想デスクトップから欧米社内システム及びGシステムにアクセスする際においてもSSOを実現してほしい」
・要望123の後にある文章「Yさんは、GIAM〜」の中にこういう内容があります
@「欧米地域の三つの要望全てを全地域の利用者に対して実現する拡張GIAMシステムを設計した」
A「シンクライアントサーバにアクセスし、Gポータルのポータル画面から、Gシステム、自分が所属する地域のポータルサーバ及び自分が所属する地域の社内システムへアクセスする。」
B「利用者が各地域のPCからGシステムにアクセスる場合の通信シーケンスは、図8中の仮想デスクトップを各地域のPCに置き換えたものになるになると考えた」

欧米地域の要望1と2を含む要望を全地域の利用者が使える形で拡張GIAMシステムを設計したということになります。(GIAMシステムはGシステムのアクセス管理回りのシステムです)
つまり、全地域の社内システムとGシステムをSSOで連携させる仕組みを設計したと推測できます。

逆に要望が出ていたということは、それまではできなかったと推測できます。
ですので、拡張GIAMシステム以前では、SSOによるGシステムと社内システムの連動は考えていなかったが、拡張GIAMシステム以降はSSOによるGシステムと社内システムの連動を組み込んだ

というのが私の理解です。
2020.09.26 18:48
たかしさん(No.3)
グルタミンさん
ありがとうございます。お陰様で一歩前進しました。

◆追加質問◆(どなた様かご対応頂ける方へ)
[欧米地域におけるID管理・認証の方式]の中で、以下の記載があります。

【利用者が、欧米のPCにログオンして、ブラウザを立ち上げると、ブラウザは、ホームページとした設定された欧米地域のポータルサーバにアクセスしようとする。】

しかし、図2 欧米地域における利用者認証の通信シーケンス(概要)を見ると、PCログオン後のブラウザのアクセス先は、欧米認証サーバになっています。(欧米地域のポータルサーバではありません。)

これは、シーケンス上、ブラウザから欧米ポータルへのアクセス&欧米ポータルからブラウザに対する欧米認証サーバへのリダイレクト指示のやり取りが省略されているから、と理解するのが妥当でしょうか。

それとも、欧米地域のポータルサーバにアクセスせずに欧米認証サーバにアクセスする(=シーケンスの通り)が正しいのでしょうか。
後者の場合、どのようにして欧米認証サーバにアクセスできるのでしょうか。
2020.09.26 20:09
グルタミンさん(No.4)
[欧米地域におけるID管理・認証の方式]の中に
「リバースプロキシ型の製品Pを用いた欧米地域の認証サーバ(以下、欧米認証サーバ)を組み合わせて、SPNEGOによるSSOを実現している」
とあります。

SSOにはいくつかの認証方式があります
・リバースプロキシ方式
・エージェント方式
・SAML認証方式
・その他いろいろ
それぞれの仕組みについては別の参考書かサイトで見ていただければと思います

このうち、リバースプロキシ方式を使うと元のサイトへのアクセスが全てリバースプロキシ型の認証サーバ経由になります(一般的なリバースプロキシサーバと同じ)
2020.09.26 20:44
たかしさん(No.5)
承知いたしました。ご回答ありがとうございました。
2020.09.26 21:03
たかしさん(No.6)
全体の理解が進まない1つの原因として以下があるように思うため、質問させて頂けませんか?

問題文中の表1(N社の各地域における利用者認証方式の概要)に、3つの種別(=切り口)があります。

@PCにおける利用者認証
A社内システムにおける利用者認証
BPCと社内システムにおけるシングルサインオン

この3つのうち、AとBの意味およびそれらの違いが理解できずにおり、教えて頂きたい箇所です。

※Aについては社内システムがどのように利用者を認証するか、についてであるところはギリギリ理解できる気がしますが、Bの意味が掴めずにおります。また、Aとの違いがよくわかりません。


また、アジア地域はリバプロ型のSSOが実現されてるような気がしているのですが、Bではシングルサインオンは「実現されていない」とあるので、より一層理解が追いつかなくなっております。

まとまりがなく申し訳ありませんが、どなた様かご教示頂けますと幸いです。
2020.09.26 22:22
グルタミンさん(No.7)
> また、アジア地域はリバプロ型のSSOが実現されてるような気がしているのですが、Bではシングルサインオンは「実現されていない」とあるので、より一層理解が追いつかなくなっております。
SSOはざっくり言えば、異なる認証システムのID、パスワードを一元管理してユーザの入力の手間を軽くする機能です。
では、この設問において、ユーザがIDとパスワードを入力するタイミングはいつでしょうか?
A).PCにログインする時
B).社内システムにログインする時
C).ポータルサイトにログインする時
D).認証サーバにログインする時

今回の設問では、この4つのうち、どれか一つを入力することで、他の3つのいずれか、あるいは全てのIDパスワードの入力を省略させるのが(SSOの)狙いです

その上で、[アジア地域におけるID管理・認証の方式]を見ると、
「SSOの対象は、アジア地域のポータルサーバ(以下略)とアジア地域の社内システム(以下略)である。」とあります。
ここで表1に戻ると、アジア地域の「PCと社内システムにおけるシングルサインオン」は実現されていないとあります。
つまり、B)とC)のSSOは実現できているが、A)とB)のSSOは実現できていないと読み取れます。

> Bの意味が掴めずにおります。また、Aとの違いがよくわかりません。
上記でも触れていますが、まとめますと、PCのログイン時にIDパスワードを入力してログインしてしまえば、後は社内システムを開いた時にIDパスワードを手入力しなくても自動で社内システムへのログインもできるようになるのがBの状態です。
2020.09.27 12:21
グルタミンさん(No.8)
補足
上記のは、Gシステム登場前の各地域の状態の話です。
拡張前GIAMシステムと拡張後GIAMシステムの話を含めると、そこにG認証サーバとGポータルとGシステムが加わってきますが、基本的には増えただけという認識で大丈夫かと思います。

欧米地域の要望1にあるとおり、結局、GシステムもPCログインとSSOで紐づけされており、Gシステムは[GシステムにおけるID管理・認証の設計]の認証サブシステムの項目に書いてある通り、G認証サーバによって、Gポータル、GシステムがSSOで連動されているので、最終的にはPCを起動するだけで全システムにそのまま入れるようになるのが今回の全体像なのかと私は理解しています
2020.09.27 12:44
たかしさん(No.9)
グルタミンさん
ありがとうございました。
何とか理解に至りました。
助かりました。
2020.09.27 16:11

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop