HOME»情報処理安全確保支援士掲示板»令和2年度秋午後2問2設問3(2)
投稿する
»[0696] 平成29年春 午後1 問3について 投稿数:3
»[0695] 令和2年午後1問3の設問1(3)について 投稿数:7
[0698] 令和2年度秋午後2問2設問3(2)
モフさん(No.1)
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm2_qs.pdf
答え:ア、ウ、エ
ウ(IDaaS-Y)がなぜ必要なのかわかりません。
17ページ下から5行目に、「VDとIDaaS-Yの認証連携は、RADIUSで行う」と書かれています。つまり、ノートPCからVDを経由してIDaas-Yによる認証を行うことになりますので、認証ではノートPCからIDaaS-Yへのアクセスはしなくてもよいと思います。
MDM-Wの利用にあたってもIDaaS-Yを使用しますが、こちらは認証の詳細な手順が書かれていません。セキュリティの実務がないのでよくわからないのですが、MDM-WにIDとパスワードを送信して、MDM-WがIDaaS-Yにそれらを転送して認証するものだと解釈しています。その場合はノートPCからIDaaS-Yへのアクセスはやはり必要ないと思います。
どういったケースでIDaaS-Yへのアクセスが必要になるのでしょうか?
答え:ア、ウ、エ
ウ(IDaaS-Y)がなぜ必要なのかわかりません。
17ページ下から5行目に、「VDとIDaaS-Yの認証連携は、RADIUSで行う」と書かれています。つまり、ノートPCからVDを経由してIDaas-Yによる認証を行うことになりますので、認証ではノートPCからIDaaS-Yへのアクセスはしなくてもよいと思います。
MDM-Wの利用にあたってもIDaaS-Yを使用しますが、こちらは認証の詳細な手順が書かれていません。セキュリティの実務がないのでよくわからないのですが、MDM-WにIDとパスワードを送信して、MDM-WがIDaaS-Yにそれらを転送して認証するものだと解釈しています。その場合はノートPCからIDaaS-Yへのアクセスはやはり必要ないと思います。
どういったケースでIDaaS-Yへのアクセスが必要になるのでしょうか?
2021.08.16 00:34
モフさん(No.2)
この投稿は投稿者により削除されました。(2021.08.17 05:19)
2021.08.17 05:19
モフさん(No.3)
RADIUSあたりで何か勘違いしてる気がするんですけど、そもそもこの場合のRADIUSクライアントとかサプリカントとかってどこになるのでしょうか?
2021.08.17 05:19
わいわいさん(No.4)
この投稿は投稿者により削除されました。(2021.08.20 17:32)
2021.08.20 17:32
hisashiさん(No.5)
認証連携はIDaaSの話だと思います。
おそらく、VDやMDM-Wに接続しようとするとIDaaS-Yに
リダイレクトされるのではないかと思います。
IDaaSで検索すると似たような構図が現れます。
おそらく、VDやMDM-Wに接続しようとするとIDaaS-Yに
リダイレクトされるのではないかと思います。
IDaaSで検索すると似たような構図が現れます。
2021.08.20 18:47
わいわいさん(No.6)
DaaS-Vに接続するとき(VDではないです)、IDaaS-Yによって2要素認証が
行われるときと思われます
ここで2要素認証画面のリダイレクトが発生するため、必要と思われます
DaaS-VはVDを起動・停止・接続する機能を備えたコンソール的な
アプリケーションと考えられます
問題文には明示的にはっきりと書かれていませんが、一般的な製品の挙動に
照らし合わせた推測です
行われるときと思われます
ここで2要素認証画面のリダイレクトが発生するため、必要と思われます
DaaS-VはVDを起動・停止・接続する機能を備えたコンソール的な
アプリケーションと考えられます
問題文には明示的にはっきりと書かれていませんが、一般的な製品の挙動に
照らし合わせた推測です
2021.08.20 22:07
モフさん(No.7)
この投稿は投稿者により削除されました。(2021.08.21 03:29)
2021.08.21 03:29
モフさん(No.8)
回答を見て、
①PCがDaaS-Vに接続する。
②PCがIDaaS-Yにリダイレクトされる。
③PCがIDaaS-Yに対して、認証を成功させる。
④IDaaS-YはPCにアサーションを発行して、DaaS-Vへリダイレクトさせる。
⑤PCがDaaS-Vへアサーションを提出して、サービスが使えるようになる。
といった仕様だと解釈しました。SAMLと同じか、似たような方法で認証を行っているんですよね?
でもこの場合、VDとIDaaS-Yの認証連携で使用しているRADIUSがどこで使われているのかがわかりません。RADIUSはどのタイミングで、どう使われているのでしょうか?
①PCがDaaS-Vに接続する。
②PCがIDaaS-Yにリダイレクトされる。
③PCがIDaaS-Yに対して、認証を成功させる。
④IDaaS-YはPCにアサーションを発行して、DaaS-Vへリダイレクトさせる。
⑤PCがDaaS-Vへアサーションを提出して、サービスが使えるようになる。
といった仕様だと解釈しました。SAMLと同じか、似たような方法で認証を行っているんですよね?
でもこの場合、VDとIDaaS-Yの認証連携で使用しているRADIUSがどこで使われているのかがわかりません。RADIUSはどのタイミングで、どう使われているのでしょうか?
2021.08.21 03:30
わいわいさん(No.9)
私が使ったことのあるVDI製品と類似とすると
DaaS-VにログインするとDaaSーVの管理画面が表示されて、その中に自分が
接続可能なVDの一覧が表示されます
接続可能なVDは一つかもしれませんし、設定によっては複数のVDが表示されます
そこからVDを選択し、VDの電源投入・接続を選択すると、VDの電源ONされ
リモートデスクトップが起動し、VDと接続され、VDのログイン画面がでます
この後、VDにログインする際は
・VD - RADIUSクライアント
・IDaaS-Y RADUISサーバ
になると思われます
この時の認証は社内と同じで、2段階認証ではなくシンプルな
利用者ID・パスワードと思われます
DaaS-VにログインするとDaaSーVの管理画面が表示されて、その中に自分が
接続可能なVDの一覧が表示されます
接続可能なVDは一つかもしれませんし、設定によっては複数のVDが表示されます
そこからVDを選択し、VDの電源投入・接続を選択すると、VDの電源ONされ
リモートデスクトップが起動し、VDと接続され、VDのログイン画面がでます
この後、VDにログインする際は
・VD - RADIUSクライアント
・IDaaS-Y RADUISサーバ
になると思われます
この時の認証は社内と同じで、2段階認証ではなくシンプルな
利用者ID・パスワードと思われます
2021.08.21 05:52
モフさん(No.10)
この投稿は投稿者により削除されました。(2021.08.21 07:47)
2021.08.21 07:47
モフさん(No.11)
回答見ました。
確かに、VDは別として、DaaS-Vへのログインの際の認証連携は明記されていませんでした。
ただ、本当にノートPCからIDaaS-Yへのアクセスが必要なのか、確信が持てていません。DaaS-Vへログインする際、ID、PW、OTPをDaaS-Vへ送信して、DaaS-VがIDaaS-Yへそれら3つを転送して認証を行う仕様も考えられると思います。また、MDM-Wも同様にして、IDとPWをIDaaS-Yへ転送して認証を行う仕様が考えられると思います。
これらの可能性はなぜ排除できるのでしょうか?
確かに、VDは別として、DaaS-Vへのログインの際の認証連携は明記されていませんでした。
ただ、本当にノートPCからIDaaS-Yへのアクセスが必要なのか、確信が持てていません。DaaS-Vへログインする際、ID、PW、OTPをDaaS-Vへ送信して、DaaS-VがIDaaS-Yへそれら3つを転送して認証を行う仕様も考えられると思います。また、MDM-Wも同様にして、IDとPWをIDaaS-Yへ転送して認証を行う仕様が考えられると思います。
これらの可能性はなぜ排除できるのでしょうか?
2021.08.21 07:47
わいわいさん(No.12)
私もMDM-Wについては問題文の中から可能性は排除できないと
思われます
DaaS-VへのログインについてはP18[要件3への対応]で2要素認証と
DaaS-Vによるクライアント認証と記述があるので、
・2要素認証 IDaaS-Yの認証画面がPCへリダイレクト
※このときの動作は暗黙的にOpenID Connectになると思われます
(ここはSAMLの可能性もありますが・・・)
・DaaS-Vによるクライアント認証
と捉えています
これは主観になりますが、DaaS-V側で作り込みでAPI経由で
IDaaS-Yを呼び出すというよりもDaaS-VとIDaaS-Yが
OpenID Connectで連携するほうが自然と感じます
これ以上のことは問題文からは読み取れません
出題者も一般的なVDI製品の動作知識を前提としていると思われます
思われます
DaaS-VへのログインについてはP18[要件3への対応]で2要素認証と
DaaS-Vによるクライアント認証と記述があるので、
・2要素認証 IDaaS-Yの認証画面がPCへリダイレクト
※このときの動作は暗黙的にOpenID Connectになると思われます
(ここはSAMLの可能性もありますが・・・)
・DaaS-Vによるクライアント認証
と捉えています
これは主観になりますが、DaaS-V側で作り込みでAPI経由で
IDaaS-Yを呼び出すというよりもDaaS-VとIDaaS-Yが
OpenID Connectで連携するほうが自然と感じます
これ以上のことは問題文からは読み取れません
出題者も一般的なVDI製品の動作知識を前提としていると思われます
2021.08.21 09:10
モフさん(No.13)
確かに、回答を参考にして問題文を読むと、書き方からして、DaaS-Vを介して認証するよりも、IDaaS-Yと直接認証のやり取りをした方が自然なような気がします。
ずっと気になってた疑問が解決しました。
回答ありがとうございました!
ずっと気になってた疑問が解決しました。
回答ありがとうございました!
2021.08.21 09:30
その他のスレッド
»[0697] 令和3年度春午後2の問2設問1(3) 投稿数:3»[0696] 平成29年春 午後1 問3について 投稿数:3
»[0695] 令和2年午後1問3の設問1(3)について 投稿数:7