HOME»情報処理安全確保支援士掲示板»令和2年秋 午後Ⅱ 問1設問5(3)(く)
投稿する
今回はSAML連携しているので、SPとIdP間でやり取りされるのは、認証情報です。
通常のHTMLをやり取りするわけではありません。
SAMLはHTTPをベースにしていますが、HTTPでなにがやり取りされるかイメージして
みましょう。
苦言を呈すことになり恐縮ですが、akiさんは以前から自分の経験・知識からの
主観的な感想が多いです。IPAの試験はIPAの解答が絶対です。
IPAの解答にいかに近づくかという思考に切り替えてください。
実務経験がないのであれば、学習で補完するようにしてください。
Webアプリケーション、認証・認可であれば
『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(徳丸本)
『認証と認可 Keycloak入門 OAuth/OpenID Connectに準拠したAPI認可と
シングルサインオンの実現』(認証と認可本)
を読んでみてください。
[1188] 令和2年秋 午後Ⅱ 問1設問5(3)(く)
akiさん(No.1)
こちらの正答はSPでした。図8はサイトQにログインした後の紐づけ遷移なので、SPと考えるのが自然な気がしますが、IdPとする考えは否定し得るのでしょうか。
IdPは正答にはなり得ない根拠があれば解説いただけますと助かります。
IdPは正答にはなり得ない根拠があれば解説いただけますと助かります。
2023.08.16 10:35
pixさん(No.2)
★SC ダイヤモンドマイスター
画面(く)にはリンク:「サイトQのトップメニューへ」が表示されています。
これはSP(サイトQ)がメインのサイトであることを示しています。
IdP(サイトS)の機能はSP(サイトQ)へ認証情報を提供するのみです。
IdP(サイトS)がサイトQのリンクを表示するというのは不適切です。
もう少しかみ砕いて説明すると、IdPは不特定多数のSPから接続され、
認証情報を提供します。
そのため、特定のサイトのリンクを表示するのは動作として不自然です。
これはSP(サイトQ)がメインのサイトであることを示しています。
IdP(サイトS)の機能はSP(サイトQ)へ認証情報を提供するのみです。
IdP(サイトS)がサイトQのリンクを表示するというのは不適切です。
もう少しかみ砕いて説明すると、IdPは不特定多数のSPから接続され、
認証情報を提供します。
そのため、特定のサイトのリンクを表示するのは動作として不自然です。
2023.08.16 10:59
akiさん(No.3)
Pixさま
ありがとうございます。
私も「サイトQのトップメニューへ」については着目しました。
IdPがSaaSであれば、特定のSPのトップメニューへのリンクを表示させることは考えにくいのですが、本設問では自社構築であると受け止めました。その場合、紐づけ完了を知らせる(く)のようなページをサイトSに実装することも、サイトQに実装することも比較的自由に設計できると感じました。特段「不適切」でもないと考えますが、いかがでしょうか。(非効率とか、不自然とかではなく、不適切なのでしょうか?)
について、図8はQのアカウントをSのアカウントに紐づける際の画面遷移の図であるとの説明があります。サイトQからの遷移であるので「サイトQのトップメニューへ」と表示させているにすぎず、遷移元が違えば、それに応じた「各サイトのトップメニューへのリンク表示」とすることは可能ではないかと考えました。こちらも特段「不自然」ではないと思ったのですがいかがでしょうか。IdPがSaaSであれば不特定多数だとおもうのですが、今回のケースでは認証情報を提供する相手はサイトP,Q,Rの3システムのみだと思っております。
WEBサイト構築の実務経験がないので、的はずれなことを書いているかもしれません。
ありがとうございます。
私も「サイトQのトップメニューへ」については着目しました。
IdPがSaaSであれば、特定のSPのトップメニューへのリンクを表示させることは考えにくいのですが、本設問では自社構築であると受け止めました。その場合、紐づけ完了を知らせる(く)のようなページをサイトSに実装することも、サイトQに実装することも比較的自由に設計できると感じました。特段「不適切」でもないと考えますが、いかがでしょうか。(非効率とか、不自然とかではなく、不適切なのでしょうか?)
>もう少しかみ砕いて説明すると、IdPは不特定多数のSPから接続され、
>認証情報を提供します。
>そのため、特定のサイトのリンクを表示するのは動作として不自然です。
について、図8はQのアカウントをSのアカウントに紐づける際の画面遷移の図であるとの説明があります。サイトQからの遷移であるので「サイトQのトップメニューへ」と表示させているにすぎず、遷移元が違えば、それに応じた「各サイトのトップメニューへのリンク表示」とすることは可能ではないかと考えました。こちらも特段「不自然」ではないと思ったのですがいかがでしょうか。IdPがSaaSであれば不特定多数だとおもうのですが、今回のケースでは認証情報を提供する相手はサイトP,Q,Rの3システムのみだと思っております。
WEBサイト構築の実務経験がないので、的はずれなことを書いているかもしれません。
2023.08.16 13:40
pixさん(No.4)
★SC ダイヤモンドマイスター
>その場合、紐づけ完了を知らせる(く)のようなページをサイトSに実装することも、
>サイトQに実装することも比較的自由に設計できると感じました。特段「不適切」でも
>ないと考えますが、いかがでしょうか。(非効率とか、不自然とかではなく、不適切
>なのでしょうか?)
今回はSAML連携しているので、SPとIdP間でやり取りされるのは、認証情報です。
通常のHTMLをやり取りするわけではありません。
SAMLはHTTPをベースにしていますが、HTTPでなにがやり取りされるかイメージして
みましょう。
>WEBサイト構築の実務経験がないので、的はずれなことを書いているかもしれません。
苦言を呈すことになり恐縮ですが、akiさんは以前から自分の経験・知識からの
主観的な感想が多いです。IPAの試験はIPAの解答が絶対です。
IPAの解答にいかに近づくかという思考に切り替えてください。
実務経験がないのであれば、学習で補完するようにしてください。
Webアプリケーション、認証・認可であれば
『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(徳丸本)
『認証と認可 Keycloak入門 OAuth/OpenID Connectに準拠したAPI認可と
シングルサインオンの実現』(認証と認可本)
を読んでみてください。
2023.08.16 13:57
akiさん(No.5)
Pixさま
ありがとうございます。いつもどんな疑問にも丁寧に回答いただき、私的には理解を深める上で大変有意義でした、感謝しかありません。
今後はご指摘のとおり少し視点をかえてみたいと思います。
ありがとうございます。いつもどんな疑問にも丁寧に回答いただき、私的には理解を深める上で大変有意義でした、感謝しかありません。
今後はご指摘のとおり少し視点をかえてみたいと思います。
2023.08.16 14:21