HOME»情報処理安全確保支援士令和5年秋期»午前Ⅱ 問14
情報処理安全確保支援士令和5年秋期 午前Ⅱ 問14
問14
OAuth2.0に関する記述のうち,適切なものはどれか。
- 認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- 認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
- 認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- 認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
- [出題歴]
- 安全確保支援士 R7春期 問16
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
OAuth2.0は、あるWebサービスが保有しているリソースを、その利用者ユーザー本人の許可のもと、別のWebサービスでも利用できるように認可して連携するための仕組みです。
OAuth2.0では認証は行わず、リソース単位で適切な権限を与えます。ユーザーが許可すると、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションはユーザーに代わりそれを使用してWebサービス(API)にアクセスします。
良く見るものとしては、あるWebサービスに新規登録する際、ID/PWでの登録の他に『FacebookやGoogleアカウントでの新規登録もできます』と表示される画面があります。これにはOAuth2.0の仕組みが使われています。あるWebサービス(=FacebookやGoogle)が保有しているリソースを、その利用者(=あなた)が別のWebサービス(=新規登録するWebサービス)でも利用できるように認可して連携するのです。注意が必要なのは、認証(利用者本人の確認を行うこと)は行わず、認可(利用者に正しい権限を与えること)のみであるという点です。認可も認証も行うものにはOpenID Connectがあります。
認証を行わないので「ウ」「エ」は誤り、行うのは本人確認ではなくリソース使用の認可なので「ア」は誤りです。したがって「イ」の記述適切です。
OAuth2.0では認証は行わず、リソース単位で適切な権限を与えます。ユーザーが許可すると、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションはユーザーに代わりそれを使用してWebサービス(API)にアクセスします。
認証を行わないので「ウ」「エ」は誤り、行うのは本人確認ではなくリソース使用の認可なので「ア」は誤りです。したがって「イ」の記述適切です。