HOME»情報処理安全確保支援士令和5年秋期»午前Ⅱ 問14
情報処理安全確保支援士令和5年秋期 午前Ⅱ 問14
問14
OAuth2.0に関する記述のうち,適切なものはどれか。
- 認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- 認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
- 認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
- 認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
OAuth2.0は、あるWebサービスが保有しているリソースを、その利用者ユーザー本人の許可のもと、別のWebサービスでも利用できるように認可して連携するためのものです。認証は行わず、リソース単位で適切な権限を与えます。ユーザーが許可すると、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションはユーザーに代わりそれを使用してWebサービス(API)にアクセスします。
イメージしやすいものでは、あるWebサービスに新規登録する際、ID/PWでの登録の他にFacebookやGoogleアカウントでの新規登録もできます、と表示されている画面です。これにはOAuth2.0の仕組みが使われています。あるWebサービス(=FacebookやGoogle)が保有しているリソースを、その利用者(=あなた)が別のWebサービス(=新規登録するWebサービス)でも利用できるように認可して連携するのです。注意が必要なのは、認証(利用者本人の確認を行うこと)は行わず、認可(利用者に正しい権限を与えること)のみであるという点です。認可も認証も行うものにはOpenID Connectがあります。
また、OAuth2.0の午後問題でよく問われるのは、「OAuth2.0で認可を行う際のセキュリティ上の注意点」です。
イメージしやすいものでは、あるWebサービスに新規登録する際、ID/PWでの登録の他にFacebookやGoogleアカウントでの新規登録もできます、と表示されている画面です。これにはOAuth2.0の仕組みが使われています。あるWebサービス(=FacebookやGoogle)が保有しているリソースを、その利用者(=あなた)が別のWebサービス(=新規登録するWebサービス)でも利用できるように認可して連携するのです。注意が必要なのは、認証(利用者本人の確認を行うこと)は行わず、認可(利用者に正しい権限を与えること)のみであるという点です。認可も認証も行うものにはOpenID Connectがあります。
また、OAuth2.0の午後問題でよく問われるのは、「OAuth2.0で認可を行う際のセキュリティ上の注意点」です。
- 認可のみであり認証を行わないこと
- 必要最小限の原則に則り、不要な権限を付与しないこと