情報セキュリティスペシャリスト平成27年秋期 午前Ⅱ 問17

問17

OAuth2.0において,WebサービスAの利用者Cが,WebサービスBにリソースDを所有している。利用者Cの承認の下,WebサービスAが,リソースDへの限定的なアクセス権限を取得するときのプロトコルOAuth2.0の動作はどれか。
  • WebサービスAが,アクセストークンを発行する。
  • WebサービスAが,利用者Cのデジタル証明書をWebサービスBに送信する。
  • WebサービスBが,アクセストークンを発行する。
  • WebサービスBが,利用者Cのデジタル証明書をWebサービスAに送信する。
  • [出題歴]
  • 安全確保支援士 R6秋期 問16
  • 安全確保支援士 H29春期 問14

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

OAuth2.0は、異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです(RFC6749)。

OAuth2.0は、ユーザーの許可をもとにWebサービスがアクセストークンをサードパーティアプリケーションに発行し、アプリケーションがユーザーの代理としてWebサービスにアクセスできる仕組みです。ユーザーの認証情報を直接アプリケーションに渡さなくても、ユーザーの権限を委譲するための安全な方法として利用されます。

OAuth2.0では以下の3種類のロール(役)が登場します。
リソースオーナー(resource owner)
リソースサーバ内の保護された情報へのアクセスを許可するエンドユーザーであり、クライアントの利用者のこと。この設問では利用者Cが該当する
リソースサーバ(resource server)
保護された情報を保持し、Webサービスを提供するアプリケーションのこと。リソースオーナーを認証しクライアントにアクセストークンを発行する認可サーバ(authorization server)の役割を兼ねることが多い。この設問ではWebサービスBが該当する
クライアント(client)
リソースオーナーの認可を得てリソースサーバにアクセスするサードパーティアプリケーションのこと。この設問ではWebサービスAが該当する
この設問におけるOAuth2.0の大まかなフローは次のようになります。
  1. 利用者Cが、WebサービスAにアクセスする
  2. WebサービスAは、利用者CをWebサービスBにリダイレクトし、認証・認可手続きを促す
  3. 利用者Cは、WebサービスBで認証を受け、リソースの使用を認可する
  4. WebサービスBは、利用者Cからの認可に基づいて、WebサービスAに対してアクセストークンを発行する
  5. WebサービスAは、アクセストークンなどを含めたHTTPリクエストをWebサービスBに送信する
  6. WebサービスBは、HTTPリクエストが正当なものであるかを検証し、妥当であればリソースDを含むHTTPレスポンスをWebサービスAに返す
OAuth2.0では、リソースサーバ(WebサービスB)からクライアント(WebサービスA)に対してアクセストークンが発行されます。したがって適切な動作は「ウ」です。
17.png/image-size:609×333
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop