令和4年秋期試験問題 午前Ⅱ 問7

シングルサインオン(SSO)に関する記述のうち,適切なものはどれか。

  • SAML方式では,インターネット上の複数のWebサイトにおけるSSOを,IdP(Identity Provider)で自動生成されたURL形式の1人一つの利用者IDで実現する。
  • エージェント方式では,クライアントPCに導入したエージェントがSSOの対象システムのログイン画面を監視し,ログイン画面が表示されたら認証情報を代行入力する。
  • 代理認証方式では,SSOの対象サーバにSSOのモジュールを組み込む必要があり,システムの改修が必要となる。
  • リバースプロキシ方式では,SSOを利用する全てのトラフィックがリバースプロキシサーバに集中し,リバースプロキシサーバが単一障害点になり得る。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
ユーザー認証を一度受けるだけで許可された複数サービスへのアクセスを認証するシングルサインオン(Single Sign On:SSO)には、エージェント方式、代理認証方式、リバースプロキシ方式、認証連携を用いる方式などがあります。
エージェント方式
SSOの対象となるサーバすべてにエージェントと呼ばれるモジュールをインストールする必要があります。利用者は認証サーバから認証済資格情報が含まれたcookieを受け取り、その後はSSOの対象サーバ内のエージェントが利用者の認証済みcookieを確認してサービスを許可します。ただしそのcookieが有効な同一ドメイン内でしか利用できません。
代理認証方式
クライアントPCにインストールしたエージェントにIDやパスワードを保持させておき、利用するサービスのログイン画面が起動した時にエージェントが必要な認証情報を代理で入力する方式です。
リバースプロキシ方式
リバースプロキシと呼ばれる中継サーバをサーバ群の前段に設置し、すべての認証をこのサーバを経由して行う方式です。ただしアクセスが集中するため、このリバースプロキシ自体がシステム全体に障害が波及する単一障害点となるおそれがあります。そのため同一機能を持つサーバを複数台用意するなどの冗長化を施す必要があります。
認証連携方式
認証連携では、ID等の発行者とサービス提供者との間で利用者の認証情報や付随する属性情報をやり取りし、運用ポリシーが異なる組織やドメイン間でSSOを行います。認証連携を実現する技術にはSAML(Security Assertion Markup Language)やOpenID、OpenID Connectなどがあります。
    • OpenID方式の説明です。
    • 代理認証方式の説明です。
    • エージェント方式の説明です。
    • 正しい。
    参考:SAML、OPENID、OpenID Connectの違い
    SAML方式
    認証・認可の情報を提供するIdP(Identity Provider)が、ユーザーの認証結果をもとにSAMLアサーション(IDなどの認証情報や属性情報をXMLで記載したもの)を発行し、そのSAMLアサーションをサービスの提供を行うSP(Service Provider)とやり取りしてSSOを行う
    OpenID方式
    OP(OpenID Provider)が利用者のアカウント管理や認証を行い、URL形式の利用者ID(Claimed Identifier)などOpenIDで使用する識別子を発行する。これらをもとにOPから利用者の認証情報を取得したRP(Relying Party)がサービスを提供することでSSOを行う
    OpenID Connect方式
    OPから利用者に発行された認可コードがRPに送られ、RPはこの認可コードでOPにアクセスする。認可コードの検証後RPはOPからアクセストークンと、認証に関する情報をJWT(JSON Web Token)で記載したIDトークンを受け取り、これらをやり取りしてサービスを提供することでSSOを行う。APIアクセス認可のフレームワークであるOAuth2.0をベースとした、OpenIDの後継仕様です。

    Pagetop