今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は6.8章:シングルサインオンによる認証システムのCheck問題です。
【Q1】SSOとはどのような認証システムか。
認証が必要な複数のシステムが存在する場合に、最初に1回認証に成功すれば以降は利用するシステムが変わっても利用が許可されているシステムであれば再度認証を行うことなく利用できる認証システム。
【Q2】SSOを導入することによってどのような効果が期待できるか。
いくつもの認証情報を管理する必要がなくなる、何度も認証プロセスを経る必要がなくなる、といった、管理すべき情報量の減少や認証にかかる時間の削減が期待できる。
【Q3】SSOはどのような方式によって実現されているか。
以下の3つの方式がある。
①Cookieによるサーバ間でのユーザ識別情報の交換(共有)
②リバースプロキシサーバによるユーザ識別・認証の集約(共有)
③SAMLによるサーバ間でのユーザ識別情報の交換(共有)
【Q4】エージェント型とリバースプロキシ型のメリット・デメリットは何か。
エージェント型のメリット
・導入にあたってネットワーク構成を変更する必要がない。
・システムの規模が大きくなっても対応可能。
エージェント型のデメリット
・各Webサーバにエージェントをインストールする必要があり、エージェントが対応していないWebサーバには適用できない。
リバースプロキシ型のメリット
・Webサーバにソフトウェアをインストールする必要がないため、Webサーバに依存せず使用可能。
リバースプロキシ型のデメリット
・認証サーバにアクセスが集中するため、認証サーバ本体や周辺ネットワークに負荷がかかる。
・認証サーバを経由した場合にのみWebサーバにアクセスできるようネットワーク構成を変更する必要がある。
【Q5】Cookieを用いたSSOシステムにおける制限事項として何があるか。
①Cookieが共有可能な範囲(同一ドメイン内)でしかSSOシステムを構築できない。
②クライアントがCookieの使用を制限している場合には使用できない。
【Q6】SAML、アサーション、Artifactとはそれぞれ何か。
SAML(Security Assertion Markup Language)は認証情報を安全に交換するためのXML仕様で3つのアサーションと呼ばれる情報を扱う。
認証アサーションは認証結果の伝達に用いる
属性アサーションは属性情報の伝達に用いる
認可決定アサーションはアクセス制御情報の伝達に用いる
アサーションはサイズが大きい情報であるため、アサーションへのリファレンス(参照)情報など、小さなデータ量でアサーション情報をやり取りするのがArtifactである。
【Q7】SAMLを用いたSSOシステムはどのような仕組みでユーザを認証するのか。
ユーザのアカウント情報の管理および認証を行うIdentity Provider(IdP)と、ユーザにサービスを提供するService Provider(SP)によって構成され、相互に認証の行うIdPとSPは事前にアカウント情報を連携し信頼の輪(Circle of Trust)を形成し、認証を行う。
【Q8】アイデンティティ管理を実現する各システムの概要について説明せよ。
①ディレクトリシステム
ユーザの識別情報や属性情報を一元的に管理する。
②プロビジョニングシステム
ユーザのアイデンティティ情報に基づいてアクセス制御やリソースを割り当てる。
③アクセス制御システム
ユーザのアイデンティティ情報に基づいて、システムリソースに対するアクセス制御を行う。
④ワークフローシステム
アイデンティティ情報の追加・変更・削除における申請・承認・差し戻しなどのワークフローや証跡の管理を行う。
私が使っているのは2022年版のテキストですが、2024年版も出ています。