プロジェクトマネージャ令和4年秋期 午前U 問24

午前U 問24

Webサーバでのシングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
  • cookieを使ったシングルサインオンの場合,Webサーバごとの認証情報を含んだcookieをクライアントで生成し,各Webサーバ上で保存,管理する。
  • cookieを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合、認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにデジタル証明書を用いることができる。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

シングルサインオン(Single Sign-On:SSO)は、ユーザ認証を一度受けるだけで許可された複数のサーバへのアクセスについても認証する技術です。利用するシステムが変わっても認証情報を入力しなくてもいいので、ユーザの利便性の向上が期待できます。

シングルサインオンの実装方式としては、Cookieを使うもの、リバースプロキシ型、SAML(Security Assertion Markup Language)によるものなどがあります。
クッキーを使うSSO
  1. 最初のログインの際には、Webサーバにインストールされたエージェントが認証サーバにアクセスして認証を受ける。
  2. エージェントは、その認証・識別情報をクッキーに含めてクライアントに返す。
  3. 別のWebサーバにアクセスがあった場合には、エージェントが認証サーバにアクセスし、クッキー情報をもとに認証を行う。
リバースプロキシ型SSO
  1. すべてのWebサーバへのアクセスをリバースプロキシに集約する。
  2. リバースプロキシはアクセスしてきたユーザを認証する。
  3. ログインに成功すると、リバースプロキシはWebサーバに代理アクセスし結果をユーザに返す。
SAML使うSSO
認証情報に加え,属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル。これを用いてほかのドメインとの間で認証情報を交換することで、同一ドメインに留まらない大規模なサイトにおいてもシングルサインオンの仕組みやセキュアな認証情報管理を実現できる。
  • クッキーはサーバで生成され、HTTPレスポンスと一緒にクライアントに送信されることにより、クライアントのコンピュータに保存されます。本肢は、クッキーをクライアントで生成としているので誤りです。
  • クッキーの有効範囲は同一ドメイン内のページに限られています。異なるドメインに配置されたシステムは、他のドメインで生成されたクッキーにアクセスすることができず、認証を行うことはできません。
  • リバースプロキシ型では、クッキーを用いた方式のようにドメインによる制限がないため、Webサーバが異なるドメインに設定されていたとしても支障はありません。
    しかし、Webサーバへアクセスするときには必ず認証サーバを経由しなければならないというネットワーク構成上の制限や、マルチドメイン間での安全な認証情報の送受という課題があるためマルチドメインSSOの実現は困難です。
  • 正しい。リバースプロキシでのクライアント認証には、IDとパスワードの組合せのほかにディジタル証明書も使用することができます。
© 2017-2022 プロジェクトマネージャ試験ドットコム All Rights Reserved.

Pagetop