情報セキュリティ

基本情報技術者試験フェデレーション認証」の問題

情報セキュリティ情報セキュリティ難易度:hard
E社は、自社で管理する社員IDを使って外部のクラウドサービスへログインできるよう、SAMLによるフェデレーション認証を構成した。この仕組みにおける認証情報の扱いとして、正しいものはどれか。
外部クラウド側が各社員のパスワードを預かって保持し、ログインごとにそれと照合する。
パスワード自体は外部へ送らず、自社が本人を認証した結果を証する署名付き情報を渡す。
社員は外部サービスごとに新たなパスワードを登録し、自社IDとは切り離して別々に管理する。
ログインのたびに社員のパスワードを自社から外部サービスへ暗号化して送り届ける。
正解
パスワード自体は外部へ送らず、自社が本人を認証した結果を証する署名付き情報を渡す。

SAMLフェデレーションでは、認証を担うアイデンティティプロバイダ(IdP=自社)が社員を認証し、その結果を署名付きのアサーションとしてサービスプロバイダ(外部クラウド)へ渡す。パスワードそのものは外部へ送られず、外部は自社の保証を信頼してアクセスを許可する。これが正しい仕組みである。

?選択肢ごとの解説

ア ×外部サービスがパスワードを預かって照合するのは個別認証であり、認証を自社IdPに委ねるフェデレーションの仕組みと矛盾する。
イ ○SAMLフェデレーションでは、認証を担うアイデンティティプロバイダ(IdP=自社)が社員を認証し、その結果を署名付きのアサーションとしてサービスプロバイダ(外部クラウド)へ渡す。パスワードそのものは外部へ送られず、外部は自社の保証を信頼してアクセスを許可する。これが正しい仕組みである。
ウ ×外部ごとに別パスワードを登録するのは連携しない従来方式であり、自社IDで横断的にログインするフェデレーションの目的に反する。
エ ×パスワードを毎回外部へ転送するのは誤りで、フェデレーションの利点はパスワードを外部に渡さず認証結果のみを連携する点にある。

くわしく

フェデレーション認証はIdPとSPの役割分担が核心である。IdPが認証し、SPは認証結果(アサーションやトークン)を信頼して認可する。パスワードがSP側に分散しないため、漏えい面の集約と管理一元化を両立できる。SAMLはXMLベース、OpenID ConnectはOAuth2.0基盤という違いがある。

本番での押さえどころ

試験のコツ

フェデレーション(SAML/OIDC)では、IdPが認証しSPへは署名付きの認証結果を渡す。パスワードはSPへ渡らない。

覚え方

自社が発行する『認証済みの紹介状(アサーション)』を外部に見せる。鍵(パスワード)は渡さない。

よくある誤り

『外部サービスにパスワードを預ける/送る』と誤解する。フェデレーションの肝は『パスワードを渡さず認証結果を渡す』点である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0065

【基本情報技術者試験】フェデレーション認証の問題 — 解答・解説|ukamiru 過去問