AP過去問令和6年度秋期午前問37

問37(問題文)

　企業内のクライアントからクラウドサービスへのアクセスにSAML認証を利用したときのシステムの動作に関する記述のうち、適切なものはどれか。ここで、利用者のIDとパスワードは企業内のディレクトリサービスで管理し、利用者認証は企業内の認証サーバで行う。

ア　クラウドサービスがディレクトリサービスに利用者IDとパスワードの送信を要求する。

イ　認証サーバからクラウドサービスに、利用者IDとパスワードを送信する。

ウ　認証サーバから認証結果をクライアント経由でクラウドサービスに送信する。

エ　利用者が入力したパスワードとクラウドサービスから送信された乱数を組み合わせ、さらにハッシュ値に変換した結果をクライアントからクラウドサービスに送信する。

SAML認証の仕組み

　SAML(Security Assertion Markup Language)は、シングルサインオン(SSO)の実現に使われるプロトコルで、利用者認証を一元化します。具体的な流れは以下のようになります：

１．利用者がクラウドサービスにアクセスを要求すると、クラウドサービス(サービスプロバイダ、SP)は利用者を認証サーバ(アイデンティティプロバイダ、IdP)にリダイレクトします。

２．利用者がIDとパスワードを認証サーバに入力すると、認証サーバは利用者を認証します。

３．認証サーバは認証結果(SAMLアサーション)をクライアントに渡し、クライアントからクラウドサービスに転送します。

４．クラウドサービスはアサーションを検証し、利用者にサービスへのアクセスを許可します。

　アは誤りです。クラウドサービス(SP)が企業内ディレクトリサービスに直接アクセスすることはありません。認証はIdPで行われ、SPは認証結果(SAMLアサーション)を受け取るだけです。

　イは誤りです。認証サーバ(IdP)がクラウドサービス(SP)に利用者IDやパスワードを直接送信することはありません。SAMLでは、利用者のパスワードはIdP内部でのみ使用されます。

　ウは正しいです。認証サーバが発行した認証結果(SAMLアサーション)は、クライアント経由でクラウドサービスに渡されます。これがSAML認証の正しい動作です。

　エは誤りです。クラウドサービスから送信された乱数を利用者がハッシュ化して送信する仕組みは、SAML認証ではなく、チャレンジレスポンス認証(CRAM:Challenge-Response Authentication Mechanism)などの別の方式です。

　したがって

ウ

　が答えです。