Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和4年度 春期 午後2 問2その3

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[SaaSでの SSOの実現]
 Cさんは、GrW及びメールのSaaSへの移行後のSSOの実現方法をF氏に尋ねた。次は、その際のF氏とCさんの会話である。

F氏:IDaaSの利用を提案します。多くのIDaaSでは、Kerberos 認証ではなくSAML認証をサポートしています。SaaS側がSAML認証をサポートしていれば、SAML認証を用いたSSOが可能です。SAML認証の流れを図8に、図8中の各処理の概要を表2に示します。

Cさん:事前の準備はありますか。
F氏:IDaaSとSaaSとの間で事前に情報を共有しておく必要があります。事前に共有する情報は、SAMLアサーションで用いる属性、図8中の処理(h)で用いるURL、図8中の処理(i)及び処理(j)において必要なデジタル証明書などがあります。

 Cさんは、F氏の提案を受け、SAML認証をサポートしているIDaaSを調査した。同時に、GrWサービス及びメールサービスを提供し、かつ、SAML認証をサポートしているSaaSを調査した。調査の結果、G社のSaaSとIDaaS(以下、G社のGrWサービスをGrW-G、メールサービスをメール-G、IDaaSをIDasS-Gという)に移行することを経営陣に提案した。この案は経営陣に承認され、GrW-G及びメール-Gへの移行並びにIDaaS-Gでの SSOの準備が開始された。

e:クエリ文字列

図8中の⑶のHTTPリクエスト中の(e)からSAML Requestを取得する。

SAMLのリクエストにはクエリ文字列を使うため、答えはクエリ文字列となる

f:IDaaS g偽造

SaaSが処理4で行う署名は、IDaasかどうかを見ているため、答えはIDaaS

偽造されたかどうかを確認するので、gは偽造となる

h:1 i:3 j:4

F氏:IDaaSとSaaSとの間で事前に情報を共有しておく必要があります。事前に共有する情報は、SAMLアサーションで用いる属性、図8中の処理(h)で用いるURL、図8中の処理(i)及び処理(j)において必要なデジタル証明書などがあります。

認証が必要な処理は処理①を行う1。

認証処理が必要魔処理②を行う3,4となる

 

 

 

 

div #breadcrumb div{ display: inline;font-size:13px;}