https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[SaaSでの SSOの実現]
Cさんは、GrW及びメールのSaaSへの移行後のSSOの実現方法をF氏に尋ねた。次は、その際のF氏とCさんの会話である。
F氏:IDaaSの利用を提案します。多くのIDaaSでは、Kerberos 認証ではなくSAML認証をサポートしています。SaaS側がSAML認証をサポートしていれば、SAML認証を用いたSSOが可能です。SAML認証の流れを図8に、図8中の各処理の概要を表2に示します。
Cさん:事前の準備はありますか。
F氏:IDaaSとSaaSとの間で事前に情報を共有しておく必要があります。事前に共有する情報は、SAMLアサーションで用いる属性、図8中の処理(h)で用いるURL、図8中の処理(i)及び処理(j)において必要なデジタル証明書などがあります。
Cさんは、F氏の提案を受け、SAML認証をサポートしているIDaaSを調査した。同時に、GrWサービス及びメールサービスを提供し、かつ、SAML認証をサポートしているSaaSを調査した。調査の結果、G社のSaaSとIDaaS(以下、G社のGrWサービスをGrW-G、メールサービスをメール-G、IDaaSをIDasS-Gという)に移行することを経営陣に提案した。この案は経営陣に承認され、GrW-G及びメール-Gへの移行並びにIDaaS-Gでの SSOの準備が開始された。
e:クエリ文字列
SAMLのリクエストにはクエリ文字列を使うため、答えはクエリ文字列となる
f:IDaaS g偽造
SaaSが処理4で行う署名は、IDaasかどうかを見ているため、答えはIDaaS
偽造されたかどうかを確認するので、gは偽造となる
h:1 i:3 j:4
F氏:IDaaSとSaaSとの間で事前に情報を共有しておく必要があります。事前に共有する情報は、SAMLアサーションで用いる属性、図8中の処理(h)で用いるURL、図8中の処理(i)及び処理(j)において必要なデジタル証明書などがあります。
認証が必要な処理は処理①を行う1。
認証処理が必要魔処理②を行う3,4となる