情報処理安全確保支援士試験 令和3年度 春期 午後1 問1
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問1(一部、加工あり)】
[利用者認証の実現について]
X氏は、全面改修してS認証モジュールを停止した後の利用者認証の実現方式についてY氏に確認した。Sサービスは利用者を直接認証していないが、⑤Sサービスは、登録されたS会員をどのように利用者認証しているかを、Y氏はX氏に解説した。
S社では、Y氏から指摘された問題を解決した後、TサービスとSサービスとのID連携を開始した。
下線⑤について、Sサービスは、Tサービスと連携して、どのように利用者認証を実現しているか。実現の方法を50字以内で具体的に述べよ。:Tサービスで認証されたS会員のT-IDが、Sサービス内に登録されていることを確認する。
Sサービスでの利用者認証の動作を改めて問題文から確認します。
すると、図2(OAuthを用いた認可のシーケンス)の注記に以下の記述があります。
注記 Sサービスは、S会員登録希望者による利用の初回に、S会員登録希望者がログイン内のTサービスから取得したアカウント名(以下、T-IDという)をSサービス内に登録する。Tサービスにログインしていない場合はログインが促される。2回目以降のSサービスの利用の場合、初回に登録されたT-IDを確認する。
この記述内容から、Sサービスの視点ではT-IDがSサービス内に登録されていることを確認することで、利用者認証を行なっていることが分かります。