ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和5年度 春期 午後2 問2(一部、加工あり)】
[SAML2.0の調査とECサーバへの対応の検討]
X主任がSAML2.0について調査して理解した内容を次に示す。
- SAMLは、認証・認可の要求/応答のプロトコルとその情報を表現するための標準規格であり、一度の認証で複数のサービスが利用できるシングルサインオン(以下、SSOという)を実現することができる。
- SAMLでは、利用者にサービスを提供するSP(Service Provider)と、利用者の認証・認可の情報をSPに提供するIdP(Identity Provider)との間で、情報の交換を行う。
- IdPは、SAMLアサーションと呼ばれるXMLドキュメントを作成し、利用者を介してSPに送信する。SAMLアサーションには、次の三つの種類がある。
(a)利用者がIdPにログインした時刻、場所、使用した認証の種類などの情報が記述される。
(b)利用者の名前、生年月日など利用者を識別する情報が記述される。
(c)利用者がもつサービスを利用する権限などの情報が記述される。 - SPは、IdPから提供されたSAMLアサーションを基に、利用者にサービスを提供する。
- IdP、SP及び利用者間の情報の交換方法は、SAMLプロトコルとしてまとめられており、メッセージの送受信にはHTTPなどが使われる。
- z-DCで稼働するY社のECサーバがSAMLのSPに対応すれば、購買担当者は、自社内のディレクトリサーバ(以下、DSという)などで管理するアカウント情報を使って、ECサーバに安全にSSOでアクセスできる。
X主任は、ケルベロス認証を利用して社内のサーバにSSOでアクセスしている会員企業e社を例として取り上げ、e社内のPCがSAMLを利用してY社のECサーバにもSSOでアクセスする場合のシステム構成及び通信手順について考えた。
会員企業e社のシステム構成を図6に示す。
図6で示した会員企業e社のシステムの概要を次に示す。
- e社ではケルベロス認証を利用し、社内サーバにSSOでアクセスしている。
- e社内のDSは、従業員のアカウント情報を管理している。
- PC及び社内サーバは、それぞれ自身の共通鍵を保有している。
- DSは、PC及び社内サーバそれぞれの共通鍵の管理を行うとともに、チケットの発行を行う鍵配布センター(以下、KDCという)機能をもっている。
- KDCが発行するチケットには、PCの利用者の身分証明書に相当するチケット(以下、TGTという)とPCの利用者がアクセスするサーバで認証を受けるためのチケット(以下、STという)の2種類がある。
- 認証連携サーバはIdPとして働き、ケルベロス認証とSAMLとの間で認証連携を行う。
X主任は、e社内のPCからY社のECサーバにSAMLを利用してSSOでアクセスするときの通信手順と処理の概要を、次のようにまとめた。
e社内のPCからECサーバにSSOでアクセスするときの通信手順を図7に示す。
図7中の、(ⅰ)〜(ⅸ)の処理の概要を次に示す。
(ⅰ)購買担当者がPCを使用してECサーバにログイン要求を行う。
(ⅱ)SPであるECサーバは、⑪SAML認証要求(SAML Request)を作成しIdPである認証連携サーバにリダイレクトを要求する応答を行う。ここで、ECサーバには、⑫IdPが作成するデジタル署名の検証に必要な情報などが設定され、IdPとの間で信頼関係が構築されている。
(ⅲ)PCはSAML RequestをIdPに転送する。
(ⅳ)IdPはPCに認証を求める。
(ⅴ)PCは、KDCにTGTを提示してIdPへのアクセスに必要なSTの発行を要求する。
(ⅵ)KDCは、TGTを基に、購買担当者の身元情報やセッション鍵が含まれたSTを発行し、IdPの鍵でSTを暗号化する。さらに、KDCは、暗号化したSTにセッション鍵などを付加し、全体をPCの鍵で暗号化した情報をPCに払い出す。
(ⅶ)PCは、⑬受信した情報の中からSTを取り出し、ケルベロス認証向けのAPIを利用して、STをIdPに提示する。
(ⅷ)IdPは、STの内容を基に購買担当者を認証し、デジタル署名付きのSAMLアサーションを含むSAML応答(SAML Response)を作成して、SPにリダイレクトを要求する応答を行う。
(ⅸ)PCは、SAML ResponseをSPに転送する。SPは、SAML Responseに含まれる⑭デジタル署名を検証し、検証結果に問題がない場合、SAMLアサーションを基に、購買担当者が正当な利用者であることの確認、及び購買担当者に対して提供するサービス範囲を定めた利用権限の付与の、二つの処理を行う。
X主任は、ECサーバのSAML2.0対応の検討結果を基に、SAML2.0に対応する場合のECサーバプログラムの改修作業の概要をW課長に説明した。
W課長は、X主任の設計したECサーバの増強案、及びSAML2.0対応のためのECサーバの改修などについて、経営会議で提案して承認を得ることができた。
下線⑪についてログイン要求を受信したECサーバがリダイレクト応答を行うために必要となる情報を、購買担当者の認証・認可の情報を提供するIdPが会員企業によって異なることに着目して、30字以内で答えよ。:アクセス元の購買担当者が所属している会員企業の情報
「SPであるECサーバは、⑪SAML認証要求(SAML Request)を作成しIdPである認証連携サーバにリダイレクトを要求する応答を行う。」
リダイレクトはアクセス元のブラウザに対して指定するURIへのアクセスを指示するもので、今回の場合はIdPである認証連携サーバを示すURIを指定します。
図7や設問にあるようにIdPは会員企業によって異なるため、ECサーバでは会員企業毎のURIをリダイレクトで指定する必要があり、アクセス元の購買担当者が所属している会員企業の情報が必要になります。
会員企業の情報のやり取りなどは問題文には示されていませんが、想像するにECサーバで予めアクセス元のIPアドレスと会員企業を紐づけて管理しているものと思われます。
下線⑫について、図7の手順の処理を行うために、ECサーバに登録すべき情報を、15字以内で答えよ。:IdPの公開鍵証明書
「ここで、ECサーバには、⑫IdPが作成するデジタル署名の検証に必要な情報などが設定され、IdPとの間で信頼関係が構築されている。」
デジタル署名の検証に必要な情報とくれば、署名者の公開鍵です。
IdPが作成するデジタル署名の検証のやり取りは、「(ⅷ)IdPは、(略)デジタル署名付きのSAMLアサーションを含むSAML応答(SAML Response)を作成して、SPにリダイレクトを要求する応答を行う。」で、IdPが自身の秘密鍵でデジタル署名を作成します。
そして、「(ⅸ)(略)SPは、SAML Responseに含まれる⑭デジタル署名を検証し、」で、SPであるECサーバはIdPの公開鍵でデジタル署名を検証するため、あらかじめIdPの公開鍵を登録しておく必要があります。
下線⑬について、取り出したSTをPCは改ざんすることができない。その理由を20字以内で答えよ。:IdPの鍵を所有していないから
「PCは、⑬受信した情報の中からSTを取り出し、ケルベロス認証向けのAPIを利用して、STをIdPに提示する。」
PCではSTがどのような状態になっているでしょうか。
前段で「(ⅵ)KDCは、TGTを基に、購買担当者の身元情報やセッション鍵が含まれたSTを発行し、IdPの鍵でSTを暗号化する。さらに、KDCは、暗号化したSTにセッション鍵などを付加し、全体をPCの鍵で暗号化した情報をPCに払い出す。」とあるように、PCでは「暗号化したSTとセッション鍵など」の全体を復号できますが、STは暗号化されたままです。
STを復号できるのは暗号化に使用したIdPの鍵であり、これはPCでは所有していないため改ざんすることはできません。
下線⑭について、受信したSAMLアサーションに対して検証できる内容を二つ挙げ、それぞれ25字以内で答えよ。:信頼関係のあるIdPが生成したものであること/SAMLアサーションが改ざんされていないこと
「SPは、SAML Responseに含まれる⑭デジタル署名を検証し、検証結果に問題がない場合、SAMLアサーションを基に、購買担当者が正当な利用者であることの確認、及び購買担当者に対して提供するサービス範囲を定めた利用権限の付与の、二つの処理を行う。」
デジタル署名の検証でできることは、真正性、完全性になります。
真正性とは、本人が署名したこと、つまり、IdPが作成したSAMLアサーションをIdPの秘密鍵で署名を生成し、SPがIdPの公開鍵で署名を検証することで、IdPが署名したことの確認ができます。
完全性とは、改ざんされていないこと、つまり、SAMLアサーションがIdPで生成したものと一致していることを確認できます。