• 1.シングルサインオンとは
  • (1)シングルサインオンとは
  • (2)シングルサインオンのデメリット
  • (3)シングルサインオンの２つの方式
    • ❶エージェント方式（クッキーを使ったシングルサインオン）
    • ❷リバースプロキシを使ったシングルサインオン
• 2.SAML(Security Assertion Markup Language)
  • (1)SAMLとは
  • (2)登場人物
  • (3)構成例
  • (4)SAMLのフロー①
  • (5)SAMLのフロー②
  • (6)SAMLのフロー③
  • [参考】SAMLの事例（学術認証フェデレーション）
• 3.Kerberos認証によるシングルサインオン

 

1.シングルサインオンとは

(1)シングルサインオンとは

　シングルサインオンとは、一つの認証情報（ID/パスワードなど）で、複数のシステムにログインできるようにすることです。
　過去問（H20SW午後1）に、シングルサインオンの目的に関する記述があるので、紹介します。

業務活動の統制の観点から,各社内システムのセキュリティ確保の問題が重要視されており,全社的に統一された認証情報の管理,統一されたアクセス制御の実施が望まれている。また,利用者である社員からも,個々のシステムを利用する際に,その都度IDとパスワードの入力を求められることの不便さを訴えられている。 情報システム部門では,こうした要求に応じるためにシングルサインオンの導入によって,利用者の利便性向上と統一的なセキュリティ管理を図ることにした。

ここにありますように、シングルサインオンの目的は、次の2つと考えられます。
①統一的なセキュリティ管理
②利用者の利便性の向上

(2)シングルサインオンのデメリット

こちらも、過去問（H20SUPM2問1）から引用します。

シングルサインオンの機能を導入することにした。この機能を導入することで、利用者の利便性は向上するが、万が一、利用者IDとパスワードが流出したり破られたりしてしまうと、シングルサインオンできるすべての業務アプリを簡単に不正利用されてしまうというリスクが伴う。

これは、シングルサインオンに限ったことではなく、IDパスワードを使いまわしている場合にも、同じことが言えます。

(3)シングルサインオンの２つの方式

シングルサインオンには、２つの方式があります。

❶エージェント方式（クッキーを使ったシングルサインオン）

　SSOを利用したいサーバに、エージェントと呼ばれるソフトウェアをインストールして行う。
また、過去問では、クッキーを使ったシングルサインオンは、「サーバごとの認証情報を含んだクッキーをサーバで作成し、各クライアント上で保存・管理する。（H18NW問47を一部修正）」方式であると記載されています。
　エージェントがやってくれるので、この後に記載するリバースプロキシ型のような新しい機器を設置したり
構成を変更する必要がありません。ただ、システムにエージェントを入れることはすごく嫌がられる傾向にあり、
その理由で、この方式は採用されないこともあります。

過去問（H27秋NW午後Ⅰ問1）に、エージェント方式の詳しい解説があるので紹介します。

C氏はHTTPを用いたSSOの方式と認証処理シーケンスについて検討した。SSOの方式を分類すると，SSOで利用したいサーバにエージェントと呼ばれるソフトウェアモジュールをインストールして実現するエージェント方式と, SSOサーバにおいて全ての通信の中継を行う〔　ア：リバースプロキシ　〕方式がある。C氏は，エージェント方式の検討を行い，エージェント方式を採用することにした。 エージェント方式におけるSSO認証処理のシーケンスは，次のとおりである。 ①　PCからWebアプリケーションサーバに，サービス要求を行う。 ②　Webアプリケーションサーバ内のエージェントは，サービス要求中のCookieに認証済資格情報（以下，アクセスチケットという）が含まれているか確認する。含まれていなければ，サービス要求はSSOサーバヘ〔　イ：リダイレクト　〕される。 ③　SSOサーバからPCに，認証画面を送る。 ④　PCからSSOサーバに，UserIDとPasswordを送出する。 ⑤　SSOサーバは，UserIDとPasswordから利用者のアクセスの正当性を確認したら，アクセスチケットを発行して，Cookieに含めて応答を返す。サービス要求は，Webアプリケーションサーバヘ〔　イ：リダイレクト　〕される。 ⑥　Webアプリケーションサーバ内のエージェントは，SSOサーバにアクセスチケット確認要求を送り，SSOサーバは，確認して応答を返す。 ⑦　Webアプリケーションサーバは，⑥の応答によって利用者のアクセスの正当性が確認できた場合，Webアプリケーション画面を送出する。 エージェント方式におけるSSO認証処理のシーケンスの①～⑦を図示すると，図2のようになる。

❷リバースプロキシを使ったシングルサインオン

　リバースプロキシを使ったシングルサインオンは、シングルサインオン用に別途リバースプロキシサーバを立て、このサーバが代理で認証を行う方式である。情報処理安全確保支援士試験の対策としては、こちらの方式を基軸にしておきましょう。
　情報処理安全確保支援士試験の過去問（H22SC秋AM2問1）では、「リバースプロキシを使ったシングルサインオンの場合、利用者認証においてパスワードの代わりにディジタル証明書を用いることができる」と述べられている。

2.SAML(Security Assertion Markup Language)

(1)SAMLとは

SAMLは、「認証情報に加え、属性情報とアクセス制御情報を異なるドメインに伝達するためのWebサービスプロトコル（H20SW午前 問79）」「標準化団体OASISが, Webサイトなどを運営するオンラインビジネスパートナ間で認証，属性及び認可の情報を安全に交換するために策定したもの（H31春SC午前2問3）」である。

例えば、通販の申し込みサイトと決済サイトが別会社で運営されている場合、ドメインが異なるので、クッキーによるシングルサインオンはできない。そこで、利便性を目的としたSSOの技術の一つに、SAML(Security Assertion Markup Language)がある。
　各WebサイトがSAMLプロトコルに対応していれば、サイト間で認証情報を引き継ぐことができる。つまり、異なるドメイン（= 異なるWebサイト）でのシングルサインオンが可能になる。正解はSAML。

 

異なるドメインの場合のみに使うのですか？
いや、そう考えない方がいい。
　SAMLについて、別の情報処理安全確保支援士試験の過去問では、「標準化団体OASISが, Webサイト間で認証，属性及び認可の情報を安全に交換するために策定したフレームワーク（H24SC秋午前2問11）」、「SAMLは、認証、許可などの情報を安全に交換するためのフレームワークである（H29SC春午後1問2）」と述べている。
　つまり、認証のフレームワークである。ただ、同じ社内であれば、一つの認証の仕組み（たとえばADサーバ）で完結できる。他の連携するには、異なるメーカの認証サーバとも連携する必要があり、その標準規格がSAMLである。 

(2)登場人物

　SAMLを用いた認証の登場人物を紹介します。
❶SP（サービスプロバイダ）
　利用者にサービスを提供するシステム。Office365などのクラウドサービスと考えてください。
❷IdP（IDプロバイダ）
　SPや認証サーバと連携して、利用者の認証結果などを安全に受け渡します。
❸認証サーバ
　（一般的には社内に設置される）認証サーバです。Microsoft社のADサーバや、LDAPサーバと考えてください。
❹Webブラウザ
　SPのサービスを利用するPCのブラウザです。

 

ふつうのシステムは、利用者（❹）とアプリケーション（❶）と認証サーバ（❸）だけですよね。
なぜIdP（❷）が必要ですか？
　もちろん、認証サーバ1台で実現してくれれば理想です。しかし、認証サーバは、ユーザIDとPWを管理する程度の単純な機能しかありません。今から詳しく仕組みを説明しますが、SPやブラウザおよび認証サーバの仲介役として必要です。

(3)構成例

　SAMLを使って認証連携をする様子を、以下に示します。
　クラウドサービスB，クラウドサービスCなどがSPです。IdPは、Microsoft社のAD FS(
Active Directoryフェデレーションサービス)などをイメージしてもらうといいと思います。フェデレーション（Federation）は「連携」と考えてください。

　PCからは複数のクラウドサービスを利用しますが、この仕組みにより、クラウドサービスごとにID管理をする必要がなく、A社の認証サーバで一元管理ができます。IDやパスワードを一元管理は、社内サーバを含みます。便利ですね。

(4)SAMLのフロー①

情報処理安全確保支援士試験の過去問に詳しい解説がある。

Ｆ氏：私は,SAML (Security Assertion Markup Language)2.0という標準技術を使ったID連携のシステム構築の経験があります。SAML 2.0では,異なる製品間の相互運用性について,技術標準を策定する団体が主導して試験を行い,検証結果を公表しています。 Ｅ君：相互運用性が高い技術であれば,X社の技術標準として採用しやすいですね。 Ｆ氏：そうですね。仕組みについてご説明します。図5が,SAML 2.0を使ってSSOを実現する場合のメッセージフローです。この図にあるSP (サーピスプロバイダ)は,認証された利用者に対して業務アプリケーションなどのサービスを提供する側の機能で,IDP(IDプロバイダ)は,利用者認証の結果をSPに提供する機能です。利用者がSP上のWebアプリケーションを利用する場合に,SPが利用者に対してWebアプリケーションのサービスを提供してよいかを判定する必要がありますが,この判定のためにSPは[　a　]をプラウザ経由でIDPから受け取ります。 図5 SAML 2.0によるSSOのメッセージフロー Ｅ君：なるほど,分かりました。 Ｆ氏：Y社にもSAML 2.0のSPを導入したとします。この場合,X社の利用者が,X社情報システム群の認証サーバ,つまり,IDPで一度認証を受ければ,[　b　]するまでは,X社とY社のWebアプリケーションは,利用者が個別にサインオンしなくても利用可能となります。 設問1　ID連携技術について,本文中及び図5中の[　a　],[　b　]に入れる適切な字句を,それぞれ10字以内で答えよ。また,図5中の[　c　]には,ブラウザにおける動作を示す適切な字句を8字以内で答えよ。

↓
↓
↓
↓
↓
試験センターの解答例は以下だ。
設問1  
a 認証アサーション（または認証トークン）
b サインオフ
c リダイレクト

(5)SAMLのフロー②

もう一問、情報処理安全確保支援士試験の過去問（H22秋SC午後Ⅱ問2）を解いてみよう。

SAMLとは,記述言語として[　d　]を用いて,認証及び[　e　]に関する情報を交換するための標準規格である。今回, A社で採用したSAML型SSOシステムにおける認証及び[　e　]を実現するプロトコルは,図9のとおりである。 Webアプリ上には,SP(サービスプロバイダ)と呼ばれるモジュールが稼働しており,IdP(Idプロバイダ)と呼ばれるWebアプリと連携して,利用者認証を行う。IdPにおいては,様々な認証方式を採用できるが,A社では,入力フォームを活用した,利用者IDとパスワードを用いる方式を採用し,図8の統合認証システムにおけるLDAPサーバと連携させることにした。 次は,A社で採用したSAML型SSOシステムのプロトコルの動作概要である。ここで,各主体は,ほかの主体の公開鍵証明書を保持しているとする。 (a)利用者のブラウザは, Webアプリにサービスを要求する際,SP用のクッキーがあれば,それを提示する。提示したクッキーが有効であることが検証された場合は(f)に進む。 (b)SPは, SAMLRequestメッセージをエンコーディングした上でURIに含め,サービス要求をldPにリダイレクトする。 (c)利用者は,利用者IDとパスワードを入力し,認証を受ける。 (d)ldPは,利用者IDなどの属性を暗号化及びディジタル署名したSAMLResponseメッセージを発行し,ブラウザ上のJavaScriptを用いて,それをSPに転送する。 (e)SPは,SAMLResponseメッセージのディジタル署名などを検証し,有効であれば,SP用のクッキーを発行する。 (f)SPが稼働するWebアプリは,該当するサービスを提供する。

↓
↓
↓
↓
↓

あれ、さっきとはSPとIdPの位置が逆だ。
これでいいのかな？
図の上での配置は逆だが、内容は一緒だよ。よく見てみよう。
試験センターの解答例は以下だ。
d　XML
e　認可

SPやIdpがどれかは必須のように問われているので、理屈を理解しておきましょう。

(6)SAMLのフロー③

　情報処理安全確保支援士試験の過去問（H29春SC午後1問3）をもう一問見てみましょう。このように何度も問われていることから、SAMLの理解は情報処理安全確保支援士の試験対策として重要です。

〔SAMLを用いた認証連携と接続元制限方式の概要] SAMLは，認証，認可などの情報を安全に交換するためのフレームワークである。SAMLを用いることによって，利用者にサービスを提供するサービスプロバイダ（以下，SPという）と，IDプロバイダ（以下, IdPという）との間で利用者の認証結果などの情報を安全に連携することができる。SAMLには複数の処理方式が存在する。今回F社で導入を検討している方式のシーケンスを図1に示す。図1中の各通信のプロトコルは, IdPとLDAPサーバ間はLDAPであり，それ以外はHTTP over TLSである。 図1　導入を検討している方式のシーケンス 　SAMLを用いた認証連携を行うためには，事前にldPとSPとの間で様々な情報を共有することによって，信頼関係を構築しておく必要がある。事前に共有する情報としては，通信の方式や連携する属性情報などが記述されたメタデータ，[　e：処理１　]で生成して送出するURL，[　f:処理４　]において必要なIdPのディジタル証明書などがある。 　図1中の処理1～4の処理内容を表1に示す。 表1　処理内容 処理番号 処理内容 処理1 ・IdPに認証を要求するSAML Request を生成する。 ・SAML Request をエンコードする。 ・エンコード結果をIdPのログイン画面のURLと組み合わせて，リダイレクト先URLを生成する。 処理2 ・URL内の[　g：ウ：クエリ文字列　]からSAML Request を取得する。 ・信頼関係が構築されたSPからの認証要求であることを検証する。 処理3 ・利用者の認証が成功した場合，認証結果やSPとの間で連携する属性情報，有効期間，それらの情報に対するディジタル署名を含めたSAML Response を生成する。 処理4 ・SAML Response に含まれるディジタル署名を検証することによって，ディジタル署名が[　h：IdP　]によって署名されたものであること，及びデータの[　i：改ざん　]がないことを確認する。 ・SAML Response 内の属性情報も検証することによって，サービスを提供すべきか決定する。

↓
↓
↓
↓
↓
まず、先に正解を言うと、
a：SP
b：利用者端末のブラウザ
c:IdP
d：LDAPサーバ
　
　
問題文の3つで、すべて違うじゃないですかー
そうですね。ブラウザからSPに「サービス要求」が通信の始まり。
これだけ覚えておけば、間違えないでしょう。

実際、たとえば、ZOOMというSPにアクセスするときは、ZOOMにアクセスしますよね。そこでSSO（というかIdP）を選んで、Idpで認証情報を入れる。IdPは本当に認証サーバで認証を行い、成功すれば、ZOOMというSPに接続できる。このとき、ZOOMにもアカウントは追加されるはず。（認証情報を完全に持たないのではなく、PWだけ（？）を持たないと思っていいかと思う）
また、この問題の場合、表1などを読めば、答えがわかるようにもなっていますので、知らなくても問題文から解答できます。

[参考】SAMLの事例（学術認証フェデレーション）

　複数の大学で、共同のe-Learningシステムを利用する場合、IDの管理をどうするか。これが課題となる。
共同のe-Learningシステム用にIDを作成すると、学生はIDが増えて煩雑だ。かといって、自分の大学のID情報を、他大学に教えることもできない。
そこで、SAML。以下がイメージ図だ。


少し補足する。

(1)SPについて
提供するサービス（メールや学内システム、eラーニングなど）のサーバがあるだろう。当然だ。
そこに、SPのモジュールを組み込むことで、認証画面をつける。このモジュール、多くはShibboleth（シボレスと読む）だ。
設定は以下。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158264

(2)IDPについて
認証の窓口となるサーバ。ADサーバやLDAPサーバそのものではない。SAMLの仕組みを使って、SPと認証サーバをつなぐための仕組みだ。
構築としては、WindowsやLinuxのサーバを立てて、IdPをインストールする。こちらも、多くはShibboleth(IdP)だ。
設定は以下
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158257

(3)認証サーバ
従来の、大学にある認証サーバ。ActiveDirectoryやLDAPなどのサーバが多いだろう。IdPからの問い合わせ（LADPかKerberos）に対して、認証結果や属性（学部など）を返す。
この仕組み、便利ですね。
でも、便利すぎて、セキュリティ面で色々と疑問があります。

話が変わるが、大学での無線LANのローミング基盤はeduroam。

3.Kerberos認証によるシングルサインオン

 
ケルベロスって、ギリシャ神話の門番でしたっけ。
門番が許可した人だけを中に入れた、つまりケルベロスによる認証だったわけですね。
　Kerberos認証というのはシングルサインオンに限った仕組みではないが、結果的にシングルサインオンと同様の機能を持つ。
私が解説するよりも、情報処理安全確保支援士試験の過去問（H22SC秋午後2問2)にてきれいに整理されているので、紹介する。
前半の図が、Kerberosを使わない場合で、後半の図が使った場合。あきらかに、認証が便利になっている。

A社は, PC端末,ファイルサーバ及び一部のWebアプリにおける認証の仕組み,並びにディレクトリとして,c社製ディレクトリシステム(以下,C-DIRという)を,導入している。C-DIRでは,利用者. PC端末,プリンタ及びサーバから構成されるドメインという管理単位を定め,ドメインコントローラ(以下,DCという)によって管理する。また, DCでは, C-DIRのディレクトリに保持されるアカウント情報を用いて認証を行う。認証には,C社独自仕様のチャレンジレスポンス認証(以下, C-CR認証という),又はKerberos認証を利用することが可能である。 　C-CR認証では,図3に示すプロトコルの(b)-1~(b)-4において,DCが生成した疑似乱数をチャレンジとし,それを受信したクライアントで,利用者ID,パスワード及びチャレンジの連結をハッジュ化したレスポンスをDCに返信し,アクセス許可を受ける。 他方, Kerberos認証では,図4に示すように,クライアントが, DCにおける認証後,有効期限付のチケットが発行され,それをサーバに提示し,アクセス許可を受ける。 C-CR認証の場合,クライアントはサーバヘの接続のたびにDCにおいて認証を行う必要があるが,  Kerberos認証の場合,有効期限内であればチケットをサーバに提示するだけでサービスを受けられる。A社では,トラフィックが少なくなるなどのメリットが多いKerberos認証だけを利用している。また, Kerberos認証において、②有効期限切れのチケットが悪用されないように,DCとサーバを[  a  ]させて運用している。 設問2　(2)本文中の下線②を実現するために,[　a　]に入れる適切な字句を10字以内で答えよ。

↓
↓
↓
↓
↓
これは、Windowsにて、AD（AcriveDirecory）の認証が終わると、AD配下の各サーバにアクセスする際に、再認証が不要という仕組みだ。日頃利用されている人が多いだろうから、理解がしやすいだろう。
aに入るのは、「時刻同期」だ。

参考ですが、WindowsのADの認証には、Kerberos以外にNTLMv2がある。しかし、Windows 2000以降は、Active DirectoryではNTLMは非推奨で、Kerberos認証が使われる