SSO-ネットワーク基礎-【ネスペ】

ネスペ(NW)

お疲れ様です。ががです。

ここでは、ネスペ(ネットワークスペシャリスト)の基礎分野解説を行います。
今回のテーマは、SSO(Single Sign-On)です。

業システムやクラウドサービスでは、多くのアプリケーションを利用します。

もしサービスごとにID・パスワードを入力していたら、利用者の負担が大きくなり、パスワード管理も複雑になります。

そこで利用されるのが SSO(Single Sign-On:シングルサインオン) です。

この記事では、

  • SSOとは
  • Kerberos認証
  • SAML認証
  • 認証手順

を解説します。

テスト

まずは、SSOの理解してい点について書き出していきましょう。

問1 SSOとは何ですか?
解答 一度(Single)の認証(Sign-On)で複数システムを利用できる仕組み
問2 SSOを実現する代表的な認証方式を2つ答えてください。
解答 Kerberos認証 SAML認証
問3 Kerberos認証で最初の通信は何ですか?
解答 PC→KDCへの通信
問4 Kerberos認証でKDCが発行するチケットは何ですか?
解答 TGT(Ticket Granting Ticket)
問5 Kerberos認証でサービス利用時に提示するチケットは何ですか?
解答 ST(サービスチケット )
問6 SAMLで認証を仲介するシステムを何と呼びますか?
解答 IdP(Identity Provider)
問7 SAMLでサービス提供側を何と呼びますか?
解答 SP(Service Provider)
問8 SAMLでIdPが発行する認証情報を何と呼びますか?
解答 SAMLアサーション
問9 「社内LAN向け」「クラウド向け」に対応する認証方式を答えてください。
解答 社内LAN → Kerberos クラウド → SAML
問10 Kerberos認証の流れを順番に答えてください。
解答 〔PC↔︎KDC〕 ・TGT取得 〔PC↔︎SP〕 ・サービス要求 〔PC↔︎KDC〕 ・ ST取得 〔PC↔︎SP〕 ・ST提示 ・サービス利用


SSOとは

SSO(Single Sign-On) とは、

一度の認証で複数のシステムやサービスを利用できる仕組み

です。

例えば、

  • Windowsにログイン
  • 社内ポータル利用
  • ファイルサーバ利用
  • メール利用

などを、再度パスワード入力することなく利用できます。

SSOのメリット

利用者

  • パスワード入力回数削減
  • 利便性向上
  • パスワード忘れ防止

管理者

  • パスワード管理負荷低減
  • セキュリティ向上
  • アカウント管理の一元化

SSOを実現する主な認証方式

代表的な認証方式は以下の2つです。

認証方式主な用途
Kerberos認証社内ネットワーク
SAML認証クラウドサービス

ネットワークスペシャリスト試験では、この2つが頻出です。


Kerberos認証とは

Kerberos(ケルベロス)認証とは、

チケットを利用して認証する方式

です。

利用者は最初に認証サーバへログインし、

その後は発行されたチケットを使って各サービスへアクセスします。

パスワードを何度も送信しないため安全です。

Kerberosの登場人物

クライアント

利用者PC

KDC

Key Distribution Center

認証を管理するサーバ

KDCは次の2機能を持ちます。

AS

Authentication Server

利用者認証を担当

TGS

Ticket Granting Server

サービス用チケット発行を担当

サービスサーバ

ファイルサーバなど


Kerberos認証の処理手順

① ユーザログイン

ユーザがPCへログイン

ASへ認証要求


② TGT取得

ASがユーザを認証

TGT(Ticket Granting Ticket)発行

ユーザへ返送


③ サービスチケット要求

ユーザがファイルサーバへアクセスしたい

TGSへ要求

TGTを提示


④ サービスチケット取得

TGSが確認

サービスチケット発行


⑤ サービス利用

ユーザ

サービスサーバへ

サービスチケット送付

認証成功

利用開始


Kerberos認証イメージ

ユーザ

AS

TGT取得

TGS

サービスチケット取得

サービスサーバ

利用

試験ポイント

覚える順番

AS

TGT

TGS

サービスチケット

サービス利用

SAMLとは

SAML

Security Assertion Markup Language

とは、

Webサービス向けのSSOを実現する認証方式

です。

主に

  • Microsoft 365
  • Salesforce
  • Google Workspace

などのクラウドサービスで利用されます。


SAMLの登場人物

ユーザ

利用者


IdP

Identity Provider

認証サーバ

  • Active Directory
  • Entra ID
  • Okta

SP

Service Provider

利用するクラウドサービス

  • Microsoft 365
  • Salesforce

SAML認証の処理手順

① ユーザがサービスへアクセス

ユーザ

SPへアクセス


② 認証要求

SP

IdPへリダイレクト


③ ユーザ認証

IdPで認証

ID・パスワード入力


④ SAMLアサーション発行

IdP

認証成功

SAMLアサーション生成


⑤ SPへ送信

ブラウザ経由で

SPへアサーション送付


⑥ サービス利用

SPが検証

認証成功

利用開始


SAML認証イメージ

ユーザ

SP

IdP

認証

SAMLアサーション

SP

利用

Kerberos認証とSAML認証の違い

項目KerberosSAML
主用途社内LANクラウド
利用環境Active DirectoryWebサービス
認証方式チケットアサーション
通信主にTCP/UDPHTTP/HTTPS
頻出度

覚え方

社内 = Kerberos

クラウド = SAML

まとめ

SSOとは、

一度の認証で複数システムを利用できる仕組み

です。

代表的な認証方式

  • Kerberos認証
  • SAML認証

Kerberos

  • 社内向け
  • チケット利用

SAML

  • クラウド向け
  • アサーション利用

ネットワークスペシャリスト試験では頻出分野のため、認証の流れを図で説明できるレベルまで理解しておきましょう。

コメント

タイトルとURLをコピーしました