お疲れ様です。ががです。
ここでは、ネスペ(ネットワークスペシャリスト)の基礎分野解説を行います。
今回のテーマは、SSO(Single Sign-On)です。
業システムやクラウドサービスでは、多くのアプリケーションを利用します。
もしサービスごとにID・パスワードを入力していたら、利用者の負担が大きくなり、パスワード管理も複雑になります。
そこで利用されるのが SSO(Single Sign-On:シングルサインオン) です。
この記事では、
- SSOとは
- Kerberos認証
- SAML認証
- 認証手順
を解説します。
テスト
まずは、SSOの理解してい点について書き出していきましょう。
問1 SSOとは何ですか?解答
一度(Single)の認証(Sign-On)で複数システムを利用できる仕組み解答
Kerberos認証 SAML認証解答
PC→KDCへの通信解答
TGT(Ticket Granting Ticket)解答
ST(サービスチケット )解答
IdP(Identity Provider)解答
SP(Service Provider)解答
SAMLアサーション解答
社内LAN → Kerberos クラウド → SAML解答
〔PC↔︎KDC〕 ・TGT取得 〔PC↔︎SP〕 ・サービス要求 〔PC↔︎KDC〕 ・ ST取得 〔PC↔︎SP〕 ・ST提示 ・サービス利用SSOとは
SSO(Single Sign-On) とは、
一度の認証で複数のシステムやサービスを利用できる仕組み
です。
例えば、
- Windowsにログイン
- 社内ポータル利用
- ファイルサーバ利用
- メール利用
などを、再度パスワード入力することなく利用できます。
SSOのメリット
利用者
- パスワード入力回数削減
- 利便性向上
- パスワード忘れ防止
管理者
- パスワード管理負荷低減
- セキュリティ向上
- アカウント管理の一元化
SSOを実現する主な認証方式
代表的な認証方式は以下の2つです。
| 認証方式 | 主な用途 |
|---|---|
| Kerberos認証 | 社内ネットワーク |
| SAML認証 | クラウドサービス |
ネットワークスペシャリスト試験では、この2つが頻出です。
Kerberos認証とは
Kerberos(ケルベロス)認証とは、
チケットを利用して認証する方式
です。
利用者は最初に認証サーバへログインし、
その後は発行されたチケットを使って各サービスへアクセスします。
パスワードを何度も送信しないため安全です。
Kerberosの登場人物
クライアント
利用者PC
KDC
Key Distribution Center
認証を管理するサーバ
KDCは次の2機能を持ちます。
AS
Authentication Server
利用者認証を担当
TGS
Ticket Granting Server
サービス用チケット発行を担当
サービスサーバ
ファイルサーバなど
Kerberos認証の処理手順
① ユーザログイン
ユーザがPCへログイン
↓
ASへ認証要求
② TGT取得
ASがユーザを認証
↓
TGT(Ticket Granting Ticket)発行
ユーザへ返送
③ サービスチケット要求
ユーザがファイルサーバへアクセスしたい
↓
TGSへ要求
↓
TGTを提示
④ サービスチケット取得
TGSが確認
↓
サービスチケット発行
⑤ サービス利用
ユーザ
↓
サービスサーバへ
サービスチケット送付
↓
認証成功
↓
利用開始
Kerberos認証イメージ
ユーザ
↓
AS
↓
TGT取得
↓
TGS
↓
サービスチケット取得
↓
サービスサーバ
↓
利用
試験ポイント
覚える順番
AS
↓
TGT
↓
TGS
↓
サービスチケット
↓
サービス利用
SAMLとは
SAML
Security Assertion Markup Language
とは、
Webサービス向けのSSOを実現する認証方式
です。
主に
- Microsoft 365
- Salesforce
- Google Workspace
などのクラウドサービスで利用されます。
SAMLの登場人物
ユーザ
利用者
IdP
Identity Provider
認証サーバ
例
- Active Directory
- Entra ID
- Okta
SP
Service Provider
利用するクラウドサービス
例
- Microsoft 365
- Salesforce
SAML認証の処理手順
① ユーザがサービスへアクセス
ユーザ
↓
SPへアクセス
② 認証要求
SP
↓
IdPへリダイレクト
③ ユーザ認証
IdPで認証
ID・パスワード入力
④ SAMLアサーション発行
IdP
↓
認証成功
↓
SAMLアサーション生成
⑤ SPへ送信
ブラウザ経由で
SPへアサーション送付
⑥ サービス利用
SPが検証
↓
認証成功
↓
利用開始
SAML認証イメージ
ユーザ
↓
SP
↓
IdP
↓
認証
↓
SAMLアサーション
↓
SP
↓
利用
Kerberos認証とSAML認証の違い
| 項目 | Kerberos | SAML |
|---|---|---|
| 主用途 | 社内LAN | クラウド |
| 利用環境 | Active Directory | Webサービス |
| 認証方式 | チケット | アサーション |
| 通信 | 主にTCP/UDP | HTTP/HTTPS |
| 頻出度 | 高 | 高 |
覚え方
社内 = Kerberos
クラウド = SAML
まとめ
SSOとは、
一度の認証で複数システムを利用できる仕組み
です。
代表的な認証方式
- Kerberos認証
- SAML認証
Kerberos
- 社内向け
- チケット利用
SAML
- クラウド向け
- アサーション利用
ネットワークスペシャリスト試験では頻出分野のため、認証の流れを図で説明できるレベルまで理解しておきましょう。


コメント