シングサインオン(SSO)についての質問

桃太郎侍さん  
(No.1)
自分が使用している参考書にCookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難だと書かれていました。

一方で、SAMLによるSSOは異なるドメインでもSSOを構築できると書かれていました。

そこで二点の疑問があります
一. ”なぜ”Cookie型とリバースプロキシ型は異なるドメインでSSOシステムを構築することが困難なのか
二. ”なぜ”SAMLによるSSOは異なるドメインでもSSOを構築できるのか

この二点について解説していただけると助かります。
2020.03.21 10:57
らうさん 
(No.2)
情報処理安全確保支援士平成30年春期 午前Ⅱ 問5に解説があります。
https://www.sc-siken.com/kakomon/30_haru/am2_5.html

それぞれの特徴を理解するように心がけましょう!
2020.03.25 17:16
桃太郎侍さん  
(No.3)
らうさん、ありがとうございます♪(´ε` )


2020.03.27 11:11
都内SEさん 
(No.4)
SSOについて、まとめました。
こんな感じですね。
■クッキーを用いたSSOの場合
この場合、認証情報の連携はクッキーが有効な範囲に限られます。
大抵の場合、同一ドメイン内でしか有効ではないので、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。

■リバプロ型SSOの場合
この場合、ネットワーク構成の制約上、
同一ドメインでの認証情報連携を前提としているため、
異なるドメイン間でクッキーによるシングルサインオンは難しいということでしょう。
1つのリバースプロキシの先のバックエンドに、複数のドメインがあるようなケースって、
あまりないはずです。

■SAMLの場合
この場合、IdPとSPがアカウント情報(ID)を事前連携することで、
ドメインを超えて信頼の輪(Circle of trust)を築くことができます。
さらに、SOAPやHTTPのリダイレクト機能でIdPとSP間で
アサーション情報をやり取りする(1度だけ、ユーザによるIdPでの認証操作が必要)
ことで、クライアントはCircle of trust内の全SPへの
cookie(アクセス権)を入手できるわけです。
2020.05.02 12:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop