認可の委譲

情報セキュリティマネジメント試験OAuth 2.0」の問題

情報セキュリティ対策・実装技術認可の委譲難易度:normal
利用者の資格情報を渡さずに、第三者アプリへ特定資源への限定的なアクセス権限を与える枠組みはどれか。
パスワードを渡さず、利用者の同意で発行されたトークンにより資源への限定アクセスを認可する枠組み。
利用者が確かに本人であることを証明する識別情報を相手に提示し、誰であるかを確認させる認証専用の枠組み。
経路上で通信内容を暗号化し、盗聴されても読み取られないようにするための枠組み。
知識や所持や生体など複数の要素を組み合わせて確認し、本人確認の強度を一段と高めるための枠組み。
正解
パスワードを渡さず、利用者の同意で発行されたトークンにより資源への限定アクセスを認可する枠組み。

OAuth 2.0は資源所有者の同意に基づき認可サーバがアクセストークンを発行し、第三者アプリはそれを用いて許可された範囲だけ資源へアクセスできる認可の枠組みである。

?選択肢ごとの解説

ア ○OAuth 2.0は資源所有者の同意に基づき認可サーバがアクセストークンを発行し、第三者アプリはそれを用いて許可された範囲だけ資源へアクセスできる認可の枠組みである。
イ ×利用者が誰かを証明するのは認証で、OAuthが主に担う認可とは目的の層が異なる。
ウ ×通信の暗号化はTLS等の役割で、権限委譲を扱うOAuthとは機能が別である。
エ ×複数要素で本人確認を強めるのは多要素認証で、資源への認可委譲を行うOAuthとは異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w3-0009

【情報セキュリティマネジメント試験】OAuth 2.0の問題と解答・解説|ukamiru 過去問