エージェント方式 : Cookieを使うSSOの流れ

1. ユーザのログイン時にWebサーバが認証サーバに接続して認証を行う。
2. その認証情報をCookieに設定してユーザーに返す。
3. 別のWebサーバにアクセスする時は、Webサーバが認証サーバにCookieの情報で認証を行う。

Cookieを使うSSOでは、サービスのWebサーバにエージェントというソフトウェアを設定する必要があります。
そのため「エージェント方式」といいます。

エージェント方式におけるSSO認証処理のシーケンスは，次のとおりである。

1. PCからWebアプリケーションサーバに、サービス要求を行う。
2. Webアプリケーションサーバ内のエージェントは、サービス要求中のCookieに認証済資格情報（以下、アクセスチケットという）が含まれているか確認する。含まれていなければ，サービス要求はSSOサーバヘ[ イ : リダイレクト ]される。
3. SSOサーバからPCに、認証画面を送る。
4. PCからSSOサーバに、UserIDとPasswordを送出する。
5. SSOサーバは、UserIDとPasswordから利用者のアクセスの正当性を確認したら、アクセスチケットを発行して、Cookieに含めて応答を返す。サービス要求は、Webアプリケーションサーバヘ[ イ : リダイレクト ]される。
6. Webアプリケーションサーバ内のエージェントは、SSOサーバにアクセスチケット確認要求を送り、SSOサーバは、確認して応答を返す。
7. Webアプリケーションサーバは、6.の応答によって利用者のアクセスの正当性が確認できた場合、Webアプリケーション画面を送出する。

エージェント方式におけるSSO認証処理のシーケンスの1~7を図示すると，図2のようになる。

出典 : 平成27 年秋期 ネットワークスペシャリスト試験 午後Ⅰ

リバースプロキシを使うSSOの流れ

1. リバースプロキシがアクセスしてきたユーザを認証する。
2. リバースプロキシはWebサーバに代理アクセスし結果をユーザに返す。

IdPは、認証情報を管理するサービスです。

認証する(identify)サービスを供給する(provider)ので、「Identify Provider」、略してIdPです。

使うサービスがたくさんあると、その分IDやらパスワードやらの認証情報を管理しなくてはならなくなります。
IdPが、ユーザとサービスの間を仲介してくれることで1つの認証情報でたくさんのサービスを使うことができます。

また、ユーザを管理する人も1か所で管理できるので、ユーザの追加や削除が楽になりますね。

SAMLを使うSSOの流れ

1. ユーザがサービスに接続する
2. サービスがSAML認証要求をユーザを経てIdPに送信する
3. IdPの認証画面でユーザはログインすることで認証処理をする
4. IdPがSAML認証応答をユーザ経てサービスに送信する(SAMLアサーション)
5. ユーザがサービスにログインできる

シングルサインオンの実装方式の一つであるSAML認証の特徴はどれか。

1. IdP(Identity Provider)がSP(Service Provider)の認証要求によって利用者認証を行い，認証成功後に発行されるアサーションをSPが検証し，問題がなければクライアントがSPにアクセスする。<< 正解
2. Webサーバに導入されたエージェントが認証サーバと連携して利用者認証を行い，クライアントは認証成功後に利用者に発行されるcookieを使用してSPにアクセスする。
3. 認証サーバはKerberosプロトコルを使って利用者認証を行い，クライアントは認証成功後に発行されるチケットを使用してSPにアクセスする。
4. リバースプロキシで利用者認証が行われ，クライアントは認証成功後にリバースプロキシ経由でSPにアクセスする。

出典 : 令和3年 秋期 情報処理安全確保支援士 午前Ⅱ 問4

ぽんすけは、Chromeを使う時にChromeにログインしようとするとCloudGate UNOのログイン画面が表示されてログインするとChromeのアカウントにログインできます。

これは「CloudGate UNOというIdP」が「Google Workspaceというサービスプロバイダ」から認証要求を受けて「ぽんすけというクライアント」をSSOできるようにしているのです。
参考 : Google Workspace向けSSOサービス | CloudGate UNO（クラウドゲートウノ）