SAML認証対応リバースプロキシ
シングルサインオンの標準規格であるSAML認証に対応のSP(サービスプロバイダ)の機能を有するリバースプロキシ・アプライアンスです。
「idP」と連携してゼロトラスト対応の 「ID認識型リバースプロキシ」( IAP: Identity Aware Proxy ) として動作します。
ゼロトラストの構成
SAML対応の任意の「idP」(アイデンティ・プロバイダ)と連携
「idP」と「ID認識型リバースプロキシ」の構成で運用できます
エージェントなどは不要(リバース先のターゲットサーバーのOSは不問)
リバース先のターゲットサーバーの変更不要(プログラムのインストールや変更不要)
ユーザーアカウント不要
ユーザーアカウントはidP側のみに作成します。SP/Webサーバー側にはユーザーアカウントがないため、SP/Webサーバー側からのアカウント漏洩の心配はありません。
またグループアクセスでのコントロールに対応しています。
営業部・支店にアクセスを許可
管理職にアクセスを許可
社員・会員・代理店にアクセスを許可
ブラウザから利用
利用者はVPNやモバイル用の閉域網などは不要リバースプロキシはVPNのような高い負荷はかかりません
ブラウザのみで、社内のWebサイトへアクセス
主な機能
ID認識型リバースプロキシ(SAML2.0のSP機能付属リバースプロキシ)インターネットサーバー ( Mail / Web / DNS / ftp) 機能
などを自社管理の元、1台のアプライアンスで運用が出来ます。
対応のidP
SAML対応のidPとSPとして連携が出来ますAzure AD / G Suite / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / Keycloak / OpenAM 他
リバースプロキシ設定
複数のリバース先 / バックエンドの設定に対応リバース先のポート ( http / https / ポート番号 ) を指定に対応
ターゲットWebまでSSL通信での運用に対応
リバースプロキシーに Let's Encrypt の利用が可能
リバースプロキシやWeb機能
リバースプロキシの機能に加えて、Webサイトの機能も有しています。
マルチドメイン・マルチテナントに対応しており、仮想サイトごとに
リバースプロキシ
リバースプロキシ&Webサイト
Webサイト
の異なる運用が出来ます。
SAML認証のステップ
① ID認識型リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示
SSLクライアント認証&ID認識型リバースプロキシ
idP側の認証とは別に、社内へアクセスの際にはリバースプロキシ上に自社独自にSSLクライアント認証を設定することができます。
構成例
idP
ID認識型リバースプロキシ / SSLクライアント認証
SAML認証 + SSLクライアント認証 & リバースプロキシの運用構成
SSLクライアント認証のアクセスコントロール
部門によるアクセス制限
ユーザーによるアクセス制限
月曜日から金曜日 9時から18時 のみWebへのアクセスを許可
開発部と営業部にアクセスを許可
端末を紛失したAさんのSSLクライアント証明書でのアクセスを禁止
ワンタイムパスワード認証&ID認識型リバースプロキシ
idP側の認証とは別に、社内へアクセスの際にはリバースプロキシ上に自社独自にワンタイムパスワード認証を設定することができます。
SAML認証 + OTP認証 & リバースプロキシの運用構成
構成例
idP
ID認識型リバースプロキシ / ワンタイムパスワード認証
HA構成
ロードバランサーやGSLBやRoute53などのマルチAZでの運用SP / リバースプロキシの自動同期機能
シングルAZでの構成
シングルAZ + ロードバランサー
マルチAZでの構成
マルチリージョンでSP/リバースプロキシの冗長構成での運用リージョンA / 日本データセンタ
リージョンB / 米国データセンタ
| アプライアンスの運用先 |
対応の仮想環境
VMware/Hyper-Vなどの仮想環境に対応 
|
|
対応のクラウド環境
AWS・Azure・VPSなどのクラウド環境での運用
デモ
サーバーの操作や動作の確認が出来ます。