WebをWAN側に設置して、iDaaSなどのidPの認証連携でシングルサインオンでAWS-EC2上で運用のWebサイトへアクセスさせる方法のご紹介です。
ゼロトラストでも利用されている、iDaaS/idPなどと連携できる「ID認識型Web」を組みわせることでシングルサイン・オンで自社のWebサイトへセキュアにアクセスさせることが出来ます。
ID管理のiDaaS/idP
ゼロトラストでも使われるiDaaSやID管理のソフトなどでidPを運用します
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suit / Keycloak / OpenAMなど
SSO対応Webの構成例
- idP / Azure AD を利用
- ID認識型Web / AWS-EC2 上で運用
ID認識型Webサーバー
iDaaSなどのidPとID認証連携できるWebサーバーを利用します。
ID認識型Webアプライアンスとして 「Powered BLUE Webアプライアンス」 を利用します。
Web アプライアンスの機能として
- ID認識型Webサーバー機能(マルチサイト / マルチドメイン対応)
- インターネットサーバー機能( Mail/Web/DNS/ftp )
- サーバーのモニタリング機能(ひとり情シス対応)
等を有しており、GUIからすべての設定や運用ができます。
任意のWebコンテンツを構築・運用が出来ます。またフリープラグインとして
- WordPress
- php 7.x
- Let’s Encrypt
- Web Mail ( RoundCube )
などのアプリも簡単に導入および利用ができます。
運用先
「Powered BLUE Webアプライアンス」は、AWSのAMIに対応。すぐに運用が可能です
- クラウド環境( AWS / Azure / 他)
運用例
- マルチドメイン・マルチテナント対応
- 仮想サイトごとに、異なる管理者にサイト権限を委譲で運用
idP側の設定
- idPへアカウントを作成
- SAML認証を有効
- アクセスポリシーを設定
ID認識型Webサイト側の設定
Webページを作成して、idPとの認証を設定します。WordPressでのWebページの作成にも対応しています。
- Webサイトの認証を設定したいディレクトリのSAML認証を有効
- Webサイト側にはユーザーアカウント不要
- Webサイトのグループアクセスコントロールに対応
シングルサインオンでの認証手順
① ID認識型Webサイトへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
冗長構成
ロードバランサーでの負荷分散やGSLBやRoute53などを利用してのマルチAZでの運用に対応
認証対応Webサーバーの同期を行います(Active-Activeでの運用に対応)
ロードバランサー配下での運用構成
複数の認証機能対応のWebサーバーで処理を行い高負荷にも対応
マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により、回線やデータセンターの耐障害性の向上
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
終わりに
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください