未分類」カテゴリーアーカイブ

AWS-EC2でSSOのWebサイトを構築運用 / ゼロトラスト連携

WebをWAN側に設置して、iDaaSなどのidPの認証連携でシングルサインオンでAWS-EC2上で運用のWebサイトへアクセスさせる方法のご紹介です。

ゼロトラストでも利用されている、iDaaS/idPなどと連携できる「ID認識型Web」を組みわせることでシングルサイン・オンで自社のWebサイトへセキュアにアクセスさせることが出来ます。

 

ID管理のiDaaS/idP

ゼロトラストでも使われるiDaaSやID管理のソフトなどでidPを運用します

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suit / Keycloak / OpenAMなど

 

SSO対応Webの構成例

  • idP / Azure AD を利用
  • ID認識型Web / AWS-EC2 上で運用

 

 

ID認識型Webサーバー

iDaaSなどのidPとID認証連携できるWebサーバーを利用します。

ID認識型Webアプライアンスとして https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Webアプライアンス」 を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

Web アプライアンスの機能として

  • ID認識型Webサーバー機能(マルチサイト / マルチドメイン対応)
  • インターネットサーバー機能( Mail/Web/DNS/ftp )
  • サーバーのモニタリング機能(ひとり情シス対応)

等を有しており、GUIからすべての設定や運用ができます。

任意のWebコンテンツを構築・運用が出来ます。またフリープラグインとして

  • WordPress
  • php 7.x
  • Let’s Encrypt
  • Web Mail ( RoundCube )

などのアプリも簡単に導入および利用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/wordpress-logo-stacked-rgb.png

 

運用先

Powered BLUE Webアプライアンス」は、AWSのAMIに対応。すぐに運用が可能です

  • クラウド環境( AWS / Azure / 他)

 

運用例

  • マルチドメイン・マルチテナント対応
  • 仮想サイトごとに、異なる管理者にサイト権限を委譲で運用

 

idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します。WordPressでのWebページの作成にも対応しています。

  • Webサイトの認証を設定したいディレクトリのSAML認証を有効
  • Webサイト側にはユーザーアカウント不要
  • Webサイトのグループアクセスコントロールに対応

 

シングルサインオンでの認証手順

①   ID認識型Webサイトへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示

 

冗長構成

ロードバランサーでの負荷分散やGSLBやRoute53などを利用してのマルチAZでの運用に対応
認証対応Webサーバーの同期を行います(Active-Activeでの運用に対応)

 

ロードバランサー配下での運用構成
複数の認証機能対応のWebサーバーで処理を行い高負荷にも対応

 

マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により、回線やデータセンターの耐障害性の向上

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

 

終わりに

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください