外部から社内で運用のWebDAVサーバーへシングルサインオンでアクセスさせる構成です。idPとしてはMicrosoft Entra ID および SPとしてはリバースプロキシを利用します。
WebDAVサーバーがSAML / OIDC 認証に未対応でも、リバースプロキシの代理入力によりシングルサインオンでの運用が出来ます。
  |
 |
idP連携のリバースプロキシからWebDAVへ代理認証でSSO
Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いWebDAVサーバーへのシングルサインオンを構成します。
「WebDAVシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
Azure ADはMicrosoft Entra IDに名称が変更となりました(機能は変更なし)
代理認証
SAML / OIDC認証に対応のリバースプロキシが代理認証を行います。ユーザーはブラウザから操作を行います。
 |
 |
✅ 利用者から WebDAVサーバー への「ID / パスワード」の入力操作不要
✅ 利用者への WebDAVサーバー の「ID / パスワード」の公開不要
✅ 既存WebDAVサーバー の改修不要
SSOに必要な機器
- idP
- SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
- WebDAV
- ブラウザ
idP
Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
 |
|
代理認証対応のリバースプロキシ
idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ
➡ 「Powered BLUE Reverse-Proxy with SSO 」
を利用します。
主な機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称
SSOの手順
- SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからWebDAVへアカウント情報を代理入力
- バックエンドのWebDAVへ自動ログイン
各種WebシステムへSSO
一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます。
既存の認証方法とSSOの併用
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
代理認証対応のリバースプロキシ導入のポイント
- SAMLやOIDC認証に未対応のWebをSSO化できる
- Webの改修不要
- WebのOS不問
- ユーザーからWebアプリへの ID / パスワード の入力操作は不要
- ブラウザで利用できる
リバースプロキシの運用先
オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応
仮想アプライアンスのイメージでの提供により
- 仮想サーバーのイメージインポートやオンプレミスでの運用に対応
✅ VMware / Hyper-V
✅ AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど
