OpenID」カテゴリーアーカイブ

既存Webを改修不要でMicrosoft Entra ID連携のシングルサインオンを実現する方法

SSOは、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。これにより、ユーザーの利便性向上やセキュリティの向上が図れます。

しかし、すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用のレガシーWebアプリは、SAMLやOIDC認証などのSSOに対応していないケースがほとんどです。

そのような場合、Webアプリケーションを改修することなく、Microsoft Entra ID 連携のシングルサインオンで運用する方法として、SAMLやOIDC認証に対応の「代理入力のリバースプロキシ」を活用したSSO化が有効です。

 

Webの改修不要でSSOを実現

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Microsoft Entra ID / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを改修することなく、SSOに対応させることができます。

特徴

  1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
  2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
  3. 既存で運用のWebアプリを改修をすることなく、SSOを実現

 

 

idP連携のリバースプロキシからWeb代理認証でのSSO

Microsoft Entra ID / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
   Azure ADはMicrosoft Entra IDに名称が変更となりました(機能は変更なし)

 

SSOに必要な機器

  1. idP
  2. SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. 既存のWeb( 変更不要 )
  4. ブラウザ( プラグイン不要 )

 

idP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

代理認証対応のリバースプロキシ

 

 

 

 

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

 「Powered BLUE Reverse-Proxy with SSO

を利用します。

 

主な機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
  • SSLクライアント認証
  • ログの取得
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称

 

 

SSOの手順

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス
  3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

 

各種WebシステムへSSO

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

SSLクライアント認証の併用 / 多要素認証(MFA)

SSLクライアント認証でidPやリバースプロキシへの認証を強化

 

 

 

 

 

 

 

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

 

 

 

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP / IDaaS 連携によるSSO(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

ID / パスワード認証 SSO

 

代理認証対応のリバースプロキシ導入のポイント

 

 

  • SAMLやOIDC認証に未対応のWebをSSO化できる
  • Webの改修不要
  • WebのOS不問
  • ユーザーからWebアプリへの ID / パスワード の入力操作は不要
  • ユーザーへのWebアプリの ID / パスワードの公開は不要
  • 一般的なブラウザで利用できる(プラグイン不要)
  • 多要素認証に対応できる

 

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

 

 

 

 

仮想アプライアンスのイメージでの提供により

  • 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

 

 

 

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

 

 

お問合せ

 

 

 

ご質問やご相談など