WordPress」カテゴリーアーカイブ

SAMLやOIDC認証のリバースプロキシで経由でWordPressへアクセス(Microsoft Entra IDとSSOで運用)

WordPressの脆弱性のセキュリティ・リスクを軽減する方法として、認証対応のリバースプロキシ経由でWordpressへアクセスさせる運用構成での対応が出来ます。

複数のリバースプロキシ経由でアクセスさせることにより

  • 負荷分散
  • 経路分散

を図り、サイトの安全性を高める運用も可能です。

 

 

 

リバースプロキシの構成

リバースプロキシは、ターゲットのWordpressの前段に配置します。リバースプロキシ先の

  • Webサイト名を隠蔽

することが出来ます。

WordPressがLAN内に設置の場合でも、リバースプロキシ経由でアクセスさせる運用に対応しています。

 

 

 

 

 

 

WordPressの改修不要

WordPress側に認証がない もしくは 認証を強化したい場合、リバースプロキシで認証を行うことで、リダイレクト先のWordPressへアクセス時の認証の強化を図ることが出来ます。その際にWordPress / Web の改修は不要です。

リバースプロキシの認証としては、Microsoft Entra IDなどのidP とシングルサインオン連携できるSAML認証やOIDC認証で行います。

 

 

対応のリバースプロキシ

リバースプロキシとしては、SAML / OIDC認証に対応のID認識型リバースプロキシ

 「Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

 

対応のidP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

アクセス手順(idPとリバースプロキシを連携)

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス
  3. idP の認証後にリバースプロキシ経由でバックエンドのWebサイトの表示

 

 

 

 

 

 

 

WordPress へSSO

WordPress側のWebを 「ID / パスワード」などの 認証で運用の場合、バースプロキシからWodrdPressのWebアプリケーションにユーザー情報「ID / パスワード」を代理入力&代理認証を行いシングルサインオンを構成する運用にも対応しています。

これにより、WodrdPressのWebアプリケーションを改修することなく、SSOに対応させることができます。

 

特徴

  1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
  2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
  3. 既存で運用の Webアプリを改修をすることなく、SSOを実現

 

 

idP連携のリバースプロキシからWebへ代理認証でのSSO

Microsoft Entra ID / idP と リバースプロキシはSAMLやOIDCで認証を行います。

 

 

 

 

 

 

 

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
   Azure ADはMicrosoft Entra IDに名称が変更となりました(機能は変更なし)

 

 

SSOに必要な機器

  1. idP
  2. SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. 既存のWeb / WordPress( 変更不要 )
  4. ブラウザ( プラグイン不要 )

 

 

SSO アクセス手順

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス
  3. idP の認証後にリバースプロキシからWordPressへ代理入力
  4. WordPressのWebへ自動ログイン

 

 

 

 

各種Webへのシングルサインオン

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

 

代理認証対応のリバースプロキシ導入のポイント

 

 

  1. SAMLやOIDC認証に未対応のWebをSSO化できる
  2. Webの改修不要
  3. WebのOS不問
  4. ユーザーからWebアプリへの ID / パスワード の入力操作は不要
  5. ユーザーへのWebアプリの ID / パスワードの公開は不要
  6. 一般的なブラウザで利用できる(プラグイン不要)

 

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

仮想アプライアンスのイメージでの提供により

  • 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

 

サーバーのセルフチェック機能により

  • 外部の監視サービスを利用しない運用にも対応

 

 

お問合せ

 

 

 

ご質問やご相談など