Azure AD フォーム認証
社内LAN側に設置のSSO / シングルサインオンに未対応のID / パスワード入力を要求するWebサーバーに、Azure ADの「パスワードベースのシングルサインオン機能」を使って社外からSSOでアクセスする構成です。
LAN内のWebサイトへAzure ADからID / パスワードを自動で流しこみログインが出来ます。LAN内のWebサーバへのアクセスには、代理入力を中継できるリバースプロキシ / Reverse Proxyを利用します。
SMAL / SSOに対応していないアプリケーションにも、Azure ADのパスワードベースのシングル・サインオンを利用することでターゲットWebへ自動ログインが出来ます。
動作要件
- Azure AD / idP
- Microsoft Edge / Google Chrome ブラウザのみに対応(ブラウザの拡張機能モジュールが必要)
- リバースプロキシは、Azure AD / idP からの代理入力を中継してターゲットのWebへアクセスできること
- Web
ブラウザの拡張機能
「My Apps Secure Sign-in Extension 」をインストールします
サインイン 登録例
- param_1 アカウント
- param_2 パスワード
Azure AD からの代理入力で利用時の制限(Azure ADの仕様)
Azure ADの代理入力を利用時には、以下の制限があります
- SAML / OIDCに未対応(SAML / OIDC対応の他のアプリとSSO連携できない)
- 一つのアプリとして最大48名までのユーザー登録人数の制限
- Azure AD側にはアクセスログが記録されない
- ブラウザは限定&ブラウザのプラグインが必要
- Azure AD側からのアクセスのみに限定(リバースプロキシ側からのアクセスは不可)
Azure ADからの代理入力時の制限の回避策
上記の「Azure ADからの代理入力時の各種の制限」を回避する方法は
- Azure AD側からの代理入力を行わない
- Azure AD連携のSAML / OIDC認証対応のID認識型リバースプロキシ側で代理入力を行う
以下の方法で回避できます
回避方法 / ID認識型リバースプロキシを利用
リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証をサポートしている 「Powered BLUE Reverse Proxy for SSO/IDaaS」を利用できます。
- SAML / OIDC認証に対応の「ID認識型リバースプロキシ」
- SAML / OIDCに対応(SAML / OIDC対応の他のアプリとSSO連携できる)
- 一つのアプリとしてユーザー登録人数の制限はなし
- Azure AD側にもアクセスログが記録される
- 一般的なブラウザに対応(プラグインは不要)
- Azure ADおよびリバースプロキのどちらからもアクセスが出来る
ID認識型リバースプロキシの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理入力機能の比較(Azure AD とID認識型リバースプロキシ)
代理認証
SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ「ID / パスワード」を代理入力&代理認証を行います
- ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
- ID / パスワード認証のWebサービスをSSOのメンバーとして構成
idP連携のリバースプロキシからWebへ代理入力&SSO
ID / パスワード認証の「既存のWebサービス」を
- SAMLやOIDC認証のシングルサインオンのメンバーとして構成
- バックエンドの「Webサービス」は 改修不要
- バックエンドの「Webサービス」は LAN / WAN / DMZ の任意の場所に設置
に対応で運用します
SSOに必要な機器構成
- idP
- SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWebサービス ( Webの改修は不要 )
- ブラウザ(プラグイン不要)
idP
idPとしては、Microsoft Entra ID(旧名称 Azure AD)の他に
SAML / OIDC認証をサポートの 一般的なidP に対応
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
SSO時のアクセス
- SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
各種Web システムへのSSO
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
SSLクライアント認証の併用(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
ID認識型リバースプロキシのメリット
- SAMLやOIDC認証に非対応のWebをSSO化できる
- サードパーティのWebアプリをSSOで運用できる
- ID / パスワード の入力が不要
- Webの改修不要
- WebのOS不問
- 一般的なブラウザから利用できる(ブラウザのプラグイン不要)
- 他のWebアプリとSSOでアクセスできる
- SSO時にAzure AD側のアクセスログに記録される
- Webサービスへ多要素認証を適用出来る
- LAN内に設置のWebへアクセスできる
アプライアンス運用先
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
お問合せ