フォーム認証」カテゴリーアーカイブ

Azure ADのパスワード代理入力を利用してリバースプロキシ経由で社内Webへ自動ログイン / パスワードベースのシングルサインオン

Azure AD フォーム認証

社内LAN側に設置のSSO / シングルサインオンに未対応のID / パスワード入力を要求するWebサーバーに、Azure ADの「パスワードベースのシングルサインオン機能」を使って社外からSSOでアクセスする構成です。

 

 

LAN内のWebサイトへAzure ADからID / パスワードを自動で流しこみログインが出来ます。LAN内のWebサーバへのアクセスには、代理入力を中継できるリバースプロキシ / Reverse Proxyを利用します。

 

SMAL / SSOに対応していないアプリケーションにも、Azure ADのパスワードベースのシングル・サインオンを利用することでターゲットWebへ自動ログインが出来ます。

 

動作要件

  1. Azure AD / idP
  2. Microsoft Edge / Google Chrome ブラウザのみに対応(ブラウザの拡張機能モジュールが必要)
  3. リバースプロキシは、Azure AD / idP からの代理入力を中継してターゲットのWebへアクセスできること
  4. Web

 

 

ブラウザの拡張機能

「My Apps Secure Sign-in Extension 」をインストールします

 

サインイン  登録例

  • param_1  アカウント
  • param_2  パスワード

 

 

 

Azure AD からの代理入力で利用時の制限(Azure ADの仕様)

Azure ADの代理入力を利用時には、以下の制限があります

 

 

 

 

  1. SAML / OIDCに未対応(SAML / OIDC対応の他のアプリとSSO連携できない)
  2. 一つのアプリとして最大48名までのユーザー登録人数の制限
  3. Azure AD側にはアクセスログが記録されない
  4. ブラウザは限定&ブラウザのプラグインが必要
  5. Azure AD側からのアクセスのみに限定(リバースプロキシ側からのアクセスは不可)

 

 

Azure ADからの代理入力時の制限の回避策

 

 

 

 

上記の「Azure ADからの代理入力時の各種の制限」を回避する方法は

  1. Azure AD側からの代理入力を行わない
  2. Azure AD連携のSAML / OIDC認証対応のID認識型リバースプロキシ側で代理入力を行う

 

 

以下の方法で回避できます

 

 

回避方法 / ID認識型リバースプロキシを利用

リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証をサポートしている Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用できます。

  • SAML / OIDC認証に対応の「ID認識型リバースプロキシ」

 

 

 

 

  1. SAML / OIDCに対応(SAML / OIDC対応の他のアプリとSSO連携できる)
  2. 一つのアプリとしてユーザー登録人数の制限はなし
  3. Azure AD側にもアクセスログが記録される
  4. 一般的なブラウザに対応(プラグインは不要)
  5. Azure ADおよびリバースプロキのどちらからもアクセスが出来る

 

 

ID認識型リバースプロキシの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

 

代理入力機能の比較(Azure AD とID認識型リバースプロキシ)

製品 Azure AD
パスワードベースの代理入力		 Powered BLUE
ID認識型リバースプロキシ
代理入力
Web認証形式 Form 認証 Form 認証
SSO
 SAML認証
    OIDC認証
ブラウザ 対応のブラウザに制限
プラグイン必要		 一般的なブラウザ
( プラグイン不要 )
ユーザー数 idPアプリへの登録者数は 48まで idPアプリへの登録者数 制限なし
アクセス先 idP ポータルに限定 idP および SP
アクセスログ 記録されない 〇( 記録される )

 

 

代理認証

SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ「ID / パスワード」を代理入力&代理認証を行います

  1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
  2. ID / パスワード認証のWebサービスをSSOのメンバーとして構成

 

 

idP連携のリバースプロキシからWeb代理入力&SSO

ID / パスワード認証の「既存のWebサービス」を

  1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
  2. バックエンドの「Webサービス」は 改修不要
  3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用します

 

 

 

SSOに必要な機器構成

  1.  idP
  2.  SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
  3.  既存のWebサービス ( Webの改修は不要 )
  4.  ブラウザ(プラグイン不要)

 

 

idP

 

 

 

 

 

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

 

 

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

 

SSO時のアクセス

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス(シングルサインオン)
  3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

 

 

SSLクライアント認証の併用(多要素認証 / MFA)

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

 

 

 

 

 

ID認識型リバースプロキシのメリット

 

 

  • SAMLやOIDC認証に非対応のWebをSSO化できる
  • サードパーティのWebアプリをSSOで運用できる
  • ID / パスワード の入力が不要
  • Webの改修不要
  • WebのOS不問
  • 一般的なブラウザから利用できる(ブラウザのプラグイン不要)
  • 他のWebアプリとSSOでアクセスできる
  • SSO時にAzure AD側のアクセスログに記録される
  • Webサービスへ多要素認証を適用出来る
  • LAN内に設置のWebへアクセスできる

 

 

アプライアンス運用先

 

 

 

 

 

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

 

お問合せ

 

 

 

ご質問やご相談など