VPS」カテゴリーアーカイブ

KeycloakとAD認証やLDAP連携でSAML認証対応リバースプロキシ経由でWebへアクセス / ワンタイムパスワードやSSLクライアント認証やHAにも対応

idPとしてKeycloakとSSO認証に対応したリバースプロキシを組み合わせることで、社内Webアプリケーションに対し、安全なアクセス環境を提供できます。Keycloakは、ローカルユーザーの他に、ユーザーストレージ連携を有しており、LDAPやActive  Directoryなどのユーザーを認証することが出来ます。ワンタイムパスワード認証やSSLクライアント認証の併用やHA構成での運用にも対応しています。

社内のWebに関して

  • AD認証でアクセスしたい
  • LDAP認証でアクセスしたい
  • 終端のWebまでSSL通信でアクセスしたい(End-to-EndでのSSL通信)
  • ワンタイムパスワード認証でアクセスしたい
  • SSLクライアント認証で認証機能を強化したい

場合には、KeycloakはSAML認証対応リバースプロキシと組み合わせることで、上記のようなケースにおいてもターゲット側のアプリに大きな変更をかけずにセキュアなアクセス環境を構築できます。

 

Keycloak」と「SAML認証対応のリバースプロキシ」で構成します。

 

 

idP/Keycloak

idPとして、SAML認証に対応のkeycloakを利用します。

ローカルユーザー認証に加えて、ユーザーストレージ機能によるAD連携やLDAP連携を利用できます

 

Keycloakのアプライアンスを利用することもできます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif keycloak アプライアンス

 

GUIからサーバーや idP / Keycloak アプライアンスの操作や設定に対応

 

 

ID認識型のリバースプロキシ

SSO対応のリバースプロキシとして、SAML認証機能のリバースプロキシ・アプライアンス https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse-Proxy for SSO / IDaaS」を利用します。

特徴としては

  • SAML認証対応リバースプロキシ機能
  • SSLクライアント認証対応
  • ワンタイムパスワード認証
  • HA構成対応
  • End-to-End のSSL通信に対応
  • syslog対応

などの機能を有しているアプライアンスです。

AWSやAzure、VPSなどのクラウド環境やVMware / Hyper-Vなどの仮想環境での運用に対応しています。

 

AD認証+SSLクライアント認証時の構成

SAML認証対応のリバースプロキシに「SSLクライアント認証機能」を付与します

 

AD認証+ワンタイムパスワード認証時の構成

SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能」を付与します

 

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

 

アクセス時の手順

 

 

AD認証+SSLクラアイント認証+ワンタイムパスワード認証時の構成

SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能+SSLクライアント認証」を付与します

 

 

リバースプロキシの冗長構成

SAML認証対応のリバースプロキシをHA構成で運用します

Master側のSAML認証対応のリバースプロキシの設定内容が、Slave側のリバースプロキシに自動同期します。

HA構成時にワンタイムパスワード認証やSSLクライアント認証の併用もできます。

 

 

 

End-to-EndでのSSL通信

クライアント (https)  ⇒ リバースプロキシ (https) ⇒ ターゲットWeb  (https)

リバースプロキシの冗長化の場合も含めて、途中でSSL通信をターミネートすることなく、全通信経路でのSSL通信に対応しています。ターゲットWebがWAN側に設置の場合でもセキュアなアクセスが出来ます。

 

 

対応の運用先

  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境
  • VMware / Hyper-V / Nutanix などの仮想環境

 

 

デモ

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサーバー

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。