社内で運用中のオンプレミスの ID / パスワード認証の デスクネッツ に、社外から Keycloak とSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオン(SSO:Single Sign On)でアクセスする構成です。
Keycloakは、複数のアプリケーションやサービスへのログインを一度で行うことができ、ユーザーの登録や認証、権限管理、アクセス制御などの機能を提供するidP ( Identity Provider )として動作するオープンソースのソフトウェアです。
構成のパーツ
① idP | ② SP / 中継サーバー | ③ Webアプリ |
Keycloak | 代理認証機能のリバースプロキシ | desknet’s |
desknet’sは変更不要
既存で運用中の desknet’s の改修や設定変更は不要です。
idP / Keycloak 連携・desknet’sへ代理入力のシングル・サインオン構成
KeycloakなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシで、代理認証を行いdesknet’sへのシングルサインオンを構成します。
* バックエンドの「desknet’s」は WANや LAN の任意の場所に設置での運用に対応
*「desknet’s」以外のWebアプリもSSO化に対応
パスワード管理
SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、
- 利用者から desknet’s への「ID / パスワード」の入力不要
- 利用者から「ID/パスワード」漏洩リスクを低減
* SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応
SSOで利用する機器
- idP
- SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- desknet’s(改修不要)
- ブラウザ( プラグイン不要 )
対応のidP
Keycloakを利用できます。
またKeycloak以外にも、SAML / OIDC認証をサポートの idP に対応しています
- Microsoft Entra ID (旧名称 Azure AD)
- GMOトラストログイン
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
Keycloakのアプライアンス 「Powered BLUE for idP 」も利用できます
Keycloakアプライアンスの機能
- ウィザードによるKeycloakのセットアップ
- DB設定(シングル・クラスター構成)
- Keycloak のリバースプロキシ構成
- バックアップ、リストア、アップグレード
- SSLサーバー証明書登録 ( トラストストア対応 )
- keycloak へのアクセスポート( 80 / 443 )
- アクティブモニタ(サービス監視・再起動・管理者への通知)
- SSLクライアント認証
- GUIからの操作設定
代理入力&代理認証のリバースプロキシ
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
リバースプロキシ・アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- GUIから設定や運用機能
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理認証のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後にリバースプロキシから desknet’s へユーザー情報を代理入力
- desknet’s へ自動ログイン
各種Web アプリへのSSO
一度のidP認証で、複数のWebアプリへSSOでアクセスできます
KeycloakとActive Directory連携でのSSO
Active DirectoryとKeycloakを連携
- keycloakとActive Directoryの連携
- Keycloakとリバースプロキシは、SAML / OIDC認証
- リバースプロキシとWebは代理認証
Keycloakの多要素認証 ( MFA )
SSLクライアント認証でidPやリバースプロキシへの認証を強化の構成
SSLクライアント証明書 〇 | SSLクライアント証明書 ✕ |
Keycloakではワンタイムパスワード認証も利用が出来ます。
- ワンタイムパスワード認証は、毎回「入力する」必要があります
- SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です
多要素認証の比較
認証 | SSLクライアント認証 | ワンタイムパスワード認証 |
認証操作 | 不要 | 毎回必要 |
判定のタイミング | ID / passwd 入力前に判定 | ID / passwd 入力後に判定 |
リスト攻撃への対応 | ブロック 〇 | ブロック ✖ |
既存の認証方法とSSOの併用
アクセス元によりデスクネッツへの認証方法を変えることも出来ます。
- 社内からのアクセス(従来の ID / パスワード認証)
- 社外からのアクセス(SSOでの認証)
の併用など柔軟な運用が可能です。
ID / パスワード認証 | SSO |
アプライアンスの運用先
クラウド環境や仮想基盤、オンプレミスなど自社管理での運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど