社内に設置のSAMLやOIDC認証に未対応のWebサーバーに、GMOトラスト・ログイン(旧名称 TrustLogin) / idPと連携したSAML認証に対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行い、Webへシングルサインオンでアクセスする場合の構成です。
シングルサインオンとは、ユーザーが複数のアプリケーションにログインする際に、1度だけ認証を行うことで、すべてのアプリケーションにアクセスできます。SSOを利用することで、ユーザーはパスワードを記憶する必要がありません。
SAML認証に対応のWebアプリケーションの場合には、簡単にGMOトラストログインとSSOの構成を組むことができます。
ただし、すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用のWebアプリは、SSOに対応していないケースがほとんどです。
OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、GMOトラストログイン / iDaaS と連携を行いシングルサインオンを行う方法として
- OIDC認証やSAML認証に対応のID認識型リバースプロキシ
を利用して、ID/パスワ―ドの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンを構成します。
代理認証対応リバースプロキシでSSO
リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
- 既存Webの改修は不要
- WebシステムのOSにも依存しません
- ブラウザのプラグイン不要
代理認証
OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。
- ユーザーから「ID / パスワード」の入力不要
- ターゲットWebを「SSOのメンバー」として構成
GMOトラストログイン連携のリバースプロキシからWebへ代理入力&SSO
「GMOトラスト・ログイン」をIDプロバイダ(IdP)として、「ID認識型リバースプロキシ」をSAML認証のリバースプロキシ(SP)として連携することで、Webシステムへのシングルサインオンを実現できます。
ユーザーは、「GMOトラスト・ログイン」で一度認証を行うだけで、「ID認識型リバースプロキシ」を経由して、複数のWebシステムにセキュアかつ簡単にログインできるようになります。
「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
「サードパーティのWebアプリ」もSSO化で運用が可能です
SSOでの必要な機器
- GMOトラストログイン / idP
- SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWeb( 変更不要 )
- ブラウザ( プラグイン不要 )
連携のidP
idPとしては、GMOトラスト・ログインの他に
SAML / OIDC認証をサポートの一般的な idP
- Microsoft Entra ID(旧名称 Azure AD)
- Keycloak
- 他
にも対応
リバースプロキシ ( Identity-Aware Proxy:IAP )
リバースプロキシは、SAML / OIDC認証の代理入力機能のID認識型リバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
アプライアンス運用先
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシ(SP)へアクセス
- 初回のみ GMOトラスト・ログイン (idP)へアクセス
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
各種Web システムへのSSO
- 一度のGMOトラスト・ログイン / idP認証で、複数のWebシステム(SP)へSSOでアクセスできます
GMOトラスト・ログイン側の代理入力時の制限(SSO未対応)
GMOトラスト・ログイン が有している「SAML認証に未対応のWebアプリへの代理入力」機能も利用が可能です。
ただし、GMOトラストログイン側の代理入力を利用時には、以下の制限があります
- 代理入力のアプリはSSOにならない(SAML対応の他のアプリとSSO連携できない)
- ブラウザはプラグインが必要
- GMOトラスト・ログイン側からのアクセスのみに限定(リバースプロキシ側からのアクセスは不可)
GMOトラスト・ログインからの代理入力時の制限の回避策
上記の「GMOトラスト・ログインからの代理入力時の各種の制限」を回避する方法は
- GMOトラスト・ログイン側からの代理入力を行わない
- SAML / OIDC認証対応のID認識型リバースプロキシ側で代理入力を行う
代理入力時の比較
代理入力 | ユーザーの アクセス先 |
対応の ブラウザ |
ブラウザの プラグイン |
SAML未対応 WebのSSO化 |
GMOトラスト・ログイン | idPのみ | 制限あり | 必要 | ✖ |
ID認識型リバースプロキシ | idP Reverse-Proxy |
制限なし | 不要 | 〇 |
こんな場合に
- Webの改修不要でSSOを導入したい
- ユーザーにはブラウザのみで利用させたい
- 自社のWebサービスをSSOによりSaaS化したい
- サードパーティのWebアプリを改修不要のSSO化で利用したい
- VPNは負荷が高いので使用を控えたい