企業では、取引先が提供するWebサービスや社内システムなどのアカウントを、複数のユーザーで共有するケースがあります。
共有アカウントでは、認証に際して生体認証やスマートフォンなどの個人の所持認証が使えずに「ID/パスワード認証」などの知識情報での利用に限定されるなど、セキュリティ上の制約が生じる場合があります。
またWebサービスがシングルサインオンに対応していない場合、ユーザーは毎回IDとパスワードを入力する必要があります。社員の移動や退職などに伴うIDとパスワードの変更や告知作業をはじめ、ID/パスワードの漏洩のリスクも生じます。さらに共通アカウントでのアクセスでは、どのユーザーが利用したのかを判別しにくいという問題もあります。
これらの課題を解決するために、Microsoft Entra IDと代理認証機能のリバースプロキシを活用した共有アカウントのSSO化が有効です。
共有アカウントでのシングルサインオン
シングルサインオン(SSO)は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。
企業では、idP / IDaaS やMicrosoft Entra ID(旧名称 Azure AD)の利用などでSSOの環境が整っているケースもあります。複数人で同じアカウントを共用するケースでは、idPと連携してSSO化を行い
- セキュリティを強化
- トレーサビリティの強化
- ユーザーの負担軽減
を図ることができます。
共通アカウントでのシングルサインオンの要件(N:1 や N:M)
idPと連携できないSAML/OIDC認証に未対応のWebサイトの共有アカウントをSSOで構成させる際の要件としては
- idP ではユーザーごとの個人認証
- 既存のWebサイトは「共有アカウント」を利用
- 既存のWebサイトは、改修不要でSSOに対応させる
- アカウントは N:1 や N:Mでの紐付け
- ユーザーには、Webサイトへの ID / パスワードの入力をさせない
- ユーザーには、Webサイトへの ID / パスワードを公開しない
- ブラウザのみでの利用(プラグイン不要)
- 多要素認証に対応
- ユーザーの利用状況や利用者を特定できること
などです。
Webサイトの改修不要で共有IDのSSO化
既存で利用の共有アカウントのWebへ、 idPと連携したSAMLやOIDC認証のリバースプロキシ経由でアクセスすることで、共有アカウントのSSO化を実現することができます。
リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
リバースプロキシのメリット
- ID/パスワード認証に加えて、生体認証や多要素認証などの高度な認証方式を採用できる
- Webアプリの改修をすることなくSSOを実現できる(エージェント不要)
- ブラウザのみで利用できる(プラグイン不要)
- ユーザーのアクセス履歴を記録し、安全な運用を支援できる
SAML / OIDC認証に対応のリバースプロキシ
idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ
「Powered BLUE Reverse-Proxy with SSO 」
を利用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
- SSLクライアント認証
- ログの取得
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称
共有アカウント&代理認証
SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントや特権アカウントの「ID / パスワード」を代理入力&代理認証を行います *2
- アカウントはN:1 や N:Mでの紐付け
- ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
- 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成
*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応
idP連携のリバースプロキシから代理認証で共有アカウントへSSO
ID / パスワード認証の「既存のWebサービス」を
- SAMLやOIDC認証のシングルサインオンのメンバーとして構成
- 既存の「Webサービス」は 改修不要 *3
- 既存の「Webサービス」は LAN / WAN / DMZ の任意の場所に設置
に対応で運用する構成です。
*3 サードパーティ製 Webアプリ や他社の サービス も改修不要で共有アカウントのSSO対応
SSOに必要な機器構成
- idP
- SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWebアプリ ( Webの改修は不要 )
- ブラウザ(プラグイン不要)
idP
SAML / OIDC認証をサポートの 一般的なidP に対応
- Microsoft Entra ID(旧名称 Azure AD)
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
共有アカウントでのSSO手順
- SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
- 初回のみ idP へアクセス「個人ユーザーでの認証」
- idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
- 共有アカウントのWebへ自動ログイン
各種Web システムへのSSO
一度の idP認証で、複数のWebシステムへSSOでアクセスできます。
SSLクライアント認証の併用(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
SSLクライアント認証時のアクセスコントロール 例
- 組織や部門でのアクセス制限 ( 営業部にアクセス許可 )
- 曜日や時間帯でのアクセス制限 ( 月 – 金 / 9:00 – 18:00 はアクセス許可)
- 特定ユーザーでのアクセス制限 ( bad-user のアクセス制限 )
- 端末を紛失したAさんのアクセス禁止 ( user-A のアクセス禁止 )
こんな場合に適しています
- 共通のアカウントで利用したいWebサイトがある
- WebサイトへSSOでアクセスしたい
- Webサイト側の改修はできない
- ユーザーにWebサイトの 「 ID / パスワード」を公開したくない
- ユーザーにWebサイトの 「 ID / パスワード」を入力させたくない
- Webサイトへのアクセスに多要素認証を適用したい
- ブラウザのみで利用したい(プラグイン不要)
- ユーザーの利用状況を把握したい
アプライアンスの運用先
idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先
「Powered BLUE Reverse-Proxy with SSO 」
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
お問合せ