SSLクライアント認証」カテゴリーアーカイブ

共有アカウントや特権アカウントのシングルサインオンを実現するリバースプロキシ / Webアプリの改修不要でSSO

共有アカウントの利用とセキュリティ確保の課題

企業内では、SNSアカウント、取引先のアカウント、オンラインバンキングのアカウントなど、複数のユーザーが共有アカウントや特権アカウントで各種のサービスを利用するケースが増加しています。しかしながら、このようなアカウントの利用はセキュリティ上のリスクを高める可能性があることは否めません。

共有アカウントや特権アカウントでは、認証に際して生体認証やスマートフォンなどの所持認証が使えずに「ID/パスワード認証」などの知識情報での利用に限定されるなど、セキュリティ上の制約が生じる場合があります。

このような運用形態では、社員の移動や退職などに伴うIDとパスワードの変更や告知作業、アクセスログの取得や確認などに支障をきたすことがあります。

 

 

 

共有アカウントや特権アカウントのシングルサインオン

シングルサインオン(SSO)は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。

企業では、idP / IDaaS やMicrosoft Entra ID(旧名称 Azure AD)の利用などでSSOの環境が整っているケースもあります。複数人で同じアカウントで共用するケースでは、SSOを利用することで

  1. セキュリティを強化
  2. トレーサビリティの強化
  3. ユーザーの負担軽減

をすることができます。

 

 

 

共通アカウントでのSSOの要件(N:1 や N:M)

共有アカウントや特権アカウントでWebアプリをSSOで構成する場合の要件としては

  • idP ではユーザーごとの個人認証
  • 既存のWebアプリは「共有アカウント」を利用
  • 既存のWebアプリは、改修不要でSSOに対応させる
  • アカウントは N:1  や N:Mでの紐付け
  • ユーザーには、Webアプリへの ID / パスワードの入力をさせない
  • ユーザーには、Webアプリへの ID / パスワードを公開しない
  • ブラウザのみでの利用(プラグイン不要)
  • 多要素認証に対応
  • ログで利用状況や利用者を特定できること

などです。

 

 

 

 

 

リバースプロキシでシングルサインオンを導入

既存で利用の共有アカウントのWebアプリへ、 idPと連携したSAMLやOIDC認証のリバースプロキシを活用することで、共有アカウントや特権アカウントのセキュリティ強化を実現することができます。

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

リバースプロキシのメリット

  • ID/パスワード認証に加えて、生体認証や多要素認証などの高度な認証方式を採用できる
  • Webアプリの改修をすることなくSSOを実現できる(エージェント不要)
  • ブラウザのみで利用できる(プラグイン不要)
  • Webアプリの隠蔽ができる
  • ユーザーのアクセス履歴を記録し、安全な運用を支援できる

 

 

SAML / OIDC認証に対応のリバースプロキシ

 

 

 

 

 

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

 「Powered BLUE Reverse-Proxy with SSO

を利用します。

 

アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
  • SSLクライアント認証
  • ログの取得
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称

 

共有アカウント&代理認証

SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントや特権アカウントの「ID / パスワード」を代理入力&代理認証を行います   *2

  1. アカウントはN:1 や  N:Mでの紐付け
  2. ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
  3. 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

 

 

idP連携のリバースプロキシから代理認証で共有アカウントへのSSO

ID / パスワード認証の「既存のWebサービス」を

  1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
  2. バックエンドの「Webサービス」は 改修不要  *3
  3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用する構成です

*3  サードパーティ製 Webアプリ や他社の サービス も改修不要で共有アカウントのSSO対応

 

 

SSOに必要な機器構成

 

  1.  idP
  2.  SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
  3.  既存のWebアプリ ( Webの改修は不要 )
  4.  ブラウザ(プラグイン不要)

 

 

idP

SAML / OIDC認証をサポートの 一般的なidP に対応

  • Microsoft Entra ID(旧名称  Azure AD)
  • GMOトラストログイン
  • Keycloak

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

共有アカウントや特権アカウントでのSSO手順
  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス「個人ユーザーでの認証」
  3. idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

SSLクライアント認証の併用(多要素認証 / MFA)

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

 

こんなケースに適しています

  • 共通のアカウントや特権アカウントで利用したいWebアプリがある
  • WebアプリへSSOでアクセスしたい
  • Webアプリ側の改修はできない
  • ユーザーにWebアプリの 「 ID / パスワード」を公開したくない
  • ユーザーにWebアプリの 「 ID / パスワード」を入力させたくない
  • Webアプリへのアクセスに多要素認証を適用したい
  • ブラウザのみで利用したい
  • ユーザーのアクセス状況を把握したい

 

 

アプライアンスの運用先

 

 

 

 

 

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先

 「Powered BLUE Reverse-Proxy with SSO

 

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

 

 

お問合せ

 

 

 

製品についての、ご質問やご相談など