シングルサインオンとは、ユーザーが複数のアプリケーションにログインする際に、1度だけ認証を行うことで、すべてのアプリケーションにアクセスできる仕組みです。
ただし、すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用のWebアプリは、SAML認証やOIDC認証が実装されていないためSSOに対応していないことがほとんどです。
SAML / OIDC 未対応のWeb |
【代理認証でのSSO】
SAML認証やOIDC認証に未対応のWebに対しては、idPと連携のリバースプロキシを経由して、バックエンドのWebへリバースプロキシから ユーザー情報 を代理入力および代理認証をしてシングルサインオンで運用する構成をとることが出来ます。利用者からのバックエンドのWebへの ID / パスワードの入力は不要です。
リバースプロキシは、ID認識型プロキシ(IAP=Identity Aware Proxy)として動作しidPとSAML認証やOIDC認証で運用します。
SAML認証やOIDC認証に非対応のレガシーなWebシステムをシングルサインオンのメンバーとして構成してidPと認証連携でSSO運用できます。
* バックエンドのWebは LAN / WAN の任意の場所に設置が可能です
【必要な機器構成】
- idP (アイデンティティ・プロバイダー)
- SAML / OIDC 認証対応リバースプロキシ(ユーザー情報の代理入力機能)
- バックエンドのWeb(改修不要)
- ブラウザ(プラグイン不要)
【idP】
idPとしてはSAMLやOIDC認証に対応の一般的なIDaaS / idPに対応しています
- Microsoft Entra ID(旧名称 Azure AD)
- GMOトラストログイン
- Keycloak
- 他
などと連携が出来ます
【リバースプロキシ】
リバースプロキシの特徴
- バックエンドのWebのOSに依存せずに導入できる
- バックエンドのWebの改修不要
- ブラウザのみで利用できる
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- VPNなどに比べて帯域を圧迫せずに低負荷で運用できる
【リバースプロキシ・アプライアンス製品】
リバースプロキシは、SAML / OIDC認証に対応のリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
機能としては
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1)
- バックエンドWebへユーザー情報の代理入力機能
- SSLクライアント認証
を有しており、GUIから設定を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
【代理認証】
OIDC / SAML認証に対応のリバースプロキシからバックエンドのWebへ「ID / パスワード」の代理入力を行います。
- ユーザーから「ID / パスワード」の入力不要
- ユーザーから「ID / パスワード」 漏洩リスクを低減
- バックエンドのWebを「SSOのメンバー」として構成
【代理入力・SSOでの認証ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idPの認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
【各種Web システムへのSSO】
一度のidP認証で、複数のWebシステムへSSOでアクセスできます
【 SSLクライアント認証の併用(多要素認証)】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
【既存の認証方法とSSOの併用】
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
ID / パスワード認証 | SSO |
【こんなケースに適しています】
- Webの改修は不要でSSOを導入したい
- 自社のWebサービスをSSOによりSaaS化したい
- サードパーティのWebアプリをSSOで利用したい
- Webサービスへ多要素認証を適用したい
- Azure ADを利用しているので社内WebのSSO化を行いたい
- ユーザーには、Webアプリへの ID / パスワードの入力をさせない
- ユーザーには、Webアプリへの ID / パスワードを公開しない
- ブラウザのみで利用したい(プラグイン不要)
- VPNの負荷が高いので使用は避けたい
【お問合せ】