Keycloakを利用して自社のメール・Web・チャットなどをシングルサインオンで運用する構成例です。idPのKeycloakをはじめ、連携するSP側もオープンソースの製品を利用することで費用を抑えての導入や運用が可能です。
KeycloakでのSSOシステム構成 パターン
Keycloakを利用した自社システムやSaaSのシングルサインオン構成
Powered BLUE アプライアンスとは
Powered BLUE アプライアンスは、Linuxベースの統合型アプライアンスです。Keycloakをはじめ、各種のOSSソフトウェアがプリインストールされています。
Powered BLUE アプライアンスを利用することで、Keycloakの導入や運用を簡単に行うことができます。またWebサイトやWordPress、roundcubeやMattermostなどの各種のサービスをシングルサインオンで運用できます。
SSO未対応Webは代理認証のリバースプロキシで対応
SAMLやOIDC認証に対応していない既存のWebアプリケーションについては、代理認証機能のリバースプロキシを利用することで、Webサイトの改修をすることなくシングルサインオンのメンバーとして組み込むことでSSOを実現します。
各種の機能に対応のPowered BLUE アプライアンス
- Keycloak / idP
- Mail / Web / DNS / ftp
- Web / WordPress
- WebMail / roundcube
- ビジネスチャット / Mattermost
- 代理認証対応リバースプロキシ
- Private-CA (SSLクライアント証明書・発行・失効・認証)
- シスログサーバー
項目 | Web | WebMail roundcube |
ブログ WordPress |
リバースプロキシ | 代理認証リバースプロキシ SAML / OIDC 未対応WebのSSO |
SSO対応 SAML / OIDC 認証 |
✅ | ✅ | ✅ | ✅ | ✅ |
Keycloakアプライアンス(冗長構成に対応)
セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして
➡ 「Powered BLUE idP for Keycloak」
を利用出来ます。
Keycloak 設定
- データベース構成
- スタンドアローンやクラスター構成
クラスター構成
Mail / Web / DNS アプライアンス
インターネットサーバー機能のアプライアンスとして
を利用出来ます。
項目 | Web | DNS | Firewall | |
機能 | ✅ | ✅ | ✅ | ✅ |
概要 | SNI HSTS SSL証明書登録機能 |
SMTP/SMTPS POP/POPS IMAP/IMAPS DKIM/DMARC ドメイン認証 |
TXT SRV SPF |
TCP/UDP ポート設定 |
SSO対応のWebサイトは
- 一般的なコンテンツをアップロードのWebのサイト
- WordPerssのWebサイト
- roundcube / Webmail のWebサイト
の構築・運用に対応しています
一般的なWebサイト | WordPressのWebサイト | roundcubeのWebサイト | ||
SSO ✅ | SSO ✅ | SSO ✅ |
Keycloak でのSSO構成
- WebサイトにSAML / OIDC認証を設定
Webmail / roundcubeとKeycloak 連携時のシングルサインオン
- roudcube のログイン画面へアクセス
- 初回は、idP / Keycloak へリダイレクトされて認証を求められます
- 認証後に roundcube のWebページが表示
代理認証対応リバースプロキシ・アプライアンス
idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ
➡ 「Powered BLUE Reverse-Proxy with SSO 」
を利用します。
代理認証対応のリバースプロキシでSSO
既存のWebサイトがSAMLやOIDC認証に未対応の場合、SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。
これにより、既存のWebサイトを改修することなくSSOに対応させることができます。
特徴
- ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
- ユーザーには、Webアプリの「ID / パスワード」の公開は不要
- 既存Webは改修不要
- ブラウザのみで利用(プラグイン不要)
構成
既存の「Webサイト」は WAN / DMZ / LAN の任意の場所の設置に対応しています
サードパーティ製のWebアプリや他社のWebサービスなどのSSO化も対応可能です
代理認証時のSSO手順
- 代理認証のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
- バックエンドのWebへ自動ログイン
ビジネスチャット・オープンソース版のMattermost でSSO
Slack 互換のMattermostは、オンプレ環境にも対応の高機能なチャットツールです。ただしSAMLやOIDC認証によるシングルサインオンに関しては有償版での提供となっており、標準の場合にはオープンソース版のTeam Edition ではSSO利用ができません。
オープンソース版のMattermost でシングルサインオンを構成する方法
- 代理認証対応のリバースプロキシ
- WebサイトでのMattermostの構築・運用
を連携させてSSOを構成します
代理認証対応のリバースプロキシとMattermostを同一サイトで運用のSSO構成
- ReverseProxy + Mattermost = オールインワンで運用
代理認証対応のリバースプロキシとWebアプリのMattermostの分離運用も可能
Powered BLUE Private-CAアプライアンス
Private-CAのアプライアンスとして
を利用出来ます。
- Private-CA(SSLクライアント証明書の発行・失効)
- SSLクライアント認証
SSLクライアント認証で Keycloakへの多要素認証(MFA)
- SSLクライアント認証
- ID/パスワード認証
SSLクライアント認証 〇 | SSLクライアント認証 ✖ |
Keycloakではワンタイムパスワード認証も利用が出来ます。
- ワンタイムパスワード認証は、毎回「入力する」必要があります
- SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です
多要素認証の比較
認証 | SSLクライアント認証 | ワンタイムパスワード認証 |
認証操作 | 不要 | 毎回必要 |
判定のタイミング | ID / passwd 入力前に判定 | ID / passwd 入力後に判定 |
リスト攻撃への対応 | ブロック 〇 | ブロック ✖ |
Powered BLUE アプライアンスの基本構成
- OS RockyLinux / RedHat
- 各種のアプリ
- GUIでのサーバーやアプリの設定
管理者の負担軽減での運用
Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」での設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。
- サーバーの自己監視やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
クローズドネットワークでの運用
仮想アプライアンスのイメージでの提供により
- 仮想サーバーのイメージインポートやオンプレミスでの運用に対応
サーバーのセルフチェック機能により
- 外部の監視サービスを利用しない運用に対応
アプライアンスの運用先
オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど
お問合せ