roundcubeは、オープンソースのウェブメールクライアントで、電子メールの受信、送信、管理を行う機能を有しておりブラウザから利用できます。標準では ID / パスワード認証のみに対応しています。
| 認証方式 | ID / パスワード認証 | SAML認証 / OIDC認証 |
| roundcube | ✅ | ✖ |
roundcubeのシングルサインオン
シングルサインオン(SSO:Single Sign On)とは、最初にアプリケーションを利用する時に、一度idPでログイン認証をすれば、以降は全てのアプリケーションやWebサービスをidPへ再ログインなしに利用できる認証の仕組みのことです。
roundcubeをSAML認証やOIDC認証に対応させることで、idP連携のシングルサインオンで運用ができるようになります。
外部とネットワークが分離されているクローズドネットワーク内でのSSO運用にも対応しています。
roundcubeをidP連携のSSOで運用する場合は
- 新規にSSO対応のroundcubeを導入して運用
- 既存のroundcubeを改修不要のSSO化で運用
の2通りの方法があります。
1.新規にSSO対応のroundcubeの導入
Powered BLUE アプライアンスを利用することで、Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeをSSOで運用しながらメールサーバーやDNSなど機能をオールインワン(1台)で運用することが出来ます。
【Powered BLUE アプライアンス】
Mail / Web / DNSなどのインターネットサーバー機能を有する
を利用します。
主な機能
| SMTP / POP / IMAP | Mail-Box | DNS |
| ✅ | ✅ | ✅ |
| SPF / DKIM / DMARC | Webサイト | Roundcube |
| ✅ | ✅ | ✅ |
【設定例】
適宜 SMTPやIMAPを有効化します
- 例 SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS を有効
- Roundcube / ウェブメールの有効化にチェック
ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます
- 例 user1 へ ウェブメールの使用を許可
送信ドメイン認証およびセキュア通信
- SPF / DKIM / DMARCに対応
- TLSに対応
【ロゴやスキン】
ロゴやスキンを設定できます
- 自社のロゴへ変更
 |
 |
- スキンの変更
 |
 |
|
| デスクトップ用のスキン | スマートフォン用のスキン |
【シングルサインオンでの構成】
- idPとSAML認証やOIDC認証でSSO
- 各種 idPと連携
対応のidP
SAML / OIDC認証をサポートの 一般的なidP に対応しています
- Microsoft Entra ID (旧名称 Azure AD)
- keycloak
- GMOトラストログイン
- 他
idPとroundcubeはSAML認証やOIDC認証で接続
 |
  |
【RoundcubeとidP / Keycloak 連携時のシングルサインオン】
① Roudcube のログイン画面へアクセス
- 「Keycloakでログイン」を選択
② 初回は、idP / Keycloak へリダイレクトされて認証
- アカウント demo@example.jp
- パスワード xxxxxxxx
③ 認証後に Roundcube のWebページが表示
【メールクライアントとの併用運用】
シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト
 |
 |
- Thunderbird
- Becky!
- 他
との併用での運用に対応
2.既存のroundcubeを改修不要のSSO化
既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化を行います。既存で運用中の roundcubeの改修や設定変更は不要です。
idP 連携・roundcubeへ代理入力のシングル・サインオン構成
Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。
* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにもSSO対応
代理認証
SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、
- 利用者から roundcubeへの「ID / パスワード」の入力不要
- 利用者から「ID / パスワード」漏洩リスクを低減
 |
 |
* SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応
SSOで利用する機器
- idP
- SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- roundcube(改修不要)
- ブラウザ( プラグイン不要 )
 |
 |
対応のidP
SAML / OIDC認証をサポートの 一般的なidP に対応しています
- Microsoft Entra ID (旧名称 Azure AD * )
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
|
|
* Azure AD はMicrosoft Entra IDに名称変更になります(機能は同一)
代理入力&代理認証のリバースプロキシ
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ
➡「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
リバースプロキシ・アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- GUIから設定や運用機能
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理認証のSSO利用ステップ
 |
- 代理認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
- バックエンドの roundcube へ自動ログイン
各種Web アプリへのSSO
一度のidP認証で、複数のアプリへSSOでアクセスできます
SSLクライアント認証を追加(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化できます
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
既存の認証方法とSSOの併用
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- SSOでの認証(社外からのアクセス)
の併用など柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
【Powered BLUE アプライアンスの構成】
- OS RedHat / RockyLinux 対応
- Web / DNS / SMTP / IMAP / POP
- DKIM / DMARC / SPF(送信元ドメイン認証)
【Powered BLUE アプライアンスの簡単運用】
管理者の負担軽減での運用に対応
- サーバーの自己監視機能やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
- GUIでのサーバーやアプリの設定
クローズドネットワークでの運用
idPやSPの自社運用により
- Keycloak / idP やroundcube / SP のネットワーク内での運用に対応
仮想アプライアンスのイメージでの提供により
- 仮想サーバーのイメージインポートやオンプレミスでの運用に対応
サーバーのセルフチェック機能により
- 外部の監視サービスを利用しない運用に対応
【Powered BLUE アプライアンスの運用先】
|
|
|
オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALUTS / VPSなど
お問合せ
