SAML / OIDC認証に未対応のWeb |
社内に設置のSAMLやOIDC認証に未対応のWebサーバーに、Microsoft Entra ID(旧名称 Azure AD) / idPと連携したSAML認証やOIDC認証に対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行いシングルサインオンでアクセスする場合の構成例です。
Webは変更不要でSSO対応
OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う方法として
- OIDC認証やSAML認証に対応のID認識型リバースプロキシ
を利用して、ユーザーの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンを構成出来ます。
リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
運用に際して既存WebやWebアプリの改修は不要です。またWebシステムのOSにも依存しません。
Microsoft Entra ID連携の代理認証のリバースプロキシからWebへSSO
「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
Azure ADはMicrosoft Entra IDに名称が変更となりました(機能は変更なし)
代理認証
OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。*1
- ユーザーから「ID / パスワード」の入力不要
- ユーザーへの「ID / パスワード」の公開不要
- ターゲットWebを「SSOのメンバー」として構成
*1 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応
SSOでの必要な機器
- idP
- SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWeb( 変更不要 )
- ブラウザ( プラグイン不要 )
idP
idPとしては、Microsoft Entra ID(旧名称 Azure AD)の他に
SAML / OIDC認証をサポートの一般的な idP
- GMOトラストログイン
- Keycloak
- 他
との連携にも対応
idPとリバースプロキシはSAML認証やOIDC認証で接続
リバースプロキシの特徴
- バックエンドのWebを隠蔽
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
リバースプロキシ・アプライアンス製品
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *2 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*2 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ Microsoft Entra ID(旧 Azure AD) / idP へアクセス
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
各種Web システムへのSSO
一度のMicrosoft Entra ID(旧 Azure AD) / idP認証で、複数のWebシステムへSSOでアクセスできます
SSLクライアント認証の併用(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
SSLクライアント認証時のアクセスコントロール 例
- 組織や部門でのアクセス制限 ( 営業部にアクセス許可 )
- 曜日や時間帯でのアクセス制限 ( 月 – 金 / 9:00 – 18:00 はアクセス許可)
- 特定ユーザーでのアクセス制限 ( bad-user のアクセス制限 )
- 端末を紛失したAさんのアクセス禁止 ( user-A のアクセス禁止 )
既存の認証方法とSSOの併用
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
ID / パスワード認証 | SSO |
代理認証対応リバースプロキシ導入のポイント
- SAMLやOIDC認証に非対応のWebをSSO化できる
- Webの改修不要
- WebのOS不問
- ターゲットWebを隠蔽できる
- ユーザーからWebへの ID / パスワード の入力操作は不要
- ユーザーへのWebの ID / パスワードの公開は不要
- 一般的なブラウザから利用できる(プラグイン不要)
- 一般的なidPとSAMLやOIDC認証で連携できる
アプライアンス運用先
オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど
お問合せ