ID認識型プロキシ」カテゴリーアーカイブ

GMOトラストログインとSAML認証の代理入力対応リバースプロキシでWebへSSO / Webの改修不要 / ブラウザのプラグイン不要

社内に設置のSAMLやOIDC認証に未対応のWebサーバーに、GMOトラスト・ログイン(旧名称 TrustLogin) / idPと連携したSAML認証に対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行い、Webへシングルサインオンでアクセスする場合の構成です。

シングルサインオンとは、ユーザーが複数のアプリケーションにログインする際に、1度だけ認証を行うことで、すべてのアプリケーションにアクセスできます。SSOを利用することで、ユーザーはパスワードを記憶する必要がありません。

SAML認証に対応のWebアプリケーションの場合には、簡単にGMOトラストログインとSSOの構成を組むことができます。

 

 

 

ただし、すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用のWebアプリは、SSOに対応していないケースがほとんどです。

OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、GMOトラストログイン / iDaaS と連携を行いシングルサインオンを行う方法として

  • OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用して、ID/パスワ―ドの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンを構成します。

 

代理認証対応リバースプロキシでSSO

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

  1. 既存Webの改修は不要
  2. WebシステムのOSにも依存しません
  3. ブラウザのプラグイン不要

 

代理認証

OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。

  1. ユーザーから「ID / パスワード」の入力不要
  2. ターゲットWebを「SSOのメンバー」として構成

 

GMOトラストログイン連携のリバースプロキシからWebへ代理入力&SSO

「GMOトラスト・ログイン」をIDプロバイダ(IdP)として、「ID認識型リバースプロキシ」をSAML認証のリバースプロキシ(SP)として連携することで、Webシステムへのシングルサインオンを実現できます。

ユーザーは、「GMOトラスト・ログイン」で一度認証を行うだけで、「ID認識型リバースプロキシ」を経由して、複数のWebシステムにセキュアかつ簡単にログインできるようになります。

 

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
「サードパーティのWebアプリ」もSSO化で運用が可能です

 

 

SSOでの必要な機器

  1. GMOトラストログイン / idP
  2. SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. 既存のWeb( 変更不要 )
  4. ブラウザ( プラグイン不要 )

 

 

 

連携のidP

idPとしては、GMOトラスト・ログインの他に

SAML / OIDC認証をサポートの一般的な idP

  • Microsoft Entra ID(旧名称  Azure AD)
  • Keycloak

にも対応

 

リバースプロキシ ( Identity-Aware Proxy:IAP )

リバースプロキシは、SAML / OIDC認証の代理入力機能のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

アプライアンス運用先

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

代理入力のSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシ(SP)へアクセス
  2. 初回のみ GMOトラスト・ログイン (idP)へアクセス
  3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

  • 一度のGMOトラスト・ログイン / idP認証で、複数のWebシステム(SP)へSSOでアクセスできます

 

 

 

 

 

 

 

 

 

 

GMOトラスト・ログイン側の代理入力時の制限(SSO未対応)

GMOトラスト・ログイン が有している「SAML認証に未対応のWebアプリへの代理入力」機能も利用が可能です。

ただし、GMOトラストログイン側の代理入力を利用時には、以下の制限があります

 

 

 

 

  1. 代理入力のアプリはSSOにならない(SAML対応の他のアプリとSSO連携できない)
  2. ブラウザはプラグインが必要
  3. GMOトラスト・ログイン側からのアクセスのみに限定(リバースプロキシ側からのアクセスは不可)

 

 

GMOトラスト・ログインからの代理入力時の制限の回避策

 

 

 

 

上記の「GMOトラスト・ログインからの代理入力時の各種の制限」を回避する方法は

  1. GMOトラスト・ログイン側からの代理入力を行わない
  2. SAML / OIDC認証対応のID認識型リバースプロキシ側で代理入力を行う

 

代理入力時の比較

代理入力 ユーザーの
アクセス先
対応の
ブラウザ
ブラウザの
プラグイン
SAML未対応
WebのSSO化
GMOトラスト・ログイン idPのみ 制限あり 必要
ID認識型リバースプロキシ idP
Reverse-Proxy
制限なし 不要

 

こんな場合に

  • Webの改修不要でSSOを導入したい
  • ユーザーにはブラウザのみで利用させたい
  • 自社のWebサービスをSSOによりSaaS化したい
  • サードパーティのWebアプリを改修不要のSSO化で利用したい
  • VPNは負荷が高いので使用を控えたい

 

 

 

お問合せ

 

 

ご質問やご相談など