チャット」カテゴリーアーカイブ

KeycloakとMattermost (無償のセルフホストプラン)を利用してのSSO構成方法 / FIDO2生体認証でのパスワードレスにも対応

オンプレ環境での運用に対応しているOSSのSlack互換のチャットツールのMattermostですが、有償版と無償版の相違は機能や認証方式などです。

SAML認証やAD連携などの機能は有償のProfessionalやEnterpriseプランでの提供となっており、無償のTeam Edition セルフホストプランでは利用ができません。

 

 

 

【Mattermost 各種プラン】

Mattermost プラン / 費用 Team Edition
セルフホスト / 無償
Professional / 有償 Enterprise / 有償
idP連携 / SAML認証 OIDC認証

* Team Edition セルフホストはOSS版です

 

 

【Team Edition セルフホストプランの主な機能】

機能 内容
チーム数 無制限
ユーザー数 無制限
チャンネル数/ PlayBook数 無制限
HDD容量 無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数&ビュー 無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

 

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

  • 費用を抑えて運用したい
  • 自社の環境で運用したい
  • SaaSを利用できない
  • Slackから移行したい ( マイグレーション)

などの場合には、Team Edition セルフホストプランが利用できます。

 

 

 

 

 

【ID/パスワード認証のMattermost】

利用できるMattermostとしては

1)自社で構築のMattermost Team Edition セルフホストプラン

 

 

 

 

2)Mattermost Team Edition セルフホストプランが利用できるアプライアンス https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE for Mattermost」も選択が可能です。

 

 

【MattermostのセルフホストプランでidP / Keycloak 連携のSSOで運用】

ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidP / Keycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

  • Mattermostの改修は不要
  • Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

 

 

【代理認証】

idP / Keycloakと連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力&代理認証を行います。

  1.  ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
  2.  SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応

 

 

【必要な機器構成】

  1.  idP
  2.  SAML / OIDC認証機能のID認識型 リバースプロキシ( ユーザー情報の代理入力機能 )
  3.  Mattermost  Team Edition セルフホストプラン( ID / パスワード認証 )
  4.  ブラウザ(プラグイン不要)

 

 

 

 

【 idP / Keycloak】

KeycloakはSAMLやOIDC認証でリバースプロキシと接続します

  Keycloakのアプラアインス 「Powered BLUE for idP 」も利用できます

 

アプライアンスの機能

  •    ウィザードによるKeycloakのセットアップ
  •  Keycloak のバックアップ、リストア、アップグレード
  •  SSLサーバー証明書登録 ( トラストストア対応 )
  •  keycloak へのアクセスポート( 80 / 443 )
  •  アクティブモニタ(サービス監視・再起動・管理者への通知)
  •     SSLクライアント認証
  •  GUIからの操作設定

 

iDaaS / idPとしてSAML認証やOIDC認証をサポートの

  • Azure AD
  • GMOトラストログイン

なども利用が出来ます

 

 

 

リバースプロキシ・アプライアンス

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証
  • バックエンドのWebへユーザー情報の代理入力機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

 

 

 

MattermostへのSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Keycloak へアクセス
  3. idP / Keycloak の認証後にリバースプロキシから Mattermost へユーザー情報を代理入力
  4. Mattermostへ自動ログイン

 

 

 

 

【各種Web システムへのSSO】

一度の idP / Keycloak 認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

【SSLクライアント認証の併用(多要素認証 / MFA)

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

 

 

 

 

【FIDO2生体認証】

 

なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」でのパスワードレス認証の運用が出来ます。

スマートフォンのFIDO2対応の生体認証(顔認証や指紋認証)をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

  • 生体情報は「スマートフォン」内に保存&保護されます

 

 

 

 

 

 

 

【idP / Keycloak連携で代理入力&パスワードレスSSO運用時の構成】

 

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* ユーザー端末とidPはFIDO2の生体認証

 

 

Mattermostへのパスワードレス認証の利用ステップ

スマートフォン端末(指紋認証・顔認証)

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Keycloak へアクセス (IDのみ入力・パスワードレス
  3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
  4. Mattermostへ自動ログイン

 

 

 

 

 

PC端末(指紋認証)

 

FIDO2対応 USB接続の指紋認証器
  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Keycloak へアクセス (IDのみ入力・パスワードレス)
  3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
  4. Mattermostへ自動ログイン

 

 

 

 

【Mattermost のこんな使い方に】

  • 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない)
  • シングルサインオンで運用したい
  • パスワードレス認証で運用したい
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
  • VMware / Hyper-V などの仮想環境で運用したい
  • オンプレ環境で運用したい
  • 自社管理で運用したい
  • Slackから移行したい

 

 

【お問合せ】

 

 

 

ご質問やご相談など