デスクネッツ」カテゴリーアーカイブ

社内のdesknet’sへKeycloak連携の代理認証リバースプロキシでシングルサインオンを実現

社内で運用中のオンプレミスの ID / パスワード認証の デスクネッツ に、社外から Keycloak とSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオン(SSO:Single Sign On)でアクセスする構成です。

 

 

Keycloakは、複数のアプリケーションやサービスへのログインを一度で行うことができ、ユーザーの登録や認証、権限管理、アクセス制御などの機能を提供するidP ( Identity Provider )として動作するオープンソースのソフトウェアです。

 

 

 

 

 

構成のパーツ

① idP ② SP / 中継サーバー ③ Webアプリ
Keycloak 代理認証機能のリバースプロキシ desknet’s

 

desknet’sは変更不要

既存で運用中の desknet’s の改修や設定変更は不要です。

 

 

 

 

 

idP / Keycloak 連携・desknet’sへ代理入力のシングル・サインオン構成

KeycloakなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシで、代理認証を行いdesknet’sへのシングルサインオンを構成します。

 

* バックエンドの「desknet’s」は WANや LAN の任意の場所に設置での運用に対応
*「desknet’s」以外のWebアプリもSSO化に対応

 

パスワード管理

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

  1. 利用者から desknet’s への「ID / パスワード」の入力不要
  2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

 

 

SSOで利用する機器

 

 

  1. idP
  2. SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. desknet’s(改修不要)
  4. ブラウザ( プラグイン不要 )

 

 

 対応のidP

Keycloakを利用できます。

またKeycloak以外にも、SAML / OIDC認証をサポートの idP に対応しています

  • Microsoft Entra ID (旧名称 Azure AD)
  • GMOトラストログイン

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

 

Keycloakのアプライアンス Powered BLUE for idP 」も利用できます

 

 

 

 

 

Keycloakアプライアンスの機能

  •    ウィザードによるKeycloakのセットアップ
  •  DB設定(シングル・クラスター構成)
  •  Keycloak のリバースプロキシ構成
  •  バックアップ、リストア、アップグレード
  •  SSLサーバー証明書登録 ( トラストストア対応 )
  •  keycloak へのアクセスポート( 80 / 443 )
  •  アクティブモニタ(サービス監視・再起動・管理者への通知)
  •     SSLクライアント認証
  •  GUIからの操作設定

 

代理入力&代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

 

 

代理認証のSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP へアクセス(シングルサインオン)
  3. idP の認証後にリバースプロキシから desknet’s へユーザー情報を代理入力
  4. desknet’s へ自動ログイン

 

 

 

 

 

 

 

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

 

 

 

 

 

 

 

 

KeycloakとActive Directory連携でのSSO

 

 

 

Active DirectoryとKeycloakを連携

  1. keycloakとActive Directoryの連携
  2. Keycloakとリバースプロキシは、SAML / OIDC認証
  3. リバースプロキシとWebは代理認証

 

 

Keycloakの多要素認証 ( MFA )

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化の構成

 

SSLクライアント証明書 〇 SSLクライアント証明書 ✕

 

 

 

 

 

 

 

Keycloakではワンタイムパスワード認証も利用が出来ます。

 

 

 

  1. ワンタイムパスワード認証は、毎回「入力する」必要があります
  2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

 

多要素認証の比較

認証 SSLクライアント認証 ワンタイムパスワード認証
認証操作 不要 毎回必要
判定のタイミング ID / passwd 入力前に判定 ID / passwd 入力後に判定
リスト攻撃への対応  ブロック   ブロック 

 

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

  1. 社内からのアクセス(従来の ID / パスワード認証)
  2. 社外からのアクセス(SSOでの認証)

の併用など柔軟な運用が可能です。

 

 

 

 

ID / パスワード認証 SSO

 

 

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理での運用に対応

 

 

 

 

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

お問合せ

 

 

 

ご質問やご相談など