オンプレ環境のID / パスワード認証で運用のデスクネッツへ iDaaS / idP を利用して、SAML / OIDC認証対応のリバースプロキシ経由で代理認証を行いSSOでアクセスさせる構成です。
デスクネッツの改修不要でSSO
OIDCやSAML認証に対応していない ID / パスワード認証 のオンプレのデスクネッツ場合、idP と連携を行いシングルサインオンを行う手法として
- OIDC認証やSAML認証に対応のID認識型リバースプロキシ
を利用してユーザーの「代理認証」を行い、デスクネッツへシングルサインオンで運用します。既存で運用中のデスクネッツの改修は不要です。
Azure AD連携のリバースプロキシからデスクネッツへ代理入力&SSO
idPとしてMicrosoft Entra ID(旧名称 Azure AD)を利用時の構成
*「デスクネッツ」は WAN / DMZ / LAN の任意の場所の設置に対応しています
*「デスクネッツ」以外のWebアプリにも対応しています
* Azure ADはMicrosoft Entra IDに名称が変更となりました(機能は変更なし)
代理認証
OIDC / SAML認証に対応のリバースプロキシからデスクネッツへ「ID / パスワード」の代理入力を行います。
- ユーザーから「ID / パスワード」の入力不要
- ユーザーから「ID / パスワード」 漏洩リスクを低減
- デスクネッツを「SSOのメンバー」として構成
|
 |
SSOでの必要な機器構成
- idP
- SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
- デスクネッツ( 改修不要 )
- ブラウザ( プラグイン不要 )
idP
Microsoft Entra ID(旧名称 Azure AD)の他に
一般的なidPとして SAML / OIDC認証をサポートの
- GMOトラストログイン
- Keycloak
- 他
にも広く対応
idPとリバースプロキシはSAML認証やOIDC認証で接続
 |
  |
リバースプロキシの特徴
- バックエンドのWebを隠蔽
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
リバースプロキシ・アプライアンス
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ Microsoft Entra ID(旧 Azure AD) / idP へアクセス
- idP 認証後にリバースプロキシからへデスクネッツへ 「ID / パスワード 」代理入力
- デスクネッツへ自動ログイン
各種Web システムへのSSO
一度のMicrosoft Entra ID(旧 Azure AD) / idP認証で、複数のWebシステムへSSOでアクセスできます
SSLクライアント認証の併用(多要素認証)
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
| クライアント証明書 〇 | クライアント証明書 ✕ |
既存の認証方法とSSOの併用
既存で運用中のデスクネッツへのアクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
お問合せ
