GMOトラストログイン / idP とSAML認証対応のリバースプロキシの組み合わせで、SAML認証に「未対応のWeb」システムへシングルサインオンでアクセスを行う構成です。
運用中のSAML認証に未対応のWebシステムなども、GMOトラストログインとのシングルサインでの一元的なコントロールができます。
 |
 |
バックエンドのWebには、SAML認証に対応の「ID認識型プロキシ」経由でアクセスします。
SAML認証に未対応のバックエンドのWebへ、リバースプロキシから
- 「 ユーザー情報 を代理入力」してシングルサインオンで運用
- ユーザー操作でのバックエンドのWebへの「 ID / パスワード入力は不要」
- バックエンドのWebをSSOのメンバーとして構成
【GMOトラストログイン・代理入力のシングル・サインオン構成】
- 「Webシステム」のOSに依存せずに導入できます
- 「Webシステム」は 改修不要
- 「Webシステム」は WAN / DMZ / LAN の任意の場所に設置できます
- ブラウザのみで利用(ブラウザのプラグイン不要)
SAML認証やOIDC認証を利用して
- 未対応のWebシステム
- レガシーなWebシステム
をGMOトラストログインのシングルサインオンのメンバーとして構成できます。
【機器の構成】
- GMOトラストログイン (アイデンティティ・プロバイダー)
- SAML 認証対応リバースプロキシ(ユーザー情報&代理入力機能)
- バックエンドのWeb(改修不要・OS不問)
- ブラウザ(プラグイン不要)
【パスワード管理】
GMOトラストログイン連携のリバースプロキシが代理認証を行うため
- 利用者側からの「 ID/パスワード」 の入力不要
- 利用者側からの「 ID/パスワード」 漏洩リスクを低減
|
|
【 idP / GMOトラストログイン 】
GMOトラストログインとリバースプロキシはSAML認証で連携設定します。
 |
* リバースプロキシ側の代理入力機能を利用します
* GMOトラストログイン側の代理入力機能は利用しません
* GMOトラストログイン側の代理入力機能を利用時の以下の制約はありません
- 代理入力時はSAMLに未対応(SAML対応の他のアプリとSSO連携できない)
- ブラウザのプラグインが必要
- GMOトラストログイン側からのアクセスに限定
【リバースプロキシの特徴】
- バックエンドのWebのOSに依存しない
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- ブラウザのみで利用できる(プラグイン不要)
【 SAML/OIDC認証 リバースプロキシ・アプライアンス 】
リバースプロキシは、SAML / OIDC認証に対応のリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
リバースプロキシ・アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 )
- バックエンドWebへユーザー情報の代理入力機能
- GUIからの設定および運用
機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。
【代理入力・SSOでの認証ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / GMOトラストログインへアクセス
- GMOトラストログイン の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
- バックエンドWebへ自動ログイン
【各種WebへのSSO】
一度のGMOトラストログインの認証で、複数のWebアプリへのシングルサインオン
【SSLクライアント認証の併用・多要素認証】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
 |
- idPとのSAML認証
- SSLクライアント認証
| クライアント証明書 〇 | クライアント証明書 ✕ |
【既存の認証方法とSSOの併用】
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード | SSO |