WebDAVサーバーがSAML / OIDC 認証に未対応でも、リバースプロキシの代理入力によりシングルサインオンでの運用が出来ます。

idP連携のリバースプロキシからWebDAVへ代理認証でSSO

Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いWebDAVサーバーへのシングルサインオンを構成します。

「WebDAVシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行います。ユーザーはブラウザから操作を行います。

利用者から WebDAVサーバー への「ID / パスワード」の入力操作不要
利用者への WebDAVサーバー の「ID / パスワード」の公開不要
既存WebDAVサーバー の改修不要

SSOに必要な機器

• idP
• SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
• WebDAV
• ブラウザ

idP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称

SSOの手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebDAVへアカウント情報を代理入力
4. バックエンドのWebDAVへ自動ログイン

各種WebシステムへSSO

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます。

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

代理認証対応のリバースプロキシ導入のポイント

• SAMLやOIDC認証に未対応のWebをSSO化できる
• Webの改修不要
• WebのOS不問
• ユーザーからWebアプリへの ID / パスワード の入力操作は不要
• ブラウザで利用できる

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

VMware / Hyper-V
AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

一般的なftpサーバーの構成では

• ftpクライアントから利用
• SSOに未対応
• セキュアなアクセスに未対応

となり、SSOでの運用はできません。

idPと連携のリバースプロキシにより、ブラウザを利用してSSOで運用します。

idP連携のリバースプロキシを利用

Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いftpサーバーへのシングルサインオンを構成します。

バックエンドのftpサーバーは、LAN / WANの任意の場所に設置

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行います。ユーザーは一般的なブラウザでの操作に対応しています。

利用者から ftpサーバー への「ID / パスワード」の入力不要
SSLラッパーにより、ftpサーバーへの通信の保護が可能
ブラウザでの操作に対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. ftp サーバー
4. ブラウザ（ プラグイン不要 ）

対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから ftp サーバーへユーザー情報を代理入力
4. バックエンドの ftp サーバーへ自動ログイン

各種WebシステムへSSO

一度のMicrosoft Entra ID / idP 認証で、複数のWebシステムへSSOでアクセスできます

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

仮想アプライアンスのイメージでの提供により

仮想サーバーのイメージインポートやオンプレミスでの運用に対応

VMware / Hyper-V
AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPS

ご質問やご相談など

認証方式	ID / パスワード認証	SAML認証 / OIDC認証
roundcube

roundcubeのシングルサインオン

シングルサインオン（SSO:Single Sign On）とは、最初にアプリケーションを利用する時に、一度idPでログイン認証をすれば、以降は全てのアプリケーションやWebサービスをidPへ再ログインなしに利用できる認証の仕組みのことです。

roundcubeをSAML認証やOIDC認証に対応させることで、idP連携のシングルサインオンで運用ができるようになります。

外部とネットワークが分離されているクローズドネットワーク内でのSSO運用にも対応しています。

roundcubeをidP連携のSSOで運用する場合は

1. 新規にSSO対応のroundcubeを導入して運用
2. 既存のroundcubeを改修不要のSSO化で運用

の2通りの方法があります。

１．新規にSSO対応のroundcubeの導入

Powered BLUE アプライアンスを利用することで、Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeをSSOで運用しながらメールサーバーやDNSなど機能をオールインワン（1台）で運用することが出来ます。

【Powered BLUE アプライアンス】

Mail / Web / DNSなどのインターネットサーバー機能を有する

　Powered BLUE アプライアンス

を利用します。

主な機能

SMTP / POP / IMAP	Mail-Box	DNS

SPF / DKIM / DMARC	Webサイト	Roundcube

【設定例】

適宜　SMTPやIMAPを有効化します

• 例　SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS を有効

• Roundcube / ウェブメールの有効化にチェック

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

• 例　user1 へ ウェブメールの使用を許可

送信ドメイン認証およびセキュア通信

• SPF / DKIM / DMARCに対応
• TLSに対応

【ロゴやスキン】

ロゴやスキンを設定できます

• 自社のロゴへ変更

• スキンの変更

デスクトップ用のスキン		スマートフォン用のスキン

【シングルサインオンでの構成】

• idPとSAML認証やOIDC認証でSSO
• 各種 idPと連携

 
対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD）
• keycloak
• GMOトラストログイン
• 他

idPとroundcubeはSAML認証やOIDC認証で接続

【RoundcubeとidP / Keycloak 連携時のシングルサインオン】

① Roudcube のログイン画面へアクセス

• 「Keycloakでログイン」を選択

② 初回は、idP / Keycloak へリダイレクトされて認証

• アカウント　demo@example.jp
• パスワード　xxxxxxxx

③ 認証後に　Roundcube のWebページが表示

【メールクライアントとの併用運用】

シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応

２．既存のroundcubeを改修不要のSSO化

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化を行います。既存で運用中の roundcubeの改修や設定変更は不要です。

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにもSSO対応

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から roundcubeへの「ID / パスワード」の入力不要
2. 利用者から「ID / パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD　* ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります（機能は同一）

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
4. バックエンドの roundcube へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のアプリへSSOでアクセスできます

SSLクライアント認証を追加（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. SSOでの認証（社外からのアクセス）

の併用など柔軟な運用が可能です。

【Powered BLUE アプライアンスの構成】

• OS  RedHat  / RockyLinux 対応
• Web / DNS / SMTP / IMAP / POP
• DKIM / DMARC / SPF（送信元ドメイン認証）

【Powered BLUE アプライアンスの簡単運用】

管理者の負担軽減での運用に対応

• サーバーの自己監視機能やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能
• GUIでのサーバーやアプリの設定

クローズドネットワークでの運用

idPやSPの自社運用により

• Keycloak / idP やroundcube / SP のネットワーク内での運用に対応

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

【Powered BLUE アプライアンスの運用先】

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALUTS / VPSなど

ご質問やご相談など

既存で運用のroundcube へSSOでアクセスする場合には、Keycloak やMicrosoft Entra ID ( 旧名称 Azure AD ) などのidPとSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオン（SSO）でアクセスさせます。LANに設置のroundcubeへの対応も可能です。

roundcubeの変更不要でSSO

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化に対応させます。既存で運用中の roundcubeの改修や設定変更は不要です。

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにも対応

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から roundcube への「ID / パスワード」の入力不要
2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD　* ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります（機能は同一）

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
4. バックエンドの roundcube へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

SSLクライアント認証を追加（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. SSOでの認証（社外からのアクセス）

の併用など柔軟な運用が可能です。

ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応しています

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理で運用が出来ます

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

KeycloakでSSOを実現する場合、ターゲットのアプリケーション側との認証の構成としては

1. フェデレーション
2. クライアントアダプター（エージェント）
3. 代理認証のリバースプロキシ

などがあります。ターゲットのアプリに合わせてSSOを構成します。

１．フェデレーション

アプリケーション側が、SAML認証やOIDC認証に対応していれば簡単にシングルサインオンが構成できます。メジャーなSaaSではフェデレーションに対応しているケースが多くあります。

アプリケーション側はSAML認証の場合には「SPの機能」もしくはOIDC認証の場合には「RPの機能」などを有しているので、Keycloakとアプリケーション間でシングルサインオンを構成します。

2．クライアントアダプター

アプリケーション側がSAML認証やOIDC認証に対応していない場合、Keycloakのクライアントアダプター（エージェント）をアプリケーション側に組み込み、SAMLのSP機能もしくはOIDCのRP機能で動作させることでシングルサインオンを構成します。

アプリケーション側には、クライアントアダプターを組み込む「改修が必要」となります。

3．代理認証のリバースプロキシ

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを「改修することなくSSOに対応」させることができます。LAN内に設置のWebアプリケーションにもアクセスができます。

SSO認証方式の比較

*1　Web以外も可能

認証の設定

フェデレーションの設定

Keycloak / idP 側

• 　Keycloakの設定
•     Keycloak / idP のメタデータをエクスポート
• 　ターゲット / SP側のメタデータをインポート

ターゲット / SP 側

• 　Keycloak / idP側のメタデータをインポート
•    ターゲット / SP側のメタデータをエクスポート

構成例

クライアントアダプターの設定

Keycloakで利用できる各種のクライアントアダプターが提供されています。

Keycloak / idP 側

• 　Keycloakの設定
•     アプリの登録

ターゲット / SP 側

• クライアントアダプターのインストール＆設定

構成例

代理認証のリバースプロキシの設定

SAML認証やOIDC認証に未対応のWebアプリケーションに対して、SAMLやOIDC認証の機能を有したリバースプロキシを利用して、リバースプロキシからWebアプリケーションにユーザー情報「ID / パスワード」を代理入力して認証までを行います。

Webアプリケーションを改修することなく、SSOに対応させることができます。

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. Webは改修不要
4. ブラウザのみで利用（プラグイン不要）

構成例

ターゲットの「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

代理認証のSSO手順

1. 代理認証のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

Powered BLUE リバースプロキシの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスは、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

ご質問やご相談など

KeycloakでのSSOシステム構成 パターン

Keycloakを利用した自社システムやSaaSのシングルサインオン構成

Powered BLUE アプライアンスとは

Powered BLUE アプライアンスは、Linuxベースの統合型アプライアンスです。Keycloakをはじめ、各種のOSSソフトウェアがプリインストールされています。

Powered BLUE アプライアンスを利用することで、Keycloakの導入や運用を簡単に行うことができます。またWebサイトやWordPress、roundcubeやMattermostなどの各種のサービスをシングルサインオンで運用できます。

SSO未対応Webは代理認証のリバースプロキシで対応

SAMLやOIDC認証に対応していない既存のWebアプリケーションについては、代理認証機能のリバースプロキシを利用することで、Webサイトの改修をすることなくシングルサインオンのメンバーとして組み込むことでSSOを実現します。

各種の機能に対応のPowered BLUE アプライアンス

• Keycloak / idP
• Mail / Web / DNS / ftp
• Web /  WordPress
• WebMail / roundcube
• ビジネスチャット / Mattermost
• 代理認証対応リバースプロキシ
• Private-CA (SSLクライアント証明書・発行・失効・認証）
• シスログサーバー

項目	Web	WebMail roundcube	ブログ WordPress	リバースプロキシ	代理認証リバースプロキシ SAML / OIDC 未対応WebのSSO
SSO対応 SAML / OIDC 認証

Keycloakアプライアンス（冗長構成に対応）

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

を利用出来ます。

Keycloak 設定

• データベース構成
• スタンドアローンやクラスター構成

クラスター構成

Mail / Web / DNS アプライアンス

インターネットサーバー機能のアプライアンスとして

　「Powered BLUE アプライアンス」

を利用出来ます。

項目	Web	MAIL	DNS	Firewall
機能
概要	SNI HSTS SSL証明書登録機能	SMTP/SMTPS POP/POPS IMAP/IMAPS DKIM/DMARC ドメイン認証	TXT SRV SPF	TCP/UDP ポート設定

SSO対応のWebサイトは

1. 一般的なコンテンツをアップロードのWebのサイト
2. WordPerssのWebサイト
3. roundcube / Webmail のWebサイト

の構築・運用に対応しています

一般的なWebサイト		WordPressのWebサイト		roundcubeのWebサイト
SSO		SSO		SSO

Keycloak でのSSO構成

• WebサイトにSAML / OIDC認証を設定

Webmail / roundcubeとKeycloak 連携時のシングルサインオン

1.  roudcube のログイン画面へアクセス
2.  初回は、idP / Keycloak へリダイレクトされて認証を求められます
3.  認証後に　roundcube のWebページが表示

代理認証対応リバースプロキシ・アプライアンス

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

代理認証対応のリバースプロキシでSSO

既存のWebサイトがSAMLやOIDC認証に未対応の場合、SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、既存のWebサイトを改修することなくSSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存Webは改修不要
4. ブラウザのみで利用（プラグイン不要）

構成

既存の「Webサイト」は WAN / DMZ / LAN の任意の場所の設置に対応しています
サードパーティ製のWebアプリや他社のWebサービスなどのSSO化も対応可能です

代理認証時のSSO手順

1. 代理認証のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

ビジネスチャット・オープンソース版のMattermost でSSO

Slack 互換のMattermostは、オンプレ環境にも対応の高機能なチャットツールです。ただしSAMLやOIDC認証によるシングルサインオンに関しては有償版での提供となっており、標準の場合にはオープンソース版のTeam Edition ではSSO利用ができません。

オープンソース版のMattermost でシングルサインオンを構成する方法

1. 代理認証対応のリバースプロキシ
2. WebサイトでのMattermostの構築・運用

を連携させてSSOを構成します

代理認証対応のリバースプロキシとMattermostを同一サイトで運用のSSO構成

• ReverseProxy + Mattermost = オールインワンで運用

代理認証対応のリバースプロキシとWebアプリのMattermostの分離運用も可能

Powered BLUE Private-CAアプライアンス

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　SSLクライアント認証

SSLクライアント認証で Keycloakへの多要素認証（MFA）

1. SSLクライアント認証
2. ID/パスワード認証

SSLクライアント認証　〇

SSLクライアント認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃への対応	ブロック　〇	ブロック

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」での設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

アプライアンスの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

Keycloak はRedHatによって開発された、1度の認証で複数のシステムを利用可能にするシングルサインオンの仕組みを実現できるオープンソースのアプリケーションです。

Keycloakと各種のアプリと連携してSSOを構成することができます。

運用環境

Keycloakは

• OS：Linux、Windows、macOS
• Java：Java （Quarkus）
• データベース：MySQL、PostgreSQL、Oracle

などの環境で動作します。

Quarkus対応

従来のWildflyからQuarkusへの変更により

1. 起動時間の大幅な短縮
2. 使用するリソースの縮小

が図られています（WildFlyは非推奨もしくは廃止予定です）

動作

動作させるだけであれば、OSにKeycloakをインストール・起動することで利用は可能です。

GUIアクセスのデフォルトのポートは

• LAN  http ( 80 / 8080 )
• WAN https （ 8443 ）

などになります。

実際

実際の運用に際しては

• セキュリティ
• 冗長構成
• バックアップ
• サービスの監視
• 管理者の負担
• SAMLやOIDCに未対応のWebアプリへのSSO対応

などを考慮する必要があります。

簡単セットアップ

Quarkus対応版のKeycloakを簡単にセットアップできて、管理者に負担をかけずにシングルサインオンの基盤を自社運用できるキットがKeycloakのアプライアンスです。

Keycloakへのアクセスは標準でSSLの「https / 443番」ポートに対応しています。

例　https : //  idp . keycloak . com /

DB設定やクラスター構成をはじめ、閉域網などでの運用にも対応しています。

Keycloakアプライアンス

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

の利用が可能です。

セットアップ

• GUIからKeycloakやサーバー設定に対応

• サーバーの設定（Network / Firewall / SELinux )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定や構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシとKeycloak 連携機能（1台での運用に対応）
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）
• パッチの自動適用

コマンドラインからのプログラムのインストールや設定は不要

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

スタンドアローンやクラスター構成　DBセットアップ

• データベース構成
• スタンドアローンやクラスター構成

• クラスター構成

SSLサーバー証明書の登録

• 自己証明書やパブリックなSSLサーバー証明書の登録も簡単

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

• バックアップやリストア機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーの自己監視機能や自動再起動機能により

• 外部の監視サービスを利用しない運用に対応

アプライアンスの運用環境

オンプレやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

keycloakのSSO対応

KeycloakでSSOを構成する方法

SSO対応の3方式

1．フェデレーション　/  アプリの改修は不要

SAMLやOIDC認証に対応のWebアプリケーションに適用

• KeycloakをidP /  WebアプリケーションをSPとして連携することでSSOを構成
• SAMLやOIDC認証に対応しているSaaSは、簡単にSSOを構成できます

SAMLやOIDC認証に対応していないWebアプリケーションに適用

すべてのアプリケーションがSSOに対応しているわけではありません。従来から運用のレガシーWebアプリは、SAMLやOIDC認証などのSSOに対応していないケースがほとんどです。

そのような場合の選択枝としては、以下の２つの方法が候補となります。

２．クライアントアダプター　Webの改修で対応

• 既存WebにKeycloakのクライアントアダプターを組み込んでSAMLやOIDCに対応
• Webの改修が必要

３．リバースプロキシを利用　Webは未改修で対応

• リバースプロキシを経由して、既存のWebへアクセスさせる
• Webの改修は不要です

既存のWebアプリケーションを改修することなく、Keycloak 連携のシングルサインオンで運用する方法として、SAMLやOIDC認証に対応の「代理認証のリバースプロキシ」を活用したSSO化が有効です。

代理認証のリバースプロキシを利用 / Webの改修不要でSSOを実現

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを改修することなく、SSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用のWebアプリを改修をすることなく、SSOを実現

idP連携のリバースプロキシからWebへ代理認証でのSSO

Keycloak / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

代理認証のSSOに必要な機器

1. idP　/  Keycloak
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

idP

Keycloakの他、SAML / OIDC認証をサポートの 一般的なidP にも対応

• Microsoft Entra ID　（ 旧名称 Azure AD )
• GMOトラストログイン
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 　*1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• ログの取得
• GUIから設定や運用　*2
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）
• パッチの自動適用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称
*2　コマンドラインからのプログラムのインストールや設定は不要

GUI設定

• SSO設定（ SAML認証の例 ）

代理認証でのSSOの手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

各種WebシステムへSSO

一度のKeycloak / idP認証で、複数のWebシステムへSSOでアクセスできます

Keycloakの多要素認証（MFA）

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　CRLを公開
• 　SSLクライアント認証

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. SSLクライアント認証
2. ID / Passwd認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃	ブロック　〇	ブロック

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

代理認証対応のリバースプロキシ導入のポイント

• SAMLやOIDC認証に未対応のWebをSSO化できる
• Webの改修不要
• WebのOS不問
• ユーザーからWebアプリへの ID / パスワード の入力操作は不要
• ユーザーへのWebアプリの ID / パスワードの公開は不要
• 一般的なブラウザで利用できる（プラグイン不要）
• 多要素認証に対応できる

Keycloakやリバースプロキシ・アプライアンスの構成

アプライアンスのGUIや操作・設定・運用方法は共通

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

Keycloakやリバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

Keycloakは、複数のアプリケーションやサービスへのログインを一度で行うことができ、ユーザーの登録や認証、権限管理、アクセス制御などの機能を提供するidP （ Identity Provider ）として動作するオープンソースのソフトウェアです。

構成のパーツ

desknet’sは変更不要

既存で運用中の desknet’s の改修や設定変更は不要です。

idP / Keycloak 連携・desknet’sへ代理入力のシングル・サインオン構成

KeycloakなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシで、代理認証を行いdesknet’sへのシングルサインオンを構成します。

* バックエンドの「desknet’s」は WANや LAN の任意の場所に設置での運用に対応
*「desknet’s」以外のWebアプリもSSO化に対応

パスワード管理

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から desknet’s への「ID / パスワード」の入力不要
2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. desknet’s（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

Keycloakを利用できます。

またKeycloak以外にも、SAML / OIDC認証をサポートの idP に対応しています

• Microsoft Entra ID （旧名称 Azure AD）
• GMOトラストログイン
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

Keycloakのアプライアンス　「Powered BLUE for idP 」も利用できます

Keycloakアプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　DB設定（シングル・クラスター構成）
• 　Keycloak のリバースプロキシ構成
• 　バックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから desknet’s へユーザー情報を代理入力
4. desknet’s へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

Keycloakの多要素認証 （ MFA ）

SSLクライアント認証でidPやリバースプロキシへの認証を強化の構成

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃への対応	ブロック　〇	ブロック

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 社内からのアクセス（従来の ID / パスワード認証）
2. 社外からのアクセス（SSOでの認証）

の併用など柔軟な運用が可能です。

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

ご質問やご相談など

Keycloakを利用したシングルサインオンは、利用者が複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。

ただし、すべてのWebアプリケーションがSAMLやOIDC認証に対応しているわけではありません。従来から運用のレガシーWebアプリは、SAMLやOIDC認証などのSSOに対応していないケースがほとんどです。

WebのSSO化

KeycloakでSAMLやOIDC認証に未対応の既存Webをシングルサインオンに対応させる場合には

などの方法があります。

新規でWebを作成する場合には、Keycloakクライアントアダプターの選択枝も容易です。既存で運用のWebへのSSO化には、Webの改修が必要となるためクライアントアダプターの導入は敷居が高くなります。

*1　Keycloakのバージョンにより、利用できるクライアントアダプターが異なります

既存Webは改修不要でSSO

既存のWebアプリケーションを改修することなく、Keycloak連携のシングルサインオンを構成する手法として、SAMLやOIDC認証に対応の

「代理認証のリバースプロキシ」

を活用したSSO化が有効です。

代理認証のリバースプロキシ

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを改修することなく、SSOに対応させることが可能です。

ポイント

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用のWebアプリを改修をすることなく、SSOを実現

Keycloak連携のリバースプロキシからWebへ代理認証でのSSO

Keycloak / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

SSOに必要な機器

1. idP / Keycloak
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb（ 変更不要 / エージェント不要 ）
4. ブラウザ（ プラグイン不要 ）

idP / Keycloak

• 一般的なKeycloakを利用できます
• KeycloakとリバースプロキシはSAMLやOIDC認証で接続します

Keycloakのアプライアンス　「Powered BLUE for idP 」も利用できます

Keycloakアプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　DB設定（シングル・クラスター構成）
• 　Keycloak のリバースプロキシ構成（1台での運用）
• 　バックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

代理認証機能のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• ログの取得
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称

SSOの手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ Keycloak /  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. Webへ自動ログイン

各種WebシステムへSSO

一度のKeycloak / idP認証で、複数のWebシステムへSSOでアクセスできます

Keycloakへの多要素認証（MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると操作は不要です

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃	ブロック　〇	ブロック

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

代理入力のリバースプロキシ導入のポイント

• SAMLやOIDC認証に未対応のWebをSSO化できる
• Webの改修不要
• WebのOS不問
• ユーザーからWebアプリへの ID / パスワード の入力操作は不要
• ユーザーへのWebアプリの ID / パスワードの公開は不要
• 一般的なブラウザで利用できる（プラグイン不要）
• 多要素認証に対応できる

アプライアンスの運用先

クラウド環境や仮想基盤など、自社管理で運用できます

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

Mattermostは、オープンソースのビジネスチャットツールです。Slackの代替としてよく知られており、1対1およびグループ間のメッセージ交換、ワークフロー管理、プロジェクトのタスク管理を行うことができます。Slackはクラウドサービスであるのに対して、Mattermostはクラウドの他にも、自社管理の仮想基盤やオンプレミスでの運用にも対応しています。

MattermostはOSS版での提供もあります。しかしSAML認証やOIDC認証によるシングルサインオンに関しては有償版での提供となっており、OSS版のTeam Edition では利用ができません。

このブログでは、idPとSAML/OIDC認証で連携する代理認証のリバースプロキシを利用して、OSS版のMattermostのTeam EditionでSSOを実現する方法について解説します。

SSOを構成することで、ユーザーはidPへ一度IDとパスワードを入力するだけで、OSS版のMattermostにログインできるようになります。これにより、ユーザーの利便性が向上し、運用コストの削減にもつながります。

主なidP

Keycloak		Microsoft Entra ID		GMO TrustLogin

ここでは、以下の手順でMattermost とkeycloakおよび代理認証のリバースプロキシでのSSOを説明します。

1. Mattermost の各種プラン
2. 代理認証に対応のリバースプロキシの解説
3. Keycloakとリバースプロキシの連携およびMattermostの構成 *
4. MattermostへのSSOの動作手順
5. Active Directory連携
6. SSLクライアント認証（多要素認証）
7. 閉域網での運用
8. オールインワン構成での運用

* Microsoft Entra ID（ 旧名称 Azure AD ）や一般的なidPの場合でも連携や運用手順は同一です

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition セルフホスト / OSS	Professional / 有償	Enterprise / 有償
idP連携 / SAML認証 OIDC認証

【Team Edition セルフホスト・プランの主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

• 費用を抑えて運用したい
• 自社環境で運用したい
• SaaS版は利用できない
• Slackから移行したい

などの場合には、Team Edition セルフホストプランにメリットがあります。

SAML / OIDC対応リバースプロキシ

無償版のTeam Edition を改修なしでidPと認証連携する方法としては、代理認証方式のリバースプロキシ経由でシングルサインオンを実現できます。

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用して構築します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

代理認証

idP と連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

MattermostのTeam EditionでidP連携のSSOで運用

ID / パスワード認証のMattermost Team Edition セルフホストプランをKeycloakなどのidP連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

* Mattermost以外のSAML / OIDC認証に未対応の「既存のWebシステム」も改修不要でSSOが可能

SSOに必要な機器構成

1. 　idP
2. 　SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホストプラン
4. 　ブラウザ（プラグイン不要）

 idP / Keycloak

KeycloakはSAMLやOIDC認証でリバースプロキシと接続します

Keycloakのアプラアインス　「Powered BLUE for idP 」も利用できます

Keycloakアプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　Keycloak のバックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

* Keycloak以外の一般的な SAML / OIDC認証 のidPとの連携にも対応。

Mattermost のSSO利用手順

1. リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからMattermostへ「ユーザー情報」を代理入力
4. Mattermostへ自動ログイン

各種Web システムへのSSO

一度の idP認証で、複数のシステムへSSOでアクセスできます

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

SSLクライアント認証の併用（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

クローズドネットワークでの運用

• インターネットから分離された閉域網での運用に対応
• 仮想アプライアンスのイメージを仮想環境へインポートに対応
• サーバーの自己監視機能により外部の監視サービスを利用しない運用に対応

リバースプロキシ + 代理入力 + Mattermost を1台で運用

1. SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
2. 代理認証
3. Mattermost  Team Edition セルフホストプラン

の機能を1個の仮想サイトで運用できるオールインワンの構成も対応しています

　Powered BLUE for Mattermost

SSO対応 Mattermost のオールインワン構成

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

製品についての、ご質問やご相談など