WebDAVサーバーがSAML / OIDC 認証に未対応でも、リバースプロキシの代理入力によりシングルサインオンでの運用が出来ます。

idP連携のリバースプロキシからWebDAVへ代理認証でSSO

Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いWebDAVサーバーへのシングルサインオンを構成します。

「WebDAVシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行います。ユーザーはブラウザから操作を行います。

利用者から WebDAVサーバー への「ID / パスワード」の入力操作不要
利用者への WebDAVサーバー の「ID / パスワード」の公開不要
既存WebDAVサーバー の改修不要

SSOに必要な機器

• idP
• SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
• WebDAV
• ブラウザ

idP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称

SSOの手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebDAVへアカウント情報を代理入力
4. バックエンドのWebDAVへ自動ログイン

各種WebシステムへSSO

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます。

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

代理認証対応のリバースプロキシ導入のポイント

• SAMLやOIDC認証に未対応のWebをSSO化できる
• Webの改修不要
• WebのOS不問
• ユーザーからWebアプリへの ID / パスワード の入力操作は不要
• ブラウザで利用できる

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

VMware / Hyper-V
AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

一般的なftpサーバーの構成では

• ftpクライアントから利用
• SSOに未対応
• セキュアなアクセスに未対応

となり、SSOでの運用はできません。

idPと連携のリバースプロキシにより、ブラウザを利用してSSOで運用します。

idP連携のリバースプロキシを利用

Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いftpサーバーへのシングルサインオンを構成します。

バックエンドのftpサーバーは、LAN / WANの任意の場所に設置

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行います。ユーザーは一般的なブラウザでの操作に対応しています。

利用者から ftpサーバー への「ID / パスワード」の入力不要
SSLラッパーにより、ftpサーバーへの通信の保護が可能
ブラウザでの操作に対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. ftp サーバー
4. ブラウザ（ プラグイン不要 ）

対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから ftp サーバーへユーザー情報を代理入力
4. バックエンドの ftp サーバーへ自動ログイン

各種WebシステムへSSO

一度のMicrosoft Entra ID / idP 認証で、複数のWebシステムへSSOでアクセスできます

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

仮想アプライアンスのイメージでの提供により

仮想サーバーのイメージインポートやオンプレミスでの運用に対応

VMware / Hyper-V
AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPS

ご質問やご相談など

複数のリバースプロキシ経由でアクセスさせることにより

• 負荷分散
• 経路分散

を図り、サイトの安全性を高める運用も可能です。

リバースプロキシの構成

リバースプロキシは、ターゲットのWordpressの前段に配置します。リバースプロキシ先の

• Webサイト名を隠蔽

することが出来ます。

WordPressがLAN内に設置の場合でも、リバースプロキシ経由でアクセスさせる運用に対応しています。

WordPressの改修不要

WordPress側に認証がない　もしくは　認証を強化したい場合、リバースプロキシで認証を行うことで、リダイレクト先のWordPressへアクセス時の認証の強化を図ることが出来ます。その際にWordPress / Web の改修は不要です。

リバースプロキシの認証としては、Microsoft Entra IDなどのidP とシングルサインオン連携できるSAML認証やOIDC認証で行います。

対応のリバースプロキシ

リバースプロキシとしては、SAML / OIDC認証に対応のID認識型リバースプロキシ

　「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

対応のidP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

アクセス手順（idPとリバースプロキシを連携）

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシ経由でバックエンドのWebサイトの表示

WordPress へSSO

WordPress側のWebを 「ID / パスワード」などの 認証で運用の場合、バースプロキシからWodrdPressのWebアプリケーションにユーザー情報「ID / パスワード」を代理入力＆代理認証を行いシングルサインオンを構成する運用にも対応しています。

これにより、WodrdPressのWebアプリケーションを改修することなく、SSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用の Webアプリを改修をすることなく、SSOを実現

idP連携のリバースプロキシからWebへ代理認証でのSSO

Microsoft Entra ID / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
   Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

SSOに必要な機器

1. idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb / WordPress（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

SSO アクセス手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWordPressへ代理入力
4. WordPressのWebへ自動ログイン

各種Webへのシングルサインオン

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます

代理認証対応のリバースプロキシ導入のポイント

1. SAMLやOIDC認証に未対応のWebをSSO化できる
2. Webの改修不要
3. WebのOS不問
4. ユーザーからWebアプリへの ID / パスワード の入力操作は不要
5. ユーザーへのWebアプリの ID / パスワードの公開は不要
6. 一般的なブラウザで利用できる（プラグイン不要）

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用にも対応

お問合せ

ご質問やご相談など

GoogleやYahooなどの受信先が「送信ドメイン認証」のチェックを行っている場合には、送信する全てのメールは、

• 送信ドメイン認証（SPF、DKIM、DMARC）
• TLS通信（暗号化通信）

に対応することが必要となります。

「送信ドメイン認証」の3つの技術

１．SPF（Sender Policy Framework）

SPFは、送信元メールサーバのIPアドレスを認証する技術です。送信元ドメインの管理者は、DNSにSPFレコードを登録することで、特定のIPアドレスからのみメールを送信できるように設定することができます。

SPFは、なりすましメールの送信元となるIPアドレスを制限することで、なりすましメールの送信を抑止することができます。

• メールの受信時に、相手側のSMTP通信したメールサーバーのIP情報を確認

２．DKIM（DomainKeys Identified Mail）

DKIMは、メールの送信元を電子署名で認証する技術です。送信元ドメインの管理者は、DNSにDKIMレコードを登録することで、メールに電子署名を付与することができます。

受信側は、DKIMレコードとメールの電子署名を照合することで、送信元が正当なものかどうかを判断することができます。

DKIMは、なりすましメールの送信元を特定・ブロックすることで、なりすましメールの被害を抑止することができます。

• 送信者側では、メールに電子署名を付与して送付
• 受信者側では、公開鍵情報で受信メールをチェック

３．DMARC（Domain-based Message Authentication Reporting and Conformance）

DMARCは、SPFとDKIMの認証結果をもとに、メールの処理方法を指示する技術です。DMARCレコードをDNSに登録することで、受信側に、SPFとDKIMの認証結果に応じたメールの処理方法を指定することができます。

DMARCの認証結果は、以下の3つに分類されます。

• none: 認証結果に関わらず、メールを通常通り受信
• quarantine: 認証にFailしたメールを隔離
• reject: 認証にFailしたメールを拒否

DMARCレコードに「p=reject」を指定することで、認証失敗したメールはすべて受信拒否されるようになります。

DMARCは、SPFとDKIMの認証結果を統合することで、なりすましメールの対策をさらに強化することができます。

SPF・DKIM・DMARCは、それぞれ単独で運用することも可能ですが、組み合わせることで、なりすましメール対策の効果を高めることができます。

• 受信者側では、相手先が「なりすましドメイン」のメールでない事の確認が可能
• 送信者側では、自ドメインへの「なりすまし」の防止が可能
• ドメインの認証結果のレポートを受信可能

DMARC　リジェクト設定の運用例

１　〇△銀行からのメールを受信時の動作

２　SPF/DKIMの結果　正規の「〇△銀行からのメール」　と判定

メールを受信

３　SPF/DKIMの結果　不正なサーバーからの「〇△銀行からのメール」　と判定

メールの受信拒否

TLS通信

TLSはメールサーバー間の通信をSMTPS（暗号化）で行う方法です。第３者からの盗聴を防止できます。

送信ドメイン認証対応のメールサーバー

1. SPF
2. DKIM
3. DMARC
4. TLS

に対応のメールサーバーとしては、Mail / Web / DNS機能やログサーバー機能を有するインターネットサーバー

　Powered BLUE アプライアンス

が対応しています。

送信ドメイン機能

SPF	DKIM	DMARC

DKIM / DMARC 設定

• チェックを入れます

SPF / DKIM / DMARC レコード設定

インターネットサーバー機能

SMTP / POP / IMAP / TLS	Mail-Box	DNS	Webサイト	ログサーバー
				option

SMTPセキュリティ機能

• VRFYコマンド    有効・無効
• HELOコマンド　不正なホスト / FQDNでないホスト接続　許可・拒否
• HELOコマンド　DNSで名前解決が出来ないホスト接続　  許可・拒否

SSL証明書機能

• 自己署名のSSL証明書発行・登録
• パブリックなSSL証明書の署名リクエスト・登録

SMTP ( TLS ) 用  *1	Webサイト用

*1　電子メールサーバー / SMTP専用のSSL証明書の登録機能（自己署名やパブリックな証明書）

シスログサーバー機能

シスログのサーバー機能（オプション）により、自サーバーや他のサーバーの

1. ログの受信・任意期間保存＆ダウンロード
2. 受信ログのトラップ（指定キーワードによるメール通知）
3. 受信ログを他のシスログサーバーへの転送（最大3か所）
4. ログ送受信時のTLS認証（機器の認証＆暗号化通信）

での運用に対応

ログの受信	ログの保存	ログの転送	ログのトラップ	TLS認証

例　Mailサーバー / Webサーバー / Firewall / VMwareESXi  などのログ受信＆保存

ログの長期保存（監査対応）

運用例   毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年間

指定キーワードのトラップ（管理者へメール通知）

• アラートには任意のキーワードでトラップを設定
• トラップが連続した場合でも、送信メールの間隔を設定
  （例　xxx のキーワードを検知の場合、900秒間隔でのメール送信通知）

フリープラグイン

roundcube	WordPress	Let’s Encrypt

ネットワーク構成

① メールの中継用途で運用

• 既存のメールサーバーの間に設置して、メールリレイで運用します

② メールサーバーで運用

• ユーザーのメールボックスを運用します

Webmailの運用（②メールサーバー構成）

メールサーバーとして利用する場合には、Powered BLUE アプライアンスは、Webメールとしてroundcubeを利用できます。

roundcubeは、オープンソースのウェブメールクライアントで、電子メールの受信、送信、管理を行う機能を有しておりブラウザから利用できます。標準では ID / パスワード認証に対応しています。

【設定例】

適宜　SMTPやIMAPを有効化します

• 例　SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS / TLS を有効

• Roundcube / ウェブメールの有効化にチェック

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

• 例　user1 へ ウェブメールの使用を許可

WebメールサイトのSSLサーバー証明書に Let’s Encrypt を利用

• 例　Let’s Encryptを有効にする

【ロゴやスキン】

ロゴやスキンを設定できます

• 自社のロゴへ変更

• スキンの変更

デスクトップ用のスキン		スマートフォン用のスキン

【 Roundcube でシングルサインオンの構成】

roundcubeをidPと連携のシングルサインオンで運用することが出来ます

• idPとSAML認証やOIDC認証でSSO
• 各種 idPと連携

 
対応のidP

SAML / OIDC認証をサポートの 一般的なidP との連携に対応しています

• Microsoft Entra ID （旧名称 Azure AD）
• keycloak
• GMOトラストログイン
• 他

idPとroundcubeはSAML認証やOIDC認証で接続

【RoundcubeとidP / Keycloak 連携時のシングルサインオン　構成例】

1. roundcubeへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後に roundcube へ自動ログイン

【メールクライアントとの併用運用】

シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応

【Powered BLUE アプライアンスの構成】

• OS  RedHat  / RockyLinux 対応
• Web / DNS / SMTP / IMAP / POP / TLS
• SPF / DKIM / DMARC （送信元ドメイン認証）

【Powered BLUE アプライアンスの簡単運用】

管理者の負担軽減での運用に対応

• サーバーの自己監視機能やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能
• GUIでのサーバーやアプリの設定

【Powered BLUE アプライアンスの運用先】

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

ご質問やご相談など

Keycloakは、FIDO2（ファイド・ツー）に対応した生体認証をサポートしています。FIDO2は、生体認証の統一規格です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証を使用して、Keycloakにログインすることができます。

また、iPhoneやAndroidなどのスマートフォンもFIDO2に対応しています。普段利用している携帯端末の指紋認証や顔認証機能をそのまま、Keycloakのログイン認証に利用することができます。生体認証を利用することで、パスワードレス認証での運用も可能となり利便性も向上します。

ペアリングとアクセス許可

FIDO2の生体認証では、利用できる端末とユーザーがペアリングされて固定されるため、第3者のアクセスを防止できるメリットがあります。

　アクセス許可　＝　① 端末の固定　＋　② 指定のユーザー

例　会社が支給した「Aさん用の端末」を「Aさん」が利用する場合にアクセスを許可する

生体認証

生体認証は、パスワードに比べて安全性と利便性に優れています。パスワードは、忘れたり、盗まれたり、なりすまされたりするリスクがあります。一方、生体認証は、本人の身体的特徴を用いて認証を行うため、これらのリスクを軽減することができます。

生体認証の特徴は、以下のとおりです。

• 偽造やなりすましが困難
• 忘れたり、紛失したりする心配がない

生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびidPの認証を行う統一規格です。

FIDO2 のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っています。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows 10 / 11 やMacintosh、アンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

機種	アンドロイド	IPhone / iPad	Windows	Macintosh	ブラウザ
FIDO2対応

FIDO2での生体情報の保護

FIDO2では、ブラウザを経由してユーザ側の生体認証器とidP / Keycloakの通信を行います

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとidP / Keycloak サーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用します

　FIDO2では、生体情報はユーザーの保有する認証器外へ漏洩しません　

FIDO2の生体認証で必要な機器

1. Keycloak / idP
2. SAMLやOIDC認証に対応のWebやリバースプロキシ
3. スマートフォン（アンドロイド・iPhone・iPad）や　PC端末＋FIDO2対応の生体認証器
4. ブラウザ

システム側の環境

• idP / Keycloak
• SP / Web
• KeycloakとWebはSAML認証やOIDC認証で連携

idP / Keycloak		SAML / OIDC認証のWeb

ユーザー側の環境

iPhone / iPadの場合（内蔵の生体認証器を利用）

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合（内蔵の生体認証器を利用）

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合（USB接続の生体認証器を利用）

Windows 10 / 11 Macintosh		FIDO2対応のブラウザ		FIDO2・指紋認証器

機器の構成

① idP認証サーバー

FIDO2に対応のKeycloakのアプライアンス

idP 「Powered BLUE for idP 」

を利用します。

② SAML/OIDC認証に対応のWebサーバー

SAMLやOIDC認証のWebサイトを構築・運用する機能を有しているアプライアンス

SP 「Powered BLUE Reverse-Proxy with SSO 」

を利用できます。

③ SAML / OIDC認証に対応のリバースプロキシ（代理認証機能）

SAML / OIDC認証対応のリバースプロキシから既存のWebへ「ID / パスワード」を代理入力＆代理認証の機能を有しているアプライアンス

SP 「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用できます。

SAML / OIDC認証に未対応の既存のWebを改修不要でSSOのメンバーとして構成します。

SSO構成 ①＋②

• SAML/OIDC認証のWebサイトへアクセス

SSO構成 ①＋③

• SAML/OIDC認証対応のリバースプロキシから既存Webへ「ID / パスワード」を代理入力＆代理認証でSSO

*SAML/OIDCに未対応の既存Webを改修不要で、代理入力＆代理認証でSSO化に対応します

生体認証のSSO

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「iPhone / iPad の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ iPhoneのFace ID やTouch IDの認証機能を利用（初回のみ）
④ 認証後にWebへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「Android の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ Androidの顔認証や指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース
（「認証器の所持認証」+「生体認証」= 2要素認証）

3要素認証での運用のケース
（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ FIDO2の指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

各種Webへ生体認証でのSSO

一度のidP / Keycloakへの生体認証で、複数のWebシステムへのシングルサインオン

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」で設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

KeycloakやSP（Webやリバースプロキシ）の運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

生体認証対応 Keycloak	SAML / OIDC対応Web	SAML / OIDC対応リバースプロキシ

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

こんな場合に

• なりすましを防止したい
• スマートフォンの生体認証を利用したい
• 社員へ配布の端末からのみアクセスさせたい
• パスワードレス認証で運用したい
• 自社管理で生体認証システムを運用したい

ご質問やご相談など

認証方式	ID / パスワード認証	SAML認証 / OIDC認証
roundcube

roundcubeのシングルサインオン

シングルサインオン（SSO:Single Sign On）とは、最初にアプリケーションを利用する時に、一度idPでログイン認証をすれば、以降は全てのアプリケーションやWebサービスをidPへ再ログインなしに利用できる認証の仕組みのことです。

roundcubeをSAML認証やOIDC認証に対応させることで、idP連携のシングルサインオンで運用ができるようになります。

外部とネットワークが分離されているクローズドネットワーク内でのSSO運用にも対応しています。

roundcubeをidP連携のSSOで運用する場合は

1. 新規にSSO対応のroundcubeを導入して運用
2. 既存のroundcubeを改修不要のSSO化で運用

の2通りの方法があります。

１．新規にSSO対応のroundcubeの導入

Powered BLUE アプライアンスを利用することで、Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeをSSOで運用しながらメールサーバーやDNSなど機能をオールインワン（1台）で運用することが出来ます。

【Powered BLUE アプライアンス】

Mail / Web / DNSなどのインターネットサーバー機能を有する

　Powered BLUE アプライアンス

を利用します。

主な機能

SMTP / POP / IMAP	Mail-Box	DNS

SPF / DKIM / DMARC	Webサイト	Roundcube

【設定例】

適宜　SMTPやIMAPを有効化します

• 例　SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS を有効

• Roundcube / ウェブメールの有効化にチェック

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

• 例　user1 へ ウェブメールの使用を許可

送信ドメイン認証およびセキュア通信

• SPF / DKIM / DMARCに対応
• TLSに対応

【ロゴやスキン】

ロゴやスキンを設定できます

• 自社のロゴへ変更

• スキンの変更

デスクトップ用のスキン		スマートフォン用のスキン

【シングルサインオンでの構成】

• idPとSAML認証やOIDC認証でSSO
• 各種 idPと連携

 
対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD）
• keycloak
• GMOトラストログイン
• 他

idPとroundcubeはSAML認証やOIDC認証で接続

【RoundcubeとidP / Keycloak 連携時のシングルサインオン】

① Roudcube のログイン画面へアクセス

• 「Keycloakでログイン」を選択

② 初回は、idP / Keycloak へリダイレクトされて認証

• アカウント　demo@example.jp
• パスワード　xxxxxxxx

③ 認証後に　Roundcube のWebページが表示

【メールクライアントとの併用運用】

シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応

２．既存のroundcubeを改修不要のSSO化

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化を行います。既存で運用中の roundcubeの改修や設定変更は不要です。

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにもSSO対応

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から roundcubeへの「ID / パスワード」の入力不要
2. 利用者から「ID / パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD　* ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります（機能は同一）

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
4. バックエンドの roundcube へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のアプリへSSOでアクセスできます

SSLクライアント認証を追加（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. SSOでの認証（社外からのアクセス）

の併用など柔軟な運用が可能です。

【Powered BLUE アプライアンスの構成】

• OS  RedHat  / RockyLinux 対応
• Web / DNS / SMTP / IMAP / POP
• DKIM / DMARC / SPF（送信元ドメイン認証）

【Powered BLUE アプライアンスの簡単運用】

管理者の負担軽減での運用に対応

• サーバーの自己監視機能やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能
• GUIでのサーバーやアプリの設定

クローズドネットワークでの運用

idPやSPの自社運用により

• Keycloak / idP やroundcube / SP のネットワーク内での運用に対応

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

【Powered BLUE アプライアンスの運用先】

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALUTS / VPSなど

ご質問やご相談など

既存で運用のroundcube へSSOでアクセスする場合には、Keycloak やMicrosoft Entra ID ( 旧名称 Azure AD ) などのidPとSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオン（SSO）でアクセスさせます。LANに設置のroundcubeへの対応も可能です。

roundcubeの変更不要でSSO

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化に対応させます。既存で運用中の roundcubeの改修や設定変更は不要です。

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにも対応

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から roundcube への「ID / パスワード」の入力不要
2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD　* ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります（機能は同一）

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
4. バックエンドの roundcube へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

SSLクライアント認証を追加（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. SSOでの認証（社外からのアクセス）

の併用など柔軟な運用が可能です。

ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応しています

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理で運用が出来ます

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

KeycloakでSSOを実現する場合、ターゲットのアプリケーション側との認証の構成としては

1. フェデレーション
2. クライアントアダプター（エージェント）
3. 代理認証のリバースプロキシ

などがあります。ターゲットのアプリに合わせてSSOを構成します。

１．フェデレーション

アプリケーション側が、SAML認証やOIDC認証に対応していれば簡単にシングルサインオンが構成できます。メジャーなSaaSではフェデレーションに対応しているケースが多くあります。

アプリケーション側はSAML認証の場合には「SPの機能」もしくはOIDC認証の場合には「RPの機能」などを有しているので、Keycloakとアプリケーション間でシングルサインオンを構成します。

2．クライアントアダプター

アプリケーション側がSAML認証やOIDC認証に対応していない場合、Keycloakのクライアントアダプター（エージェント）をアプリケーション側に組み込み、SAMLのSP機能もしくはOIDCのRP機能で動作させることでシングルサインオンを構成します。

アプリケーション側には、クライアントアダプターを組み込む「改修が必要」となります。

3．代理認証のリバースプロキシ

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを「改修することなくSSOに対応」させることができます。LAN内に設置のWebアプリケーションにもアクセスができます。

SSO認証方式の比較

*1　Web以外も可能

認証の設定

フェデレーションの設定

Keycloak / idP 側

• 　Keycloakの設定
•     Keycloak / idP のメタデータをエクスポート
• 　ターゲット / SP側のメタデータをインポート

ターゲット / SP 側

• 　Keycloak / idP側のメタデータをインポート
•    ターゲット / SP側のメタデータをエクスポート

構成例

クライアントアダプターの設定

Keycloakで利用できる各種のクライアントアダプターが提供されています。

Keycloak / idP 側

• 　Keycloakの設定
•     アプリの登録

ターゲット / SP 側

• クライアントアダプターのインストール＆設定

構成例

代理認証のリバースプロキシの設定

SAML認証やOIDC認証に未対応のWebアプリケーションに対して、SAMLやOIDC認証の機能を有したリバースプロキシを利用して、リバースプロキシからWebアプリケーションにユーザー情報「ID / パスワード」を代理入力して認証までを行います。

Webアプリケーションを改修することなく、SSOに対応させることができます。

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. Webは改修不要
4. ブラウザのみで利用（プラグイン不要）

構成例

ターゲットの「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

代理認証のSSO手順

1. 代理認証のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

Powered BLUE リバースプロキシの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスは、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

ご質問やご相談など

KeycloakでのSSOシステム構成 パターン

Keycloakを利用した自社システムやSaaSのシングルサインオン構成

Powered BLUE アプライアンスとは

Powered BLUE アプライアンスは、Linuxベースの統合型アプライアンスです。Keycloakをはじめ、各種のOSSソフトウェアがプリインストールされています。

Powered BLUE アプライアンスを利用することで、Keycloakの導入や運用を簡単に行うことができます。またWebサイトやWordPress、roundcubeやMattermostなどの各種のサービスをシングルサインオンで運用できます。

SSO未対応Webは代理認証のリバースプロキシで対応

SAMLやOIDC認証に対応していない既存のWebアプリケーションについては、代理認証機能のリバースプロキシを利用することで、Webサイトの改修をすることなくシングルサインオンのメンバーとして組み込むことでSSOを実現します。

各種の機能に対応のPowered BLUE アプライアンス

• Keycloak / idP
• Mail / Web / DNS / ftp
• Web /  WordPress
• WebMail / roundcube
• ビジネスチャット / Mattermost
• 代理認証対応リバースプロキシ
• Private-CA (SSLクライアント証明書・発行・失効・認証）
• シスログサーバー

項目	Web	WebMail roundcube	ブログ WordPress	リバースプロキシ	代理認証リバースプロキシ SAML / OIDC 未対応WebのSSO
SSO対応 SAML / OIDC 認証

Keycloakアプライアンス（冗長構成に対応）

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

を利用出来ます。

Keycloak 設定

• データベース構成
• スタンドアローンやクラスター構成

クラスター構成

Mail / Web / DNS アプライアンス

インターネットサーバー機能のアプライアンスとして

　「Powered BLUE アプライアンス」

を利用出来ます。

項目	Web	MAIL	DNS	Firewall
機能
概要	SNI HSTS SSL証明書登録機能	SMTP/SMTPS POP/POPS IMAP/IMAPS DKIM/DMARC ドメイン認証	TXT SRV SPF	TCP/UDP ポート設定

SSO対応のWebサイトは

1. 一般的なコンテンツをアップロードのWebのサイト
2. WordPerssのWebサイト
3. roundcube / Webmail のWebサイト

の構築・運用に対応しています

一般的なWebサイト		WordPressのWebサイト		roundcubeのWebサイト
SSO		SSO		SSO

Keycloak でのSSO構成

• WebサイトにSAML / OIDC認証を設定

Webmail / roundcubeとKeycloak 連携時のシングルサインオン

1.  roudcube のログイン画面へアクセス
2.  初回は、idP / Keycloak へリダイレクトされて認証を求められます
3.  認証後に　roundcube のWebページが表示

代理認証対応リバースプロキシ・アプライアンス

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

代理認証対応のリバースプロキシでSSO

既存のWebサイトがSAMLやOIDC認証に未対応の場合、SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、既存のWebサイトを改修することなくSSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存Webは改修不要
4. ブラウザのみで利用（プラグイン不要）

構成

既存の「Webサイト」は WAN / DMZ / LAN の任意の場所の設置に対応しています
サードパーティ製のWebアプリや他社のWebサービスなどのSSO化も対応可能です

代理認証時のSSO手順

1. 代理認証のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

ビジネスチャット・オープンソース版のMattermost でSSO

Slack 互換のMattermostは、オンプレ環境にも対応の高機能なチャットツールです。ただしSAMLやOIDC認証によるシングルサインオンに関しては有償版での提供となっており、標準の場合にはオープンソース版のTeam Edition ではSSO利用ができません。

オープンソース版のMattermost でシングルサインオンを構成する方法

1. 代理認証対応のリバースプロキシ
2. WebサイトでのMattermostの構築・運用

を連携させてSSOを構成します

代理認証対応のリバースプロキシとMattermostを同一サイトで運用のSSO構成

• ReverseProxy + Mattermost = オールインワンで運用

代理認証対応のリバースプロキシとWebアプリのMattermostの分離運用も可能

Powered BLUE Private-CAアプライアンス

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　SSLクライアント認証

SSLクライアント認証で Keycloakへの多要素認証（MFA）

1. SSLクライアント認証
2. ID/パスワード認証

SSLクライアント認証　〇

SSLクライアント認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃への対応	ブロック　〇	ブロック

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」での設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

アプライアンスの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

Keycloak はRedHatによって開発された、1度の認証で複数のシステムを利用可能にするシングルサインオンの仕組みを実現できるオープンソースのアプリケーションです。

Keycloakと各種のアプリと連携してSSOを構成することができます。

運用環境

Keycloakは

• OS：Linux、Windows、macOS
• Java：Java （Quarkus）
• データベース：MySQL、PostgreSQL、Oracle

などの環境で動作します。

Quarkus対応

従来のWildflyからQuarkusへの変更により

1. 起動時間の大幅な短縮
2. 使用するリソースの縮小

が図られています（WildFlyは非推奨もしくは廃止予定です）

動作

動作させるだけであれば、OSにKeycloakをインストール・起動することで利用は可能です。

GUIアクセスのデフォルトのポートは

• LAN  http ( 80 / 8080 )
• WAN https （ 8443 ）

などになります。

実際

実際の運用に際しては

• セキュリティ
• 冗長構成
• バックアップ
• サービスの監視
• 管理者の負担
• SAMLやOIDCに未対応のWebアプリへのSSO対応

などを考慮する必要があります。

簡単セットアップ

Quarkus対応版のKeycloakを簡単にセットアップできて、管理者に負担をかけずにシングルサインオンの基盤を自社運用できるキットがKeycloakのアプライアンスです。

Keycloakへのアクセスは標準でSSLの「https / 443番」ポートに対応しています。

例　https : //  idp . keycloak . com /

DB設定やクラスター構成をはじめ、閉域網などでの運用にも対応しています。

Keycloakアプライアンス

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

の利用が可能です。

セットアップ

• GUIからKeycloakやサーバー設定に対応

• サーバーの設定（Network / Firewall / SELinux )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定や構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシとKeycloak 連携機能（1台での運用に対応）
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）
• パッチの自動適用

コマンドラインからのプログラムのインストールや設定は不要

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

スタンドアローンやクラスター構成　DBセットアップ

• データベース構成
• スタンドアローンやクラスター構成

• クラスター構成

SSLサーバー証明書の登録

• 自己証明書やパブリックなSSLサーバー証明書の登録も簡単

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

• バックアップやリストア機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーの自己監視機能や自動再起動機能により

• 外部の監視サービスを利用しない運用に対応

アプライアンスの運用環境

オンプレやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

keycloakのSSO対応

KeycloakでSSOを構成する方法

SSO対応の3方式

1．フェデレーション　/  アプリの改修は不要

SAMLやOIDC認証に対応のWebアプリケーションに適用

• KeycloakをidP /  WebアプリケーションをSPとして連携することでSSOを構成
• SAMLやOIDC認証に対応しているSaaSは、簡単にSSOを構成できます

SAMLやOIDC認証に対応していないWebアプリケーションに適用

すべてのアプリケーションがSSOに対応しているわけではありません。従来から運用のレガシーWebアプリは、SAMLやOIDC認証などのSSOに対応していないケースがほとんどです。

そのような場合の選択枝としては、以下の２つの方法が候補となります。

２．クライアントアダプター　Webの改修で対応

• 既存WebにKeycloakのクライアントアダプターを組み込んでSAMLやOIDCに対応
• Webの改修が必要

３．リバースプロキシを利用　Webは未改修で対応

• リバースプロキシを経由して、既存のWebへアクセスさせる
• Webの改修は不要です

既存のWebアプリケーションを改修することなく、Keycloak 連携のシングルサインオンで運用する方法として、SAMLやOIDC認証に対応の「代理認証のリバースプロキシ」を活用したSSO化が有効です。

代理認証のリバースプロキシを利用 / Webの改修不要でSSOを実現

SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Webアプリケーションの前に配置された中継サーバーです。

ユーザーがリバースプロキシにアクセスすると、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、Webアプリケーションを改修することなく、SSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用のWebアプリを改修をすることなく、SSOを実現

idP連携のリバースプロキシからWebへ代理認証でのSSO

Keycloak / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

代理認証のSSOに必要な機器

1. idP　/  Keycloak
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

idP

Keycloakの他、SAML / OIDC認証をサポートの 一般的なidP にも対応

• Microsoft Entra ID　（ 旧名称 Azure AD )
• GMOトラストログイン
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

主な機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 　*1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• ログの取得
• GUIから設定や運用　*2
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）
• パッチの自動適用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider） OIDC認証時はRP（Relying Party）という名称
*2　コマンドラインからのプログラムのインストールや設定は不要

GUI設定

• SSO設定（ SAML認証の例 ）

代理認証でのSSOの手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

各種WebシステムへSSO

一度のKeycloak / idP認証で、複数のWebシステムへSSOでアクセスできます

Keycloakの多要素認証（MFA）

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　CRLを公開
• 　SSLクライアント認証

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. SSLクライアント認証
2. ID / Passwd認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃	ブロック　〇	ブロック

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

代理認証対応のリバースプロキシ導入のポイント

• SAMLやOIDC認証に未対応のWebをSSO化できる
• Webの改修不要
• WebのOS不問
• ユーザーからWebアプリへの ID / パスワード の入力操作は不要
• ユーザーへのWebアプリの ID / パスワードの公開は不要
• 一般的なブラウザで利用できる（プラグイン不要）
• 多要素認証に対応できる

Keycloakやリバースプロキシ・アプライアンスの構成

アプライアンスのGUIや操作・設定・運用方法は共通

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

Keycloakやリバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など