複数のリバースプロキシ経由でアクセスさせることにより

• 負荷分散
• 経路分散

を図り、サイトの安全性を高める運用も可能です。

リバースプロキシの構成

リバースプロキシは、ターゲットのWordpressの前段に配置します。リバースプロキシ先の

• Webサイト名を隠蔽

することが出来ます。

WordPressがLAN内に設置の場合でも、リバースプロキシ経由でアクセスさせる運用に対応しています。

WordPressの改修不要

WordPress側に認証がない　もしくは　認証を強化したい場合、リバースプロキシで認証を行うことで、リダイレクト先のWordPressへアクセス時の認証の強化を図ることが出来ます。その際にWordPress / Web の改修は不要です。

リバースプロキシの認証としては、Microsoft Entra IDなどのidP とシングルサインオン連携できるSAML認証やOIDC認証で行います。

対応のリバースプロキシ

リバースプロキシとしては、SAML / OIDC認証に対応のID認識型リバースプロキシ

　「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

対応のidP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

アクセス手順（idPとリバースプロキシを連携）

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシ経由でバックエンドのWebサイトの表示

WordPress へSSO

WordPress側のWebを 「ID / パスワード」などの 認証で運用の場合、バースプロキシからWodrdPressのWebアプリケーションにユーザー情報「ID / パスワード」を代理入力＆代理認証を行いシングルサインオンを構成する運用にも対応しています。

これにより、WodrdPressのWebアプリケーションを改修することなく、SSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用の Webアプリを改修をすることなく、SSOを実現

idP連携のリバースプロキシからWebへ代理認証でのSSO

Microsoft Entra ID / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
   Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

SSOに必要な機器

1. idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb / WordPress（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

SSO アクセス手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWordPressへ代理入力
4. WordPressのWebへ自動ログイン

各種Webへのシングルサインオン

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます

代理認証対応のリバースプロキシ導入のポイント

1. SAMLやOIDC認証に未対応のWebをSSO化できる
2. Webの改修不要
3. WebのOS不問
4. ユーザーからWebアプリへの ID / パスワード の入力操作は不要
5. ユーザーへのWebアプリの ID / パスワードの公開は不要
6. 一般的なブラウザで利用できる（プラグイン不要）

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用にも対応

お問合せ

ご質問やご相談など

既存で運用のroundcube へSSOでアクセスする場合には、Keycloak やMicrosoft Entra ID ( 旧名称 Azure AD ) などのidPとSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオン（SSO）でアクセスさせます。LANに設置のroundcubeへの対応も可能です。

roundcubeの変更不要でSSO

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化に対応させます。既存で運用中の roundcubeの改修や設定変更は不要です。

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにも対応

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から roundcube への「ID / パスワード」の入力不要
2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

• Microsoft Entra ID （旧名称 Azure AD　* ）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります（機能は同一）

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. 代理認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
4. バックエンドの roundcube へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

SSLクライアント認証を追加（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. SSOでの認証（社外からのアクセス）

の併用など柔軟な運用が可能です。

ユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応しています

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理で運用が出来ます

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

シングルサインオンとは、ユーザーが複数のアプリケーションにログインする際に、1度だけ認証を行うことで、すべてのアプリケーションにアクセスできます。SSOを利用することで、ユーザーはパスワードを記憶する必要がありません。

SAML認証に対応のWebアプリケーションの場合には、簡単にGMOトラストログインとSSOの構成を組むことができます。

ただし、すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用のWebアプリは、SSOに対応していないケースがほとんどです。

OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、GMOトラストログイン / iDaaS と連携を行いシングルサインオンを行う方法として

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用して、ID/パスワ―ドの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンを構成します。

代理認証対応リバースプロキシでSSO

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

1. 既存Webの改修は不要
2. WebシステムのOSにも依存しません
3. ブラウザのプラグイン不要

代理認証

OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ターゲットWebを「SSOのメンバー」として構成

GMOトラストログイン連携のリバースプロキシからWebへ代理入力＆SSO

「GMOトラスト・ログイン」をIDプロバイダ（IdP）として、「ID認識型リバースプロキシ」をSAML認証のリバースプロキシ（SP）として連携することで、Webシステムへのシングルサインオンを実現できます。

ユーザーは、「GMOトラスト・ログイン」で一度認証を行うだけで、「ID認識型リバースプロキシ」を経由して、複数のWebシステムにセキュアかつ簡単にログインできるようになります。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
「サードパーティのWebアプリ」もSSO化で運用が可能です

SSOでの必要な機器

1. GMOトラストログイン / idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

連携のidP

idPとしては、GMOトラスト・ログインの他に

SAML / OIDC認証をサポートの一般的な idP

• Microsoft Entra ID（旧名称  Azure AD）
• Keycloak
• 他

にも対応

リバースプロキシ ( Identity-Aware Proxy：IAP )

リバースプロキシは、SAML / OIDC認証の代理入力機能のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

アプライアンス運用先

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシ（SP）へアクセス
2. 初回のみ GMOトラスト・ログイン （idP）へアクセス
3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

各種Web システムへのSSO

• 一度のGMOトラスト・ログイン / idP認証で、複数のWebシステム（SP）へSSOでアクセスできます

GMOトラスト・ログイン が有している「SAML認証に未対応のWebアプリへの代理入力」機能も利用が可能です。

ただし、GMOトラストログイン側の代理入力を利用時には、以下の制限があります

1. 代理入力のアプリはSSOにならない（SAML対応の他のアプリとSSO連携できない）
2. ブラウザはプラグインが必要
3. GMOトラスト・ログイン側からのアクセスのみに限定（リバースプロキシ側からのアクセスは不可）

GMOトラスト・ログインからの代理入力時の制限の回避策

上記の「GMOトラスト・ログインからの代理入力時の各種の制限」を回避する方法は

1. GMOトラスト・ログイン側からの代理入力を行わない
2. SAML / OIDC認証対応のID認識型リバースプロキシ側で代理入力を行う

代理入力時の比較

代理入力	ユーザーの アクセス先	対応の ブラウザ	ブラウザの プラグイン	SAML未対応 WebのSSO化
GMOトラスト・ログイン	idPのみ	制限あり	必要
ID認識型リバースプロキシ	idP Reverse-Proxy	制限なし	不要	〇

こんな場合に

• Webの改修不要でSSOを導入したい
• ユーザーにはブラウザのみで利用させたい
• 自社のWebサービスをSSOによりSaaS化したい
• サードパーティのWebアプリを改修不要のSSO化で利用したい
• VPNは負荷が高いので使用を控えたい

ご質問やご相談など

企業内では、SNSアカウント、取引先のアカウント、オンラインバンキングのアカウントなど、複数のユーザーが共有アカウントや特権アカウントで各種のサービスを利用するケースが増加しています。しかしながら、このようなアカウントの利用はセキュリティ上のリスクを高める可能性があることは否めません。

共有アカウントや特権アカウントでは、認証に際して生体認証やスマートフォンなどの所持認証が使えずに「ID/パスワード認証」などの知識情報での利用に限定されるなど、セキュリティ上の制約が生じる場合があります。

このような運用形態では、社員の移動や退職などに伴うIDとパスワードの変更や告知作業、アクセスログの取得や確認などに支障をきたすことがあります。

共有アカウントや特権アカウントのシングルサインオン

シングルサインオン（SSO）は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。

企業では、idP / IDaaS やMicrosoft Entra ID（旧名称 Azure AD）の利用などでSSOの環境が整っているケースもあります。複数人で同じアカウントで共用するケースでは、SSOを利用することで

1. セキュリティを強化
2. トレーサビリティの強化
3. ユーザーの負担軽減

をすることができます。

共通アカウントでのSSOの要件（Ｎ：１ や N：M）

共有アカウントや特権アカウントでWebアプリをSSOで構成する場合の要件としては

• idP ではユーザーごとの個人認証
• 既存のWebアプリは「共有アカウント」を利用
• 既存のWebアプリは、改修不要でSSOに対応させる
• アカウントは　Ｎ：１  や　N：Ｍでの紐付け
• ユーザーには、Webアプリへの ID / パスワードの入力をさせない
• ユーザーには、Webアプリへの ID / パスワードを公開しない
• ブラウザのみでの利用（プラグイン不要）
• 多要素認証に対応
• ログで利用状況や利用者を特定できること

などです。

リバースプロキシでシングルサインオンを導入

既存で利用の共有アカウントのWebアプリへ、 idPと連携したSAMLやOIDC認証のリバースプロキシを活用することで、共有アカウントや特権アカウントのセキュリティ強化を実現することができます。

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

リバースプロキシのメリット

• ID/パスワード認証に加えて、生体認証や多要素認証などの高度な認証方式を採用できる
• Webアプリの改修をすることなくSSOを実現できる（エージェント不要）
• ブラウザのみで利用できる（プラグイン不要）
• Webアプリの隠蔽ができる
• ユーザーのアクセス履歴を記録し、安全な運用を支援できる

SAML / OIDC認証に対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• ログの取得
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称

共有アカウント＆代理認証

SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントや特権アカウントの「ID / パスワード」を代理入力＆代理認証を行います   *2

1. アカウントはＮ：１ や  N：Ｍでの紐付け
2. ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
3. 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

idP連携のリバースプロキシから代理認証で共有アカウントへのSSO

ID / パスワード認証の「既存のWebサービス」を

1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
2. バックエンドの「Webサービス」は 改修不要  *3
3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用する構成です

*3  サードパーティ製 Webアプリ や他社の サービス も改修不要で共有アカウントのSSO対応

SSOに必要な機器構成

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebアプリ （ Webの改修は不要 ）
4. 　ブラウザ（プラグイン不要）

idP

SAML / OIDC認証をサポートの 一般的なidP に対応

• Microsoft Entra ID（旧名称  Azure AD）
• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

共有アカウントや特権アカウントでのSSO手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス「個人ユーザーでの認証」
3. idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
4. バックエンドのWebへ自動ログイン

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

SSLクライアント認証の併用（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

こんなケースに適しています

• 共通のアカウントや特権アカウントで利用したいWebアプリがある
• WebアプリへSSOでアクセスしたい
• Webアプリ側の改修はできない
• ユーザーにWebアプリの 「 ID / パスワード」を公開したくない
• ユーザーにWebアプリの 「 ID / パスワード」を入力させたくない
• Webアプリへのアクセスに多要素認証を適用したい
• ブラウザのみで利用したい
• ユーザーのアクセス状況を把握したい

アプライアンスの運用先

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先

　「Powered BLUE Reverse-Proxy with SSO 」

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

製品についての、ご質問やご相談など

シングルサインオン（SSO）は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。

例えば、取引先の会社が提供するサービスのアカウントを自社の営業部で共有する場合、Microsoft Entra ID（旧名称 Azure AD）連携の代理認証対応リバースプロキシを利用することで、Webアプリの改修は不要で「共有アカウント」でのSSOに対応させます。

複数人で同じアカウント情報を共有するケースでは、SSO化にすることで

1. セキュリティの強化
2. トレーサビリティの向上
3. ユーザーの負担軽減

を図ることができます。

Microsoft Entra ID（旧名称 Azure AD）連携の代理認証対応リバースプロキシは、Webアプリとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
これによりWebアプリの改修なしに、共有アカウントでのシングルサインオンを実現します。

共有アカウントでのSSOの要件（Ｎ：１ や N：M）

共有アカウントでWebアプリをSSOで構成する場合の要件としては

• Microsoft Entra ID（旧名称 Azure AD） / idP ではユーザーごとの個人認証
• 既存のWebアプリは「共有アカウント」を利用
• 既存のWebアプリは、改修不要でSSOに対応
• アカウントは　Ｎ：１  や　N：Ｍでの紐付け
• ユーザーには、Webアプリへの 「ID / パスワード」の入力不要
• ユーザーには、Webアプリの「 ID / パスワード」を公開不要
• ブラウザのみでの利用（プラグイン不要）
• 多要素認証に対応
• 利用状況や利用者を確認できること

などです。

代理認証対応リバースプロキシでSSO

既存で利用の共有アカウントのWebアプリへ、Microsoft Entra ID（旧名称 Azure AD） /  idPと連携したSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行い、リバースプロキシ経由で共有アカウントでWebでログインすることでSSOを構成します。

ユーザーの負担を軽減

• ユーザーは、Webアプリにログインする際の 「IDとパスワード」 の入力不要

セキュリティを強化

• Azure AD / idP でユーザーごとの認証を行うため、Webアプリケーションへのアクセスは安全に制御
• ユーザーには、Webアプリの「ID / パスワード」の公開は不要

Webアプリケーションの改修不要

• 既存で運用のWebアプリケーションの改修をすることなく、SSOを実現

専用のクライアント不要

• ブラウザのみで利用（プラグイン不要）

リバースプロキシの特徴

1. アクセス先のWebサーバーのOSは問わない
2. アクセス先のWebサーバーを隠蔽
3. ブラウザのみでアクセスできる（専用のクライアントは不要）

代理認証対応のリバースプロキシ

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• ログの取得
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称

共有アカウント＆代理認証

SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントの「ID / パスワード」を代理入力＆代理認証を行います

1. アカウントはＮ：１ や  N：Ｍでの紐付け
2. ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
3. 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成　*2

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

idP連携のリバースプロキシからWebへ代理認証でのSSO

ID / パスワード認証の「既存のWebサービス」を

1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
2. バックエンドの「Webサービス」は 改修不要　　*3
3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用する構成です

*3  サードパーティ製 Webアプリ / 他社のWebサービス も改修不要で共有アカウントのSSO対応

SSOに必要な機器構成

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebアプリ （ Webの改修は不要 ）
4. 　ブラウザ（プラグイン不要）

 idP

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

SAML / OIDC認証をサポートの 一般的なidP との連携に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

共有アカウントでのSSO手順

1. 代理認証対応リバースプロキシへアクセス
2. 初回のみ  idP へアクセス「個人ユーザーでの認証」
3. idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
4. 共有アカウントのWebへ自動ログイン

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

SSLクライアント認証の併用（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

こんなケースに適しています

• 共通のアカウントでアクセスしたいWebアプリがある
• ユーザーにWebアプリの「 ID / パスワード」を公開したくない
• ユーザーにWebアプリの「 ID / パスワード」を入力させたくない
• WebアプリへSSOでアクセスしたい
• 他社で運用のサービスのためWebアプリの改修はできない
• Webアプリへのアクセスに多要素認証を適用したい
• ブラウザのみで利用したい
• ユーザーの利用状況を確認したい

アプライアンスの運用先

クラウド環境や仮想環境、およびオンプレミスなど自社管理で運用が出来ます

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先

　「Powered BLUE Reverse-Proxy with SSO 」

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

製品についての、ご質問やご相談など

すべてのWebアプリケーションがSSOに対応しているわけではありません。従来から運用中のWebアプリは、SSOに対応していないことがほとんどです。

SAML / OIDC認証に未対応のWeb

【リバースプロキシの利用】

既存で運用の「SAMLやOIDC認証に未対応のWebサービス」を Azure AD（新名称   Microsoft Entra ID）などの、iDaaSやidPと連携してシングルサインオンで運用する場合の構築方法です。

SAML/ OIDC認証に対応の代理認証やHTTPヘッダー方式のリバースプロキシを利用することで、idPと連携して既存のWebサービスへのSSOが構成できます。

【こんなケースに】

• ユーザーにID / パスワードを入力させたくない
• 社内のWebをSSOに対応させたい
• 自社のWebサービスをSSOによりSaaS化したい
• サードパーティのWebアプリをSSOで運用したい
• Webサービスは改修不要でSSO を導入したい
• Webサービスへ多要素認証を適用したい
• 共有アカウントでログインさせたいWebアプリがある
• ブラウザのみで利用させたい
• 既存の認証とSSOの認証を併用したい
• VPNは負荷が高いので使用を控えたい

【リバースプロキシの特徴】

• アクセス先のWebサーバーのOSは問わない
• アクセス先のWebサーバーを隠蔽
• ブラウザのみでアクセスできる（専用のクライアントは不要）

【 SAML / OIDC認証に対応のリバースプロキシ】

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称

【2種類のSSO】

SAMLやOIDC認証に未対応のWebサービスに対しては、リバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」を利用することで、2種類の方法でターゲットWeb側へユーザー情報を渡してSSOを構成することが出来ます。

【 idP連携のリバースプロキシからWebへ代理認証でのSSO】

ID / パスワード認証の「既存のWebサービス」を

1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
2. バックエンドの「Webサービス」は 改修不要　*1
3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用する構成です

*1　サードパーティ製のWebアプリも改修不要でSSO化に対応

【 代理認証 】

SAML/OIDC認証対応のID認識型リバースプロキシから（* 2）、既存のWebサービスへ「ID / パスワード」を代理入力＆代理認証を行います

1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
2. 「ID / パスワード認証」のWebサービスをSSOのメンバーとして構成

*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

【 代理認証のSSOに必要な機器構成 】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebサービス （ Webの改修は不要 ）
4. 　ブラウザ（プラグイン不要）

 【idP】

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【代理認証でのSSO手順】

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証 / MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

SSLクライアント認証時のアクセスコントロール 例

1. 組織や部門でのアクセス制限  （ 営業部にアクセス許可 ）
2. 曜日や時間帯でのアクセス制限　（ 月 – 金 / 9:00 – 18:00 はアクセス許可）
3. 特定ユーザーでのアクセス制限  （ bad-user のアクセス制限 ）
4. 端末を紛失したＡさんのアクセス禁止　（ user-A のアクセス禁止 ）

【 HTTPヘッダー方式でのSSO 】

【idP連携のリバースプロキシからHTTPヘッダ方式でのSSO】

idPからのユーザー情報をHTTPヘッダに乗せるSSOの場合、ターゲットWeb側ではヘッダーへ記載のユーザー情報からWebへのログインをさせる改修が必要です。

【 リバースプロキシでのHTTP  header の設定 】

• リバースプロキシでは、SAMLやOIDC認証の ヘッダマップを有効にします

【 HTTP  header への追加の例 】

• 　idPでの認証ユーザーのEmail アドレスをhttpヘッダーに追加

Remote-User-Email: 　demo-user@mubit.com .

【 プロキシID を追加の例 】

バックエンドのWebサーバー側へ「プロキシID」を渡すことが出来ます

• リバースプロキシの「プロキシID」をhttpヘッダーに追加

【HTTP  header方式のSSOに必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報のヘッダー追加機能 ）
3. 　既存のWebサービス （ Webの改修は必要 ）
4. 　ブラウザ（プラグイン不要）

【アプライアンスの運用先】

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先

　「Powered BLUE Reverse-Proxy with SSO 」

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

製品についての、ご質問やご相談など

リバースプロキシを利用することで、既存のWebサービスを改修することなくSAML認証やOIDC認証の機能を付加して、idPと連携してSSOでの運用が出来ます。

自社のWebサービスの他、他社が管理・提供するWebアプリやサービスへのアクセスにもSSO化を適用させることが出来ます。

【SSOとは】

シングルサインオン（SSO）とは、ユーザーが複数のアプリケーションにログインする際に、1回だけ認証を行うことで、すべてのアプリケーションにアクセスできる仕組みです。SSOを利用することで、ユーザーはパスワードを記憶する必要がなくなります。

すべてのアプリケーションがSSOに対応しているわけではありません。特に、社内に設置されているWebサーバーは、SSOに対応していないことが多くあります。そのため、社内のユーザーは、各アプリケーションに個別にログインする必要があります。

ID / パスワード認証の既存Web

そこで、ID認識型リバースプロキシを利用することで、社内のWebサーバーにSSOを適用することができます。ID認識型リバースプロキシは、ユーザーがアクセスするWebサーバーと idPを連携し、ユーザーの認証を行います。これにより、ユーザーはID認識型リバースプロキシを経由してWebサーバーにアクセスするだけで、SSOを利用することができます。

【こんな場合に】

• 既存のWebを改修せずにSSO化したい
• 自社の既存WebをSaaS化したい
• 他社のWebサービスをSSOで利用したい
• ユーザーにWebアプリの ID / パスワードを入力させたくない
• ユーザーにWebアプリの ID / パスワードを公開したくない
• 共通のアカウントでログインしたいWebアプリがある
• 既存の ID / パスワード認証 と SSOを併用したい
• 改修不要で多要素認証（MFA）に対応させたい
• ブラウザのみで利用したい
• リバースプロキシは自社管理で運用したい
• VPNは負荷が高いので使用を控えたい

【リバースプロキシの特徴】

• アクセス先のWebサーバーのOSは問わない
• アクセス先のWebサーバーを隠蔽
• アクセス先のWebサーバーの改修不要

【リバースプロキシでSSO対応】

既存で運用中のWebサービスを改修することなく、OIDCやSAML認証に対応の idP  と連携を行いシングルサインオンを行う場合

• SAML / OIDC認証に対応のID認識型リバースプロキシ

を利用してユーザー情報の「代理入力」を行い、Webサービスへシングルサインオンを構成します。

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

【ID認識型リバースプロキシ】

リバースプロキシは、SAML / OIDC認証に対応の「ID認識型リバースプロキシ」

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

認識型リバースプロキシの特徴

【idP連携のリバースプロキシからWebへ代理入力＆SSO】

ID / パスワード認証の「既存のWebサービス」を

1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
2. バックエンドの「Webサービス」は 改修不要
3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用します

【代理認証】

SAML/OIDC認証対応のID認識型リバースプロキシ ( *2 ) から、既存のWebサービスへ「ID / パスワード」を代理入力＆代理認証を行います

1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
2. ID / パスワード認証のWebサービスをSSOのメンバーとして構成

*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

【SSOに必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebサービス （ Webの改修は不要 ）
4. 　ブラウザ（プラグイン不要）

 【idP】

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

【SSO時のアクセス】

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証/MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP 連携によるSSO（社外からのアクセス）

の併用など柔軟な運用が可能です。

【お問合せ】

ご質問やご相談など

リバースプロキシを利用することで既存のWebサービスにSAML認証やOIDC認証を追加して、SaaS対応や多要素認証（MFA）により認証機能を強化することが出来ます。

既存の ID / パスワード認証のWeb

【改修不要でSSO対応】

既存で運用中のWebサービスを改修することなく、OIDCやSAML認証に対応の idP  と連携を行いシングルサインオンを行う手法として

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用してユーザー情報の「代理入力」を行い、Webサービスへシングルサインオンで構成します。

【ID認識型リバースプロキシ】

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

【idP連携のリバースプロキシからWebへ代理入力＆SSO】

ID / パスワード認証の「既存のWebサービス」を

1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
2. バックエンドの「Webサービス」は 改修不要
3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

で運用します

* idPとしてMicrosoft Entra ID（旧名称 Azure AD）を利用時の構成

【代理認証】

SAML/OIDC認証対応のID認識型リバースプロキシ ( *2 ) から、既存のWebサービスへ「ID / パスワード」を代理入力＆代理認証

1. 　ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
2. 　ID / パスワード認証のWebサービスをSSOのメンバーとして構成

*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

【SSO運用時の必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebサービス （ Webの改修は不要 ）
4. 　ブラウザ（プラグイン不要）

 【idP】

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

SAML / OIDC認証をサポートの idP に広く対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

【SSO時の手順】

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【SSLクライアント認証の併用（多要素認証・MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

Mattermostのグレードは、Team Edition （無償） / Professional （有償）/ Enterprise（有償） の3グレードがあります。GutHubとの連携はどのグレードでも利用が出来ますが、無償のセルフホストプランでは、SAMLやOIDC認証はサポートされておりません。標準では、SSO機能はProfessional （有償）/ Enterprise（有償）からの対応となっています。

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition / 無償	Professional / 有償	Enterprise / 有償
idP 連携 / SAML認証 / OIDC認証

*Team Edition はOSSです

【Team Edition の主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition では、ビジネスチャットの必要な機能は有しておりユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません。

• 費用を抑えて運用したい
• シングルサインオンで運用したい
• 自社の環境で運用したい
• SaaSを利用できない
• Slackから移行したい

などの場合には、Team Edition は有効な選択枝です。

【Mattermost セルフホスト版】

利用できるMattermostとしては

１）自社で構築のMattermost Team Edition

Mattermost / Team Edition

２）Mattermost　Team Edition が利用できるアプライアンス　「Powered BLUE for Mattermost」も選択が可能です。

【MattermostのTeam EditionでidP連携のSSOで運用する】

ID / パスワード認証のMattermost Team Edition をAzure ADなどのidP連携で運用するには、SAML / OIDC認証に対応したリバースプロキシを利用して、代理認証を行いMattermostへシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

【代理認証】

SAML/OIDC認証対応のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応しています

【SSO時の機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のSSO リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホスト版（ ID / パスワード認証 ）
4. 　ブラウザ（プラグイン不要）

【 idP 】

SAML認証やOIDC認証をサポートのidPに対応

• Microsoft Entra ID（旧名称 Azure AD）
• GMOトラストログイン
• Keycloak
• 他

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

【MattermostへのSSO利用ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス
3. idP の認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証 / MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

【Mattermost のこんな使い方に】

• 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない）
• シングルサインオンで運用したい
• パスワードレス認証で運用したい
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
• VMware / Hyper-V などの仮想環境で運用したい
• オンプレ環境で運用したい
• 自社管理で運用したい

ご質問やご相談など

シングルサインオンに未対応のRoundcubeサーバーに、idPと連携したSAML認証やOIDC認証に対応のID認識型リバースプロキシ / Reverse Proxy 経由でアクセスさせてSSOで構成します。

Roundcubeの改修不要

OIDCやSAML認証に対応していないWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う手法として

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用してユーザーの「代理認証」を行い、Webシステムへシングルサインオンでアクセスします。既存で運用中のRoundcubeの改修は不要です。（新規に導入のRoundcubeにも対応できます）

* Roundcube以外の「SAMLやOIDCに未対応のWebサイト」でもSSOでの運用が可能

idP連携のOIDC/SAML認証のリバースプロキシからroundcubeへ代理入力＆SSO

*「Roundcube 」は WAN / DMZ / LAN の任意の場所の設置に対応しています

代理認証

OIDC / SAML認証に対応のリバースプロキシからRoundcubeへ「ID / パスワード」の代理入力を行います。

1. ユーザーからRoundcubeへの「ID / パスワード」の入力不要
2. RoundcubeをSSOのメンバーとして構成

必要な機器

1. idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. Roundcube（改修不要）
4. ブラウザ（ プラグイン不要 ）

 idP

idPとしては、Microsoft Entra ID（旧名称 Azure AD）の他に

SAML認証やOIDC認証をサポートの

• GMOトラストログイン
• Keycloak
• 他

にも対応

idPとリバースプロキシはSAML認証やOIDC認証で接続

リバースプロキシの特徴

1. バックエンドのWebを隠蔽
2. バックエンドのWebのOSに依存せずに導入できる
3. ブラウザのみで利用できる（VPNのような専用ソフトは不要）

リバースプロキシ・アプライアンス製品

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス
3. idP の認証後にリバースプロキシからRoundcubeへユーザー情報を代理入力
4. Roundcubeへ自動ログイン

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます