Quarkus対応版のKeycloakを簡単に構築できて、管理者の負担を最小限にしてシングルサインオンの基盤を自社運用できるキットがKeycloakのアプライアンスです。

Keycloakアプライアンスでは、Keycloakへのアクセスポートも標準でSSLの「https / 443番」ポートでの運用に対応。

例　https : //  idp . keycloak . com /

リバースプロキシでの構成やデータベース設定、クラスター構成やクローズドネットワーク（閉域網）での運用などを実現できます。

Keycloakアプライアンス

セキュリティや管理者の負担軽減を考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

の利用が可能です。

簡単セットアップや運用

GUIからKeycloakやサーバー設定に対応

• サーバーの設定（Network / Firewall / SELinux )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定や構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシとKeycloak 連携機能（1台での運用に対応）
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）
• パッチの自動適用

コマンドラインからのプログラムのインストールや設定は不要

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で運用

• リバースプロキシ経由でKeycloakへアクセスさせる構成です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  httpポート設定
443 / 8080 / 80  /etc

SSLサーバー証明書の登録

• 自己証明書やパブリックなSSLサーバー証明書の登録も簡単

スタンドアローンやクラスター構成　DBセットアップ

• DB選択
• スタンドアローンとクラスター構成

• クラスター構成

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

• バックアップやリストア機能

サーバー管理者の負担軽減での運用

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーの自己監視機能や自動再起動機能により

• 外部の監視サービスを利用しない運用に対応

Keycloakアプライアンスの構成

• 　OS  RockyLinux   /  RedHat
• 　Keycloak（アプリ）
• 　GUIでのサーバーやアプリの設定

アプライアンスの運用先

オンプレやクラウド環境、仮想基盤での自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

ご質問やご相談など

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition セルフホスト / 無償	Professional / 有償	Enterprise / 有償
idP連携 / SAML認証 OIDC認証

* Team Edition セルフホストはOSSです

【Team Edition セルフホスト・プランの主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

• 費用を抑えて運用したい
• 自社の環境で運用したい
• SaaSを利用できない
• クローズド環境で運用する必要がある
• Slackから移行したい ( マイグレーション)

などの場合には、Team Edition セルフホストプランにメリットがあります。

リバースプロキシ

無償版のTeam Edition を改修なしでidPと認証連携する方法としては、代理認証方式のリバースプロキシ経由でシングルサインオンを実現できます。

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

代理認証

idP と連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応

MattermostのTeam EditionでidP連携のSSOで運用

ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidPやKeycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

必要な機器構成

1. 　idP
2. 　SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホストプラン
4. 　ブラウザ（プラグイン不要）

idP

idPはSAMLやOIDC認証でリバースプロキシと接続します

SAML / OIDC認証をサポートの 一般的なidP に対応

• Microsoft Entra ID（旧名称  Azure AD）
• GMOトラストログイン
• Keycloak
• 他

Mattermost のSSO利用手順

1. リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからMattermostへ「ユーザー情報」を代理入力
4. Mattermostへ自動ログイン

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

SSLクライアント認証の併用（多要素認証 / MFA）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

クローズドネットワークでの運用

• インターネットから分離された閉域網での運用にも対応

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

リバースプロキシ + 代理入力 + Mattermost を1台で運用

1. SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
2. 代理認証
3. Mattermost  Team Edition セルフホストプラン

の機能を1個の仮想サイトで運用できるオールインワンのモデルもあります

　Powered BLUE for Mattermost

SSO対応 Mattermost のオールインワン構成

*  オールインワン構成の場合には、リバースプロキシ経由でのアクセスに限定できるので、セキュリティ面でも、さらに安全な運用が可能になります。

アプライアンスの構成

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　Reverse-Proxy
• 　Mattermost （同居　もしくは　分離）
• 　GUIでのサーバーやアプリの設定

アプライアンスの運用先

クラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS /VPSなど

製品についての、ご質問やご相談など

Quarkusは Keycloak ver 17  から利用が出来ます。WildFlyはver 21からはサポートされません。

New admin UI console

クライアント

ロール

ユーザー

Keycloak アプライアンス

RockyLinux 8.x / RedHat 8.xで動作するKeycloak / Quarkusに対応の　Keycloak idP アプライアンス　「Powered BLUE idP for Keycloak」

GUIからKeycloakの

• セットアップ
• リバースプロキシ
• バージョンアップ＆バックアップ＆リストア

に対応しています

Powered BLUE idP for Keycloak　構成

• OS RedHat 8.x / RockyLinux 8.x 対応
• Keycloak
• GUIでのサーバーやアプリの設定
• アプライアンス

GUIからの設定

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの各種設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• SSLサーバー証明書の登録 ( キーストア やトラストストア)
• keycloak ログ
• リバースプロキシ内蔵
• SSLクライアント認証（多要素認証）
• OSなどの自動パッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

など対応しており、コマンドラインからのプログラムのインストールや設定は不要です

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

サーバー構成の設定

• データベース構成
• スタンドアローンやクラスター構成

• クラスター構成

SSLサーバー証明書機能

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書や中間証明書のインポート機能
• キーストアへのSSL証明書登録機能
• トラストストアへのSSL証明書登録機能

バージョンアップ

• Keycloakの運用管理
• Keycloakのバージョン管理

バックアップ＆リストア

• Keycloakのアックアップ

サーバー管理者の負担軽減

• サーバーの自己監視やサービスの再起動
• パッチの自動アップデート
• 管理者への通知機能

Keycloakの認証強化

KeycloakへのアクセスをSSLクライアント認証（多要素認証）で運用の構成

１）　SSLクライアント認証
２）　ID / パスワード認証

有効なSSLクライアント証明書の場合

１）SP （Webやリバースプロキシ） にアクセス
２）idP / Keycloakの認証
（初回のみ / SSO / SSLクライアント認証）
３）認証の成功後　ターゲットSPのWebを表示

有効なSSLクライアント証明書の無い場合

• 連携のPrivate CA
• KeycloakでのSSLクライアント認証の設定例

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃	ブロック　〇	ブロック

対応の運用先

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他

• 東京リージョン /  HVM / EBS-Backed

Powered BLUE では、以下のようなインターネットサーバー機能をAWS上の1台での運用にも対応しています

AMIの選択

サーバータイプを選択します

（例　t2.micro / t2.small / t2.medium などから選択）

運用環境　最小スペック  1CPU / 1GB Memory / Ether x 1

VPNでアクセスの場合には、グローバルIPはアサインの必要はありません
インターネット側からアクセスの場合には、グローバルIPのアサインが必要です
すでに保有している固定IP（Elastic IP) をアサインしても構いません （推奨）

サーバーの起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは　http 81 / 444 番です　firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス    例　http://54.65.86.66:444

Start ボタンを押します

Accept ボタンを押します

管理サーバー名などを入力します

DNS などはAWSのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUI表示は日本語となります。

Time-Zoneなどを適宜選択します

ウイザードの終了後に、サーバーへ再ログインします

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

管理サイト

NTPサーバーを指定します

Powered BLUEは、管理サイトと仮想サイトを1個の同一ＩＰでの運用および異なるIPでの運用に対応しています

1個の同一ＩＰで管理サイトと仮想サイトを運用の場合 （グローバルIP=1個）

httpのアクセスの場合には、アクセスポートなどで振り分けを行います

管理サイトは444番　仮想サイト側は80番や443番でのアクセスとなります

SNI対応なので、仮想サイト側は複数のWebサイトの常時SSL化を固定IPアドレス1個での運用が出来ます

• 　　管理サイト-port 444　　IP 10.0.0.10    b860-demo.mubit.com
•             http://b860-demo.mubit.com：444/
• 　　仮想サイト1-port 80　IP 10.0.0.10    kasou.xxx-yyy-zzz.com
•             http://kasou.xxx-yyy-zzz.com/
•      仮想サイト2-port 443　IP 10.0.0.10    kasou2.xxx-yyy-zzz.com
•             https://kasou2.xxx-yyy-zzz.com/
•      仮想サイト3-port 443　IP 10.0.0.10    kasou3.xxx-yyy-zzz.com
•             https://kasou3.xxx-yyy-zzz.com/

尚、利用しているDNSに、管理サイト、仮想サイト1、仮想サイト2　IP 10.0.0.10

• 　　b860-demo.mubit.com
• 　　kasou.xxx-yyy-zzz.com
• 　　kasou2.xxx-yyy-zzz.com

の登録を行ないます

443番(SSL)で仮想サイトへアクセスの場合には、仮想サイトへ証明書 (自己証明やパブリックなサーバー証明書) を登録します　（Let’s Encryptにも対応）

管理サイトと仮想サイトに異なるIPをアサインの場合　(複数のグローバルIPをアサインする）

AWSのNetwork Interfaces から　アサインしたいサーバを選択してactionsタブのManagement Private IP Addressから自動もしくは手動でプライベートIPをアサインします。

• 既存　　プライベートIP 10.0.0.10  はグローバルIP 54.65.17.7 へアサイン済
• 新規　　プライベートIP 10.0.0.11 を入手

Elastic IPsからAllocate New addressのVPC タイプで新規のグローバルＩＰを入手します

新規にグローバルIP  54.65.47.1 を入手

サーバーを選択して、入手した新規のグローバルIPを新規のプライベートIPへアサインします

• グローバルIP  54.65.47.1 をプライベートIP 10.0.0.11へアサイン

一台のサーバーに2個のIPがアサインされています

• 既存　　プライベートIP 10.0.0.10  — グローバルIP 54.65.17.7 へアサイン
• 新規　　プライベートIP 10.0.0.11  — グローバルIP 54.65.47.7へアサイン

仮想サイトを作成

• 仮想サイトをプライベートIP 10.0.0.11 　サイト名　kasou.xxx-yyy-zzz.com で作成します

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【ログの長期保存やトラップ（オプション）】

syslog サーバーとしても運用が出来ます

• シスログ送信・中継・受信の３モードでの同時運用に対応
• 拠点間のログの安全な送受信
• port指定に対応 ( UDP / TCP / RELP / TLS )
• TLS認証に対応
• 送信キューに対応

• 複数サーバーのログ受信および保存

ログの保存期間 (設定例）

• 受信ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年

【Powered BLUE サーバー設定】

• AWSへの Powered BLUE サーバー設定後の引き渡しにも対応
• 社内監査対応など

Powered BLUEの　　デモサーバー

基本操作 / Web /  リバースプロキシ / SSLクライアント認証 / 仮想サイト などのデモが出来ます

ご質問やご相談など

Webサイトには、SSLクライアント認証やワンタイムパスワード認証、SAML認証、OIDC認証、FIDO2生体認証、AD認証などの各種の認証を設定することが出来ます。また認証対応のリバースプロキシとしても運用が可能です。

一般的なOpenStackで同様の構成での運用も可能です。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• OpenStack準拠
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロード費用は無償
• Firewallは無償
• Ansible対応
• OpenStackの標準GUI Horizon対応

などです。

【OpenStack準拠】

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

【オブジェクトストレージからのダウンロードに課金されない】

FUJITSU Hybrid IT Service FJcloud-Oのネットワークの通信費用は、ベストエフォートの固定料金です。Firewallも標準で付属しており使用に際して、別途の費用は不要です。

またオブジェクトストレージのデータアップロード&ダウンロードにも費用はかかりません ( AWSや他社のクラウドサービスでは、オブジェクトストレージからのダウンロードに課金されます）。

インターネット側の回線もベストエフォートを選択することで、固定の通信費用での運用が出来ます（従量課金ではありません）。

ドル建てベースのサービスでは為替で費用が変動しますが、円での支払いで「固定料金」での運用が可能です。

【インターネットサーバー】

Powered BLUE 880 サーバーは、Mail / Web / DNS などのインターネットサーバー機能を「FUJITSU Hybrid IT Service FJcloud-O」上に構築の1台のPowered BLUE で運用することが出来ます

Powered BLUE 880 サーバー

【Powered BLUE 880 の主な機能】

Mail	Web	DNS	サービス監視	パッチ適用
SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録	TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録	SPF TXT SRV	サービスの 自動再起動	パッチの 自動適用

【拡張機能】

【スペック】

「FUJITSU Hybrid IT Service FJcloud-O」環境上に RockyLinux 8.x  OSで運用する「Powered BLUE 880」アプライアンスサーバーを構築＆提供します。( RedHat 8.xも選択可能 )

【アプライアンス】

【dhcp環境】

尚Powered BLUEのインストールに際して「FUJITSU Hybrid IT Service FJcloud-O」の基盤側では、以下のrouter,network,firewall,dhcp関連の事前設定が必要です。(通常はdhcp関連の項目は設定済です）

またインストール時には

• WAN側にアクセス出来ること
• DNSはインターネット側の名前を解決出来ること
• Firewall などはポート 22 / 81 / 444 にアクセス出来ること

などが必要です。

上記の設定後に、「FUJITSU Hybrid IT Service FJcloud-O」 で インスタンスを作成します。

• サーバー名設定   　　　　　　   例　Powered BLUE 880
• サーバータイプ選択                      例　C3-1 (1vCPU / 2048MB Memory）
• パブリックイメージ選択　　　   例　RockyLinux 8.x
• HDD サイズ指定　                         例　30GB

Fujitsu Cloud Service for OSS（4OSS）上にRockyLinux 8.xのインスタンス構築設定　例

【セットアップウイザード開始】

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示（FJcloud-O は英語がデフォルト）

【基本設定】

• サーバー名（Host名　Domain名を指定）
• DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています）
• 管理者のパスワード
• 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 ）
• タイムゾーン（日本時間を選択）

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

【Powere BLUE へログイン】

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

【DNS / FTP / Web / 仮想サイト機能　（サービスの有効化 / on ）】

【SMTPサービスの設定】

• POPS / IMAPS
• 送信メールのSmarthost 2重化（ スマートリレイ / バックアップリレイ ）
• 受信メールの配送経路指定
• DKIM / DMARC / SPF （ 送信ドメイン認証 ）

【SMTPサーバーのSSL証明書】

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。

• 電子メールサーバー専用のSSL証明書の登録機能

【サーバーの時刻の設定】

• NTPサーバーを指定 （2重）

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【認証対応のリバースプロキシ】

各種の認証に対応のリバースプロキシとしての運用に対応しています

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【ログの長期保存やトラップ（オプション）】

syslog サーバーとしても運用が出来ます

• シスログ送信・中継・受信の３モードでの同時運用に対応
• 拠点間のログの安全な送受信
• port指定に対応 ( UDP / TCP / RELP / TLS )
• TLS認証に対応
• 送信キューに対応

• 複数サーバーのログ受信および保存

ログの保存期間 (設定例）

• 受信ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年

指定キーワードでのトラップ&管理者へ通知

• 　アラートには任意のキーワードでトラップを設定
• 　トラップが連続した場合でも、送信メールの間隔を設定
  （例　xxx のキーワードを検知の場合、900秒間隔でのメール送信通知）

【Powered BLUE サーバー設定】

• FJCloud-O への Powered BLUE サーバー設定後の引き渡しにも対応
• セキュリティ監査対応など

【デモサイト】

Powered BLUE のデモサイト

ご質問やご相談など

ID管理のKeycloakとOIDC認証対応のリバースプロキシ機能の組み合わせで、認証連携を行う場合の構成例です。ターゲットのWebサイトには、OIDC認証に対応のリバースプロキシ経由で既存Webへアクセスさせることが出来ます。

従来から運用のWebアプリは、SSOに対応していないことがほとんどです。その場合にはリバースプロキシを経由することで、既存のWeb側の改修は不要で OpenD Connect 認証機能や代理入力&代理認証によりシングルサインオンでの運用に対応します。

• ID管理　Keycloak ( OpenID Provider / OP )
• 認証対応のリバースプロキシ（Relying Party / RP）

【こんな用途に対応】

• Keycloakの利用でidPの費用を抑えたい
• SAML / OIDC未対応のWebを改修不要でSSOしたい
• 自社WebをSaaS対応にしたい
• メーカー製Webアプリを改修不要でSSOで利用したい
• ユーザーにWebアプリの ID / パスワードを入力させたくない
• ユーザーにWebアプリの ID / パスワードを公開したくない
• ブラウザのみで利用したい
• Active Directoryで認証したい（社内ADと連携）
• 既存のWebサイトを多要素認証に対応させたい
• VPNは負荷が高いので利用は避けたい

【Keycloak / OP】

一般的なKeycloakを利用できます。

またKeycloakとしては、　「Powered BLUE for idP 」のKeycloakアプライアンスを利用することも出来ます。

Keycloakアプライアンスの機能

Keycloakのアプライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLクライアント認証
• SSLサーバー証明書の登録
• OSなどのパッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

コマンドラインからのプログラムのインストールや設定は不要

構成　例

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

スタンドアローンやクラスター構成　DBセットアップ

クラスター構成

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

【認証対応のリバースプロキシ（RP）】

リバースプロキシとしては、OIDC認証やSAML認証に対応の　「Powered BLUE Reverse-Proxy for SSO / iDaaS」を利用することが出来ます。

• マルチドメイン・マルチサイトでのリバースプロキシでの運用に対応
• サイト毎にOIDC認証やSAML認証の異なる認証での運用に対応
• サイト毎に個別のサイト管理者に権限を委譲での運用に対応
• 代理認証機能
• ヘッダー認証機能

【構成例】

今回のOIDC認証連携の構成パターンです

• Keycloak / OP 　⇔　Reverse-Proxy / RP  　⇔　Web
• OpenID Connect / OIDCでの認証

【設定手順の概要】

1. Keycloak / OP の設定
   • 1.1. レルムの作成
   • 1.2. クライアントの作成
   • 1.3. ロールの作成
   • 1.4. ユーザーの作成とロールの割り当て
   • 1.5. OIDC設定ファイル(json)のダウンロード
2. リバースプロキシ / RP の設定
   • 2.1. リバースプロキシの仮想サイトの作成
   • 2.2. KeycloakのOIDC設定ファイル（json)のアップロード
   • 2.3. OIDC認証の適用ディレクトの指定
   • 2.4. リバースプロキシの設定

【Keycloakの設定】

【レルムの作成】

名称設定　例　rev-o

作成後　rev-o

【クライアントの作成】

• クライアントID　例　oidc-demo-client　（名称は適宜付与）
• クライアントプロトコル　選択　openid-connect
• アクセスタイプ　選択　confidential
• 有効なリダイレクトURL  例　 https://www.example.jp/oidc/redirect_uri 

＊　リダイレクトURLは、リバースプロキシ / RP側のOIDCのURLを記載します

【ロールの追加】

ロールを割り当てられたユーザーのみがアクセスできます

例　oidc-demo-role

【ユーザーの作成】

• ユーザー名　demo
• メールアカウント　demo@example.jp

【パスワードの設定】

作成したユーザーの「グレデンシャル」を選択してパスワードを設定します

【ユーザーへロールをアサイン】

例　oidc-demo-role

【OIDCの設定ファイル】

Keycloak からOIDC設定ファイルのダウンロード

例　oidc-demo-client　編集をクリック

例　インストール　を選択

【JSONファイルのダウンロード】

keycloak / OP側 のjson形式の設定ファイルをダウンロードします

【 RPの設定】

Keycloakアプライアンス    「Powered BLUE Reverse-Proxy for SSO / iDaaS」でのOIDCの設定例です

【リバースプロキシのサイト作成】

リバースプロキシの仮想サイト　www.example.jp 　を作成します

【KeycloakからダウンロードのJSONファイルの読み込み】

【データのインポート】

「初期設定 」ボタンでデータを保存します

【OIDCの有効化】

「OIDCを有効にする」に を入れて「保存」ボタンを押して設定を適用します

【認証ディレクトリ】

OIDC認証を適用するディレクトリを設定します

例　/test にOIDC認証を設定

https://www.example.jp/test  　ディレクトリにOIDC認証を設定

【リバースプロキシを設定】

• リバース元　https://www.example.jp/test/　（OIDC認証）
• リバース先　https://www.xyz.com/

「変更を適用する」ボタンを押して適用します

client   ⇒　https://www.example.jp/test/　⇒　https://www.xyz.com/

【アクセス手順】

① https://www.example.jp/test にアクセス

② 初回は、Keycloak へリダイレクトされて認証を求められます

• アカウント　demo@example.jp
• パスワード　xxxxxxxx

③ 認証後にリバースプロキシ先の　https://www.xyz.com/　のWebページが表示

【keycloak連携 / SAMLやOIDC認証に非対応のWebを改修不要でSSO化】

KeycloakとSAML認証やOIDC認証（Open ID Connect）に未対応の既存Webへ、リバースプロキシから ユーザー情報 （ ID / パスワード ）を代理入力してシングルサインオンで運用する構成。

SAML / OIDC  未対応のWeb

【ID認識型リバースプロキシ】

リバースプロキシは、SAML / OIDC認証に対応の「ID認識型リバースプロキシ」

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能＆代理認証機能
• ヘッダー認証機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

【代理認証】

SAML / OIDC認証対応の「ID認識型リバースプロキシ」から、既存のWebサービスへ「ID / パスワード」を代理入力＆代理認証を行います。 *2

1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
2. ID / パスワード認証のWebサービスをSSOのメンバーとして構成

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

【idP連携での既存Webの構成】

idPと連携してSAML認証やOIDC認証に未対応のレガシーな既存Webをシングルサインオンのメンバーとして構成。

• idPとリバースプロキシの認証連携（SAML / OIDC）
• リバースプロキシとWebでの代理認証
• 既存のWebシステムは WANやLAN の任意の場所に設置可能

【SSOに必要な機器】

1. 　idP / Keycloak
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebサービス （ Webの改修は不要 / エージェント不要 ）
4. 　ブラウザ（プラグイン不要）

【Keycloakとの代理認証・SSOでのステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス
3. Keycloak の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【各種WebへのSSO】

一度のidP / Keycloakの認証で、複数のWebへシングルサインオン

【SSLクライアント認証の併用（多要素認証/MFA）】

SSLクライアント認証でKeycloak / idPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【KeycloakとActive Directory連携でのSSO】

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

【アプライアンスの簡単運用】

情シスの負担軽減での運用に対応

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【運用先】

対応の環境

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

【お問合せ】

ご質問やご相談など

既存で運用中のWebサイトに認証機能が「ない」場合や、ID/パスワード認証のみで「認証機能が脆弱」な場合、セキュリティ部門などから認証機能を追加して多要素認証での運用や認証機能の強化を求められる場合があります。

【Webの改修は困難】

運用中のWebを改修して、認証機能を追加するには

• ターゲットのWebサーバーの台数が多い
• プログラム的に改修が難しい
• 改修のコストがかかりすぎる

などで、ターゲットのWebサイトを改修して認証機能の強化をしにくいケースがあります。

【Webの改修不要で認証を強化】

Web認証対応のリバースプロキシを中継することにより

• ターゲットのWebを改修不要
• Web認証機能を追加

することが出来ます

導入前

導入後

【認証機能対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種のWeb認証に対応の

• Powered BLUE リバースプロキシ・アプライアンス

を利用できます。

リバースプロキシのWeb認証としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しています。

【OTP認証機能対応のリバースプロキシ】

ワンタイムパスワード認証のリバースプロキシのモデルは

　Powered BLUE Reverse-Proxy / OTP

毎回、使い捨てのワンタイムパスワードで認証を行います。

【登録方法】

登録は簡単

• スマートフォンユーザーは「QRコード」をスキャン
• PCユーザーは「文字列コード」を登録

【アクセス手順】

① ワンタイムパスワードの表示
② リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
③ 2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

【Q＆A】

Q　利用できる無償のソフトウエアトークンは?
A　Google Authenticator / WinAuth  / Authy  / IIJ SmartKey / Microsoft Authenticatorなど

Q　複数のWebサーバーへのリダイレクトは設定できますか？
A　複数のWebサーバーへのリバースプロキシの設定に対応しています

Q　Powered BLUE リバースプロキシ・アプライアンスの提供形態は?
A　RockyLinuxやRedHatに対応のアプライアンスでの提供となります

Q　Powered BLUE リバースプロキシ・アプライアンスの稼働環境は?
A　AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro  他

Q　運用に際して、サードパーティの監視ソフトは必要ですか？
A　自己監視機能を有しており監視ソフトは不要で、ひとり情シスでの運用に対応しています

Q　ロードバランサー配下でも運用できますか?
A　冗長構成での運用にも対応しています

Q　自社管理で運用したいのですが?
A　Powered BLUE は自社管理で運用できるオールインワンのアプライアンスです

メールの送信者認証（SPF / DKIM / DMARC）やTLS通信にも対応しています。

【Powered BLUE 880 の主な機能】

Mail	Web	DNS	サービス監視	パッチ適用
SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録	TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録	SPF TXT SRV	サービスの 自動再起動	パッチの 自動適用

【Powered BLUE 880】

Powered BLUE 880 はセットアップウィザードで設定が出来ます。

 Powered BLUE 880

【運用先】

Powered BLUE 880は、AWS / Azure / VMware / Hyper-V / VPS  / FUJITSU Hybrid IT Service FJcloud-O などでの運用に対応しており、セットアップウィザードからアプライアンスの設定します。

【セットアップウィザード】

【使用許諾】

【サーバーの基本設定】

• サーバー名 / IP / Networkや参照するDNSを入力
• 日本語モードを選択することで、日本語表示となります

（クリックで拡大）

【管理画面にログイン】

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

【DNS / FTP / Web / 仮想サイト機能　（サービスの有効化 / on ）】

【SMTPサービスの設定】

• POPS / IMAPS
• SMTP / TLS
• 送信メールのSmarthost 2重化（ スマートリレイ / バックアップリレイ ）
• 受信メールの配送経路指定
• DKIM / DMARC / SPF （ 送信ドメイン認証 ）

【SMTPサーバーのSSL証明書】

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。

• 電子メールサーバー専用のSSL証明書の登録機能

【サーバーの時刻の設定】

• NTPサーバーを指定 （2重）

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【DKIM / DMARCの設定】

【SPFレコード / DMARCレコード / DKIM キーペアの作成】

【SMTPセキュリティ機能】

• VRFYコマンド     有効・無効
• HELOコマンド　不正なホスト / FQDNでないホスト接続　許可・拒否
• HELOコマンド　DNSで名前解決が出来ないホスト接続　   許可・拒否

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【マイグレーション】

Powered BLUE の旧機種 B850 / B860 / B870 や Netshaker からのデータ移行にも対応

	⇒
旧機種		Powered BLUE 880

　マイグレーション対応機種

既存Web側に「認証機能がない」もしくは「認証機能が脆弱」の場合でも、既存Web側の改修不要で、顔認証や指紋認証などで認証機能を強化してアクセスさせる運用が可能です。

ターゲットのWebは、LAN側に設置の場合でもアクセスができます。

Azure ADの認証方式

Azure ADで利用できる主な認証方式

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

こんな場合に有効

• Azure ADを利用している
• Azure ADで生体認証を使いたい
• 既存Webへのアクセス認証を強化したい
• 既存Webの改修はしたくない
• 既存WebへAzure ADの生体認証の連携経由でアクセスさせたい

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器の安全性

• Azure ADとの認証には、公開鍵暗号方式を利用
• 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとリバースプロキシはSAML認証連携
• ユーザーはリバースプロキシ経由でターゲットWebへアクセス

SAML認証に対応のリバースプロキシ

Azure AD（idP)と連携するリバースプロキシ（SP）としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のリバースプロキシ機能（SP・サービスプロバイダ）
• アプライアンス
• ひとり情シス対応

のアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

• WAN側やLAN側など任意の場所に設置可能
• リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

SharePoint		デスクネッツ		サイボウズ

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	生体認証器 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応リバースプロキシ
運用先	VMware  / AWS / オンプレ

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　https://wp-sam.mubit.jp

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

例　https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

SAMLの認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

HA構成

　シングルAZ + ロードバランサー

マルチリージョンでリバースプロキシの冗長構成での運用

• リージョンA / 東日本データセンタ
• リージョンB / 西日本データセンタ

◆運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS
• オンプレ

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

SSLクライアント証明書による認証の場合には、毎回異なるパスワードの入力は不要になり多要素認証 ( MFA )としての使い勝手が向上します。

Keycloakの認証強化

SSLクライアント認証により第三者による不正アクセス（なりすまし対策）や悪意のあるボットからのアクセスも防止できます（悪性Bot対策）。

リスト攻撃対策

Keycloakでのワンタイムパスワード認証やCAPTCHA認証と比較すると、SSLクライアント認証はSSLクライアント証明書の無い場合には、KeycloakへのアクセスをブロックできるのでID/パスワードのリスト攻撃も防ぐことが出来ます。

SSLクライアント認証	ワンタイムパスワード認証	CAPTCHA認証
Keycloakへのアクセス前に判定	Keycloakへのアクセス後に判定	Keycloakへのアクセス後に判定
リスト攻撃　ブロック　〇	リスト攻撃　ブロック	リスト攻撃　ブロック

SSLクライアント認証の組合せ

ユーザー端末側には、CAで発行のSSLクライアント証明書をインストールします。

SSLクライアント証明書		SSLサーバー証明書

Keycloakサーバー側には、SSLサーバー証明書をインストールすることで「SSLクライアント認証」を構成出来ます。

プライベートとパブリックの組合せ

	プライベート	パブリック
SSLクライアント証明書
SSLサーバー証明書

証明書としては、プライベートやパブリックのいずれの組みわせでもSSLクライアント認証で動作します。ただしプライベートなSSLサーバー証明書を使うとブラウザでワーニングが出る (*1) ので

• SSLクライアント証明書（プライベート）
• SSLサーバー証明書（パブリック）

の組合せで使うのが、費用を抑えることが出来る組み合わせです。

*1 プライベートなSSLサーバー証明書でブラウザのワーニングを抑制するには、サーバー証明書をブラウザの「信頼されたルート証明機関」に登録します

Keycloak

一般的なKeycloakにもSSLクライアント認証を対応できます

Keycloakアプライアンス

SSLクライアント認証に対応のKeycloakとしては、idPアプライアンス

　「Powered BLUE idP for Keycloak」

での利用も可能です。

Keycloakアプライアンスの構成

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　Keycloak（アプリ）
• 　GUIでのサーバーやアプリの設定

KeycloakアプライアンスのGUI設定

GUIからKeycloakやサーバー設定に対応しています

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシとKeycloak 連携機能（1台での運用に対応）
• SSLクライアント認証
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）

コマンドラインからのプログラムのインストールや設定は不要

リバースプロキシ経由やダイレクトアクセスモードに対応

①   リバースプロキシ構成（有無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ　 ⇒ 8080 / Keycloak )  1台で運用

②  パス設定
https:// idp.keycloak.com / auth /

③  ポート設定
443 / 8080 / 80  /etc

SSLサーバー証明書の登録

• 自己証明書やパブリックなSSLサーバー証明書の登録

DBセットアップやスタンドアローンやクラスター構成

クラスター構成

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

keycloakサーバーの監視やパッチの自動適用

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

Private-CA

SSLクライアント証明書の発行及びSSLクライアント認証局として

「Powered BLUE プライベートCA」

を利用します。

*　パブリックなCAで発行のSSLクライアント証明書での認証も出来ます

Private-CAとKeycloakの構成

• 利用者側には、Private-CAからSSLクライアント証明書を配布します

失効リストの入手＆自動同期

Private-CAの失効リストをKeycloak側で入手＆自動同期する設定をします

SSLクライアント認証のアクセス手順

Web (SP) へアクセス時のSSO

SSLクライアント証明書が有効の場合

1. ターゲットWeb（SP）にアクセス
2. idP / Keycloakの認証
   （初回のみ・シングルサインオン・SSLクライアント認証）
3. 認証の成功後　ターゲットWeb（SP）を表示

有効なSSLクライアント証明書の無い場合

アクセスコントロール

有効なSSLクライアント証明書の場合でも、時間や曜日などでのKeycloakへのアクセスコントロールが可能です。

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したＡさんのアクセス禁止

アプライアンスの提供形態や運用先

運用環境に対応のアプライアンスでの提供

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O（富士通） / IndigoPro（NTTPC） / VPSなど

製品についての、ご質問やご相談など