IDaaSのCloudGate UNOを利用して、社内LAN側に設置のSSO/シングルサインオンに未対応のWebサーバーに、SAML2.0対応のSP機能を持つリバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

SP側のリバースプロキシサーバーにはユーザーアカウントを作成することなく、部門や社員、会員毎ごとにリバースプロキシへのアクセスコントロールの設定・運用にも対応しています。

社内Webへのアクセスに際して、モバイル用の閉域網やVPNなどは不要です。利用者は、ブラウザのみで利用できます。

SP(サービス・プロバイダ）

SPとしては、SAML2.0に対応したSSOのリバースプロキシ機能を持つ「Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

この製品は

• SAML2.0対応のWeb&リバースプロキシ機能
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• WordPress /  Let’s Encrypt （フリープラグインで提供）
• 仮想アプライアンス
• SSLクライアント認証
• ワンタイムパスワード認証
• ひとり情シスでの運用に対応

のWebサーバーです。CentOSやRedHatに対応しておりAWSなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

自社で運用出来るリバースプロキシでは、idPへのアクセス時の認証の他に、リバースプロキシ独自で、SSLクライアント認証やワンタイムパスワード認証を設定することが可能です。社内LAN側へのアクセスに際して自社のポリシーを個別に適用したい場合などには有効です。

idP(アイデンティティ・プロバイダ）

idPとしてはSAML2.0に対応した　上記のCloudGate UNOの他、G suite、Azure ADやTrustLogin、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

SP（サービス・プロバイダ）

「Powered BLUE Reverse Proxy for SSO/IDaaS」をSAML2.0のSP（サービスプロバイダ）として設定します

構成例

以下のようなリバースプロキシ構成での設定例です

SAML/SP リバースプロキシのWebサイト　　https://wp-sam.mubit.jp

• リバースプロキシ上でSAML2.0の認証を行います
• SAML認証後に、リバースプロキシにより指定のサイトへリダイレクトさせます

例　社内のSharepointへリダイレクト

ネットワーク構成

ブログのサイトへリレイ

idP －－＞＞SP (Reverse Proxy ) https://wp-sam.mubit.jp/blog －－＞＞https://sni-1.mubit.jp/blog/

idP －－＞＞SP (Reverse Proxy ) https://wp-sam.mubit.jp/webmail/ －－＞＞https://sni-1.mubit.jp/webmail/

例　User —> https://wp-sam.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

例　User —> https://wp-sam.mubit.jp/webmail/ —> https://sni-1.mubit.jp/webmail/

リバースプロキシ/SP側の設定

Powered BLUE Reverse Proxy for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　http://wp-sam.mubit.jp

Webサーバの有効化

Webサーバーを有効にする　にチェックを入れます

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。

SSLのサーバー証明書としては

• サイトのSSL自己証明
• パブリックなSSLサーバー証明書
• Let’s EncryptでのSSLサーバー証明書

に対応しています。

WebサイトのSSL自己証明の場合

SSLを有効にする　にチェックを入れます

パブリックなSSLサーバー証明書の場合

必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。

• 「署名リクエストの作成」でファイルを保存
• 作成された「署名リクエスト」　ファイル　signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

• 公的機関で発行された、サーバー証明書を　「インポート」　します
• 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

インストールボタンをクリック

Let’s Encryptインストール後に　有効にする　にチェックを入れます

リバースプロキシ

作成した仮想サイトにリバースプロキシを設定します

複数のリバースプロキシ先/バックエンドを指定できます

例　https://wp-sam.mubit.jp/blog  —->  https://sni-1.mubit.jp/blog/

例　 https://wp-sam.mubit.jp/webmail —>  http://sni-1.mubit.jp/webmail/

SAML2.0設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

idP側で作成のメタデータ（xml）をアップロードします

SAML2.0の認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

グループアクセスでのコントロールが不要の場合には、SP側はここまでの設定です

https://wp-sam.mubt.jp/webmail/  　にSAML認証を適用させる場合も、同様の設定を行います

attributeの指定

グループでのリバースプロキシへのアクセスコントロールを行なう場合に、attributeを追加で設定します

それぞれのパスに対して、idP側で設定の　attribute-value　もしくは　ロール　の指定が出来ます

部門毎やグループ毎などにリバースプロキシへのアクセスコントロールを行ないたい場合には、便利な機能です。

• 例　営業部・開発部・総務部はidPでリバースプロキシへのアクセスを許可する
• 例　特定の役職以上はリバースプロキシへのアクセスを許可する

attribute=”groups”    value=”  mbt”  でのアクセスを許可の場合の設定例

SAMLの有効化

設定のSAMLを有効にします

idPの設定

IDaaSでSAML2.0をサポートしていれば、Powered BLUE Reverse Proxy for SSO/IDaaSと接続が出来ます。今回はidPとして日本国内のクラウド基盤で運用されているISR社の「 CloudGate UNO 」を利用します。

利用者側では、「Powered BLUE Reverse Proxy  for SSO/IDaaS」に作成したSP側の情報

• アクセスURL
• エンティティID

などのSP側のxmlファイルの情報を「CloudGate UNO」の管理画面から登録します

「SPメタデータのダウンロード」ボタンを押すことで、SP側のxmlファイルがダウンロード出来ます