社内LAN側に設置のSSO/シングルサイオンに未対応のID/パスワード入力を要求するWebサーバーに、CloudGate UNOの代理入力機能を使って社外からアクセスする方法です。オンプレミスの社内WebアプリへのアクセスにIDaaS/idPのCloudGate UNOと連携が出来ます。
外部のIDaaSからLAN内のWebサーバへのアクセスには、SAML-SP機能を有して代理入力を中継できるリバースプロキシ/Reverse Proxyを利用します。
SMAL/SSOに対応していないアプリケーションにも、代理入力を利用することでシングルサインオンと同様にターゲットのWebアプリケーションにログインが出来ます。
社内Webへのアクセスに際して、VPNやモバイル端末用の閉域網は不要です。ブラウザのみでアクセスができます。
動作要件
- IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること
- リバースプロキシ側では、SAML-SP機能を有してidPからの代理入力をターゲットのWebサーバーへ中継出来ること
idPなど
フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては
- CloudGate UNO
- TrustLogin
- onelogin
- okta
などがあります。
フォームベース認証の代理入力
フォームベース認証の代理入力は、idP側に登録したID/Passwdを他システムのログインフォームに代理入力することでログインする仕組みになります。
BASIC認証の代理入力
BASIC認証の代理入力はID/PasswdをHTTPヘッダに記載しサーバーに送信することでログインする仕組みになります。
SSOや代理入力対応のリバースプロキシ
リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証やワンタイムパスワード認証をサポートしている 「Powered BLUE Reverse Proxy for SSO/IDaaS」を利用します。
アプリケーション 例
Formbase認証のWebとしては、今回 Roundcube / Webmail やownCloudへアクセスします
ターゲット Web
roundcube https:// t-own.mubit.jp/webmail
owncloud https:// t-own.mubit.jp/owncloud
ネットワーク構成
idP -->> (Reverse Proxy ) t-ca.mubit.jp/webmail -->>t-own.mubit.jp/webmail
idP -->> (Reverse Proxy ) t-ca.mubit.jp/owncloud -->>t-own.mubit.jp/owncloud
idP
今回は国内のクラウド基盤上でサービスを提供されており、フォームベース認証やBASIC認証をidP側でサポートしているCloudGate UNOを利用します
また、フォームベース認証やBASIC認証の入力機構であるCloudGate UNOの拡張機能を、事前にご利用のブラウザへ組込必要があります
リバースプロキシの設定
Powered BLUE Reverse Proxy for SSO/IDaaSの設定をします
https://t-ca.mubit.jp
仮想サイト作成
リバースプロキシを運用する仮想サイトを構築します
例 https://t-ca.mubit.jp
Webサーバの有効化
Webサーバーを有効にする にチェックを入れます
仮想サイトのSSL化
リバースプロキシを運用するWebサイトのSSL化を行ないます。自己証明によるSSL化、Let’s EncryptでのSSL証明書やパブリックなSSL証明書のインポートに対応しています。
WebサイトのSSL自己証明の場合
SSLを有効にする にチェックを入れます
Let’s Encryptの場合
フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします
FreeSSLを選択
インストールボタンをクリック
Let’s Encryptインストール後に 有効にする にチェックを入れます
リバースプロキシの設定
太字部分を設定します
https://t-ca.mubit.jp/owncloud/ ——->> https://t-own.mubit.jp/owncloud/
https://t-ca.mubit.jp/webmail/ ——->> https://t-own.mubit.jp/webmail/
CloudGate UNOの設定
今回はidPとして日本国内のクラウド基盤で運用されているISR社の「 CloudGate UNO 」の代理入力の機能を利用して「Powered BLUE Reverse Proxy for SSO/IDaaS」と接続を行ないます。
idPの「 CloudGate UNO 」と「Powered BLUE Reverse Proxy for SSO/IDaaS」を連携の場合、ID/Passwdの代理入力の設定については、利用企業管理者が「CloudGate UNO」の管理画面から行なう必要があります。
ターゲットwebへアクセス
自動代理入力
idP/CloudGateUNOによる フォームベース認証のroundcube Web メールへリバースプロキシ経由でのID/パスワード の自動代理入力
自動ログイン
roundcubeへの自動ログイン
owncloudも同様の設定を行います
ターゲットwebへアクセス
自動代理入力
idP/CloudGate UNOによる フォームベース認証のowncloudへリバースプロキシ経由でのID/パスワード の自動代理入力
ownCloudへの自動ログイン
独自認証
idPへのアクセス認証とは別に、自社で運用するリバースプロキシ上に独自にSSLクライアント認証を設定することが出来ます。社内LAN側のサーバーへのアクセスに際して、自社独自のアクセス基準などがある場合には、自社の管理下で運用するリバースプロキシへのアクセスコントロールを設定出来るSSLクライアント認証は有効です。
リバースプロキシでのSSLクライアント認証の構築手順&設定 例
- Private CAを構築
- t-ca.mubit.jp のWebサイトに SSLクライアント認証を設定
- SSLクライアント認証後にリバースプロキシでターゲットのWebサイトへの転送
Private CA
リバースプロキシ上にPrivate CAを構築します
SSLクライアント証明書発行
SSLクライアント証明書を発行して、ユーザーへ配布します
SSLクライアント認証
リバースプロキシへアクセス時のSSLクライアント認証の有効化
サイト全体にSSLクライアント認証を有効に設定
https://t-ca.mubit.jp
リバースプロキシのディレクトリ毎のSSLクライアント認証のオン・オフ設定も出来ます
SSLクライアント認証を有効に設定
https://t-ca.mubit.jp/xxxx
SSLクライアント認証を無効に設定
https://t-ca.mubit.jp/yyyy
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、リバースプロキシへのアクセスコントロールを設定出来ます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
グループウエアへのアクセス例
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
ログの出力先などの指定
SSLクライアント認証のログ出力先
SAML対応のリバースプロキシ
IDaaSのCloudGate UNOを利用して、社内LAN側に設置のSSO/シングルサインオンに未対応のWebサーバーに、SAML2.0対応のSP機能を持つリバースプロキシ/Reverse Proxy経由でアクセスする場合の運用にも対応しています。
CloudGate UNOを利用/SAML対応のリバースプロキシで社内Webへアクセス
冗長化
シングルリージョンでSP/リバースプロキシの冗長構成での運用
マルチリージョンでSP/リバースプロキシの冗長構成での運用
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
自社WebサイトをSAML認証で運用出来るWebサーバー
Powered BLUE SAML対応シリーズの製品には、SAML認証対応のWebサーバーもあります。自社で運用するWebサーバーへSAML認証機能を付けて運用することに対応 Powered BLUW Web SSO/IDaaS 一般的なWebサイトやWordPress対応のWebサイトをSAML認証で運用することが出来ます。
CloudGate UNOを利用して自社WebをSAML認証で運用
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。