月別アーカイブ: 2019年6月

CloudGate UNOの代理入力を利用してリバースプロキシ経由で社内Webへ自動ログイン(IDaaS/idP)

社内LAN側に設置のSSO/シングルサイオンに未対応のID/パスワード入力を要求するWebサーバーに、CloudGate UNOの代理入力機能を使って社外からアクセスする方法です。オンプレミスの社内WebアプリへのアクセスにIDaaS/idPのCloudGate UNOと連携が出来ます。

外部のIDaaSからLAN内のWebサーバへのアクセスには、SAML-SP機能を有して代理入力を中継できるリバースプロキシ/Reverse Proxyを利用します。

SMAL/SSOに対応していないアプリケーションにも、代理入力を利用することでシングルサインオンと同様にターゲットのWebアプリケーションにログインが出来ます。

社内Webへのアクセスに際して、VPNやモバイル端末用の閉域網は不要です。ブラウザのみでアクセスができます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/reverse-02.png

動作要件

  • IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること
  • リバースプロキシ側では、SAML-SP機能を有してidPからの代理入力をターゲットのWebサーバーへ中継出来ること

https://www.mubit.co.jp/sub/products/blue/img2/login-3.png

 

idPなど

フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては

  • CloudGate UNO
  • TrustLogin
  • onelogin
  • okta

などがあります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/cloudgate-1-4.png

 

フォームベース認証の代理入力

フォームベース認証の代理入力は、idP側に登録したID/Passwdを他システムのログインフォームに代理入力することでログインする仕組みになります。

 

BASIC認証の代理入力

BASIC認証の代理入力はID/PasswdをHTTPヘッダに記載しサーバーに送信することでログインする仕組みになります。

 

SSOや代理入力対応のリバースプロキシ

リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証やワンタイムパスワード認証をサポートしている Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

アプリケーション 例

Formbase認証のWebとしては、今回 Roundcube / Webmail やownCloudへアクセスします

 

ターゲット Web

roundcube      https:// t-own.mubit.jp/webmail

owncloud       https:// t-own.mubit.jp/owncloud

 

ネットワーク構成

idP -->> (Reverse Proxy ) t-ca.mubit.jp/webmail -->>t-own.mubit.jp/webmail

idP -->> (Reverse Proxy ) t-ca.mubit.jp/owncloud -->>t-own.mubit.jp/owncloud

 

idP 

今回は国内のクラウド基盤上でサービスを提供されており、フォームベース認証やBASIC認証をidP側でサポートしているCloudGate UNOを利用します

また、フォームベース認証やBASIC認証の入力機構であるCloudGate UNOの拡張機能を、事前にご利用のブラウザへ組込必要があります

 

リバースプロキシの設定

Powered BLUE Reverse Proxy for SSO/IDaaSの設定をします

https://t-ca.mubit.jp

 

仮想サイト作成

リバースプロキシを運用する仮想サイトを構築します

例 https://t-ca.mubit.jp

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/05/trust-login-21.png

 

Webサーバの有効化

Webサーバーを有効にする にチェックを入れます

 

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。自己証明によるSSL化、Let’s EncryptでのSSL証明書やパブリックなSSL証明書のインポートに対応しています。

WebサイトのSSL自己証明の場合

SSLを有効にする にチェックを入れます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/B870-saml-2.png

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

インストールボタンをクリック

Let’s Encryptインストール後に 有効にする にチェックを入れます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/05/trust-login-22.png

リバースプロキシの設定

太字部分を設定します

https://t-ca.mubit.jp/owncloud/ ——->> https://t-own.mubit.jp/owncloud/

https://t-ca.mubit.jp/webmail/ ——->> https://t-own.mubit.jp/webmail/

 

CloudGate UNOの設定

今回はidPとして日本国内のクラウド基盤で運用されているISR社の「 CloudGate UNO 」の代理入力の機能を利用して「Powered BLUE Reverse Proxy for SSO/IDaaS」と接続を行ないます。

idPの「 CloudGate UNO 」と「Powered BLUE Reverse Proxy for SSO/IDaaS」を連携の場合、ID/Passwdの代理入力の設定については、利用企業管理者が「CloudGate UNO」の管理画面から行なう必要があります。

 

ターゲットwebへアクセス

自動代理入力

idP/CloudGateUNOによる フォームベース認証のroundcube Web メールへリバースプロキシ経由でのID/パスワード の自動代理入力

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/roundcube-12.png

自動ログイン

roundcubeへの自動ログイン

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/05/trust-login-38.png

 

owncloudも同様の設定を行います

ターゲットwebへアクセス

自動代理入力

idP/CloudGate UNOによる フォームベース認証のowncloudへリバースプロキシ経由でのID/パスワード の自動代理入力

ownCloudへの自動ログイン

 

独自認証

idPへのアクセス認証とは別に、自社で運用するリバースプロキシ上に独自にSSLクライアント認証を設定することが出来ます。社内LAN側のサーバーへのアクセスに際して、自社独自のアクセス基準などがある場合には、自社の管理下で運用するリバースプロキシへのアクセスコントロールを設定出来るSSLクライアント認証は有効です。

 

リバースプロキシでのSSLクライアント認証の構築手順&設定 例

  • Private CAを構築
  • t-ca.mubit.jp のWebサイトに SSLクライアント認証を設定
  • SSLクライアント認証後にリバースプロキシでターゲットのWebサイトへの転送

 

Private CA

リバースプロキシ上にPrivate CAを構築します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/private-ca-1.png

 

SSLクライアント証明書発行

SSLクライアント証明書を発行して、ユーザーへ配布します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/private-ca-2-1.png

 

SSLクライアント認証

リバースプロキシへアクセス時のSSLクライアント認証の有効化

サイト全体にSSLクライアント認証を有効に設定

https://t-ca.mubit.jp

 

リバースプロキシのディレクトリ毎のSSLクライアント認証のオン・オフ設定も出来ます

SSLクライアント認証を有効に設定

https://t-ca.mubit.jp/xxxx

 

SSLクライアント認証を無効に設定

https://t-ca.mubit.jp/yyyy

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/05/trust-login-24.png

 

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、リバースプロキシへのアクセスコントロールを設定出来ます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

グループウエアへのアクセス例

SSLクライアント証明書 〇   SSLクライアント証明書 ✕

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

 

ログの出力先などの指定

SSLクライアント認証のログ出力先

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-2.png

 

SAML対応のリバースプロキシ

IDaaSのCloudGate UNOを利用して、社内LAN側に設置のSSO/シングルサインオンに未対応のWebサーバーに、SAML2.0対応のSP機能を持つリバースプロキシ/Reverse Proxy経由でアクセスする場合の運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-1.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif CloudGate UNOを利用/SAML対応のリバースプロキシで社内Webへアクセス

 

冗長化

シングルリージョンでSP/リバースプロキシの冗長構成での運用

https://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-3.png

マルチリージョンでSP/リバースプロキシの冗長構成での運用

・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-2.png

 

自社WebサイトをSAML認証で運用出来るWebサーバー

Powered BLUE SAML対応シリーズの製品には、SAML認証対応のWebサーバーもあります。自社で運用するWebサーバーへSAML認証機能を付けて運用することに対応  https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUW Web SSO/IDaaS  一般的なWebサイトやWordPress対応のWebサイトをSAML認証で運用することが出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-4.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif CloudGate UNOを利用して自社WebをSAML認証で運用

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。