idPとしてKeycloakとSSO認証に対応したリバースプロキシを組み合わせることで、社内Webアプリケーションに対し、安全なアクセス環境を提供できます。Keycloakは、ローカルユーザーの他に、ユーザーストレージ連携を有しており、LDAPやActive Directoryなどのユーザーを認証することが出来ます。ワンタイムパスワード認証やSSLクライアント認証の併用やHA構成での運用にも対応しています。
社内のWebに関して
- AD認証でアクセスしたい
- LDAP認証でアクセスしたい
- 終端のWebまでSSL通信でアクセスしたい(End-to-EndでのSSL通信)
- ワンタイムパスワード認証でアクセスしたい
- SSLクライアント認証で認証機能を強化したい
場合には、KeycloakはSAML認証対応リバースプロキシと組み合わせることで、上記のようなケースにおいてもターゲット側のアプリに大きな変更をかけずにセキュアなアクセス環境を構築できます。
「Keycloak」と「SAML認証対応のリバースプロキシ」で構成します。
idP/Keycloak
idPとして、SAML認証に対応のkeycloakを利用します。
ローカルユーザー認証に加えて、ユーザーストレージ機能によるAD連携やLDAP連携を利用できます
Keycloakのアプライアンスを利用することもできます
Powered BLUE idP for Keycloak
Keycloakを自社で簡単に運用が出来るidPアプライアンスです
「Powered BLUE idP for Keycloak」
Powered BLUE idP for Keycloak 構成
- OS RedHat 8.x / RockyLinux 8.x 対応
- Keycloak (アプリ)
- GUIでのサーバーやアプリの設定
- アプライアンス
GUIからサーバーや idP / Keycloak の操作や設定
- サーバーの設定(Network / Firewall )
- ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
- DB 設定( H2 / MariaDB )
- DB 構成 ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
- Keycloak のバックアップ、リストア、バージョンアップ
- keycloak へのアクセスポート( 80 / 443 )
- リバースプロキシ内蔵&連携 ( 1台で運用 )
- SSLサーバー証明書の登録
- アクティブモニタ(サービス監視・再起動・管理者への通知)
などに対応しており、コマンドラインからのプログラムのインストールや設定は不要
*1 リバースプロキシ連携での運用およびリバースプロキシ無しのhttpsでKeycloakへダイレクトアクセスでの運用構成に対応
( 画面のイメージをクリックで拡大表示 )
Keycloakのバックアップ 例
Keycloakのアップグレード
ver 13.0.1 から ver 15.0.2 へ
【アクセスポート 80 / 443 】
リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応
1) リバースプロキシ経由でKeycloakへアクセス (1台で運用)
- Client ⇒ (443 / リバースプロキシ ⇒ 80 / Keycloak)
2) ダイレクトにKeycloak へアクセス(https/443)
- Client ⇒ 443 / Keycloak (SSLサーバー証明書インストール)
SSLサーバー証明書機能
- 自己証明のSSL証明書の作成機能
- パブリックなSSL証明書のインポート機能
サーバーの簡単運用
- サーバーのモニタリングやサービスの自動再起動
- パッチの自動適用機能
- 管理者への通知機能
Keycloakのクラスタ構成
GUIからのKeycloakクラスタ構成の設定や運用に対応
クローズドネットワーク
仮想アプライアンスのインポートによりインストールなしでの運用が可能
サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応
- 例 LGWANでKeycloakを運用
Keycloakへのアクセス
https://xxx.yyy.zzz.ttt/
* リバースプロキシを経由しない、直接の https / 443 portでのKeycloakへのアクセス構成にも対応
ID認識型のリバースプロキシ
SSO対応のリバースプロキシとして、SAML認証機能のリバースプロキシ・アプライアンス 「Powered BLUE Reverse-Proxy for SSO / IDaaS」を利用します。
特徴としては
- SAML認証対応リバースプロキシ機能
- SSLクライアント認証対応
- ワンタイムパスワード認証
- HA構成対応
- End-to-End のSSL通信に対応
- syslog対応
などの機能を有しているアプライアンスです。
AWSやAzure、VPSなどのクラウド環境やVMware / Hyper-Vなどの仮想環境での運用に対応しています。
AD認証+SSLクライアント認証時の構成
SAML認証対応のリバースプロキシに「SSLクライアント認証機能」を付与します
AD認証+ワンタイムパスワード認証時の構成
SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能」を付与します
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
アクセス時の手順
AD認証+SSLクラアイント認証+ワンタイムパスワード認証時の構成
SAML認証対応のリバースプロキシに「ワンタイムパスワード認証機能+SSLクライアント認証」を付与します
リバースプロキシの冗長構成
SAML認証対応のリバースプロキシをHA構成で運用します
Master側のSAML認証対応のリバースプロキシの設定内容が、Slave側のリバースプロキシに自動同期します。
HA構成時にワンタイムパスワード認証やSSLクライアント認証の併用もできます。
レガシーWeb へSSO / リバースプロキシでの代理認証
SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してSSOで運用します。ユーザーからのバックエンドのWebへの ID / パスワードなどの入力は不要です。
- リバースプロキシが代理認証を行うため、利用者側でのID/パスワードの管理不要
- 利用者からのID/パスワード漏洩リスクを大幅低減
- 「Webシステム」のOSに依存せずに導入
- 「Webシステム」は 原則、改修不要
- 「Webシステム」は WANやLAN の任意の場所に設置 *1
- ブラウザのみで利用(ブラウザのプラグイン不要)
対応の運用先
運用先に対応の仮想アプライアンスでの提供
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS などクラウド環境
- VMware / Hyper-V / Nutanix などの仮想環境
デモ
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。