Webサイトへのアクセスをシングルサインオンで構築運用する構成です。Azure ADやトラストログインなどのiDaaSをはじめKeycloakなどのidPと連携して、WebサイトへSAMLやOIDC認証などのSSO機能でアクセスさせる運用が出来ます。
【WebSSO】
WebサイトのSSO機能で構築運用に必要な構成は
- SAML認証やIDC認証に対応のidPやiDaaS
- SAML認証やOIDC認証に対応のWebサーバー
です。idPとWebサーバーは、SAML認証もしくはOIDC認証(OpenID Connect)で認証連携を行います。
【シングルサインオンのメリット・デメリット】
メリット
- アカウントはidPでの一元管理
- ユーザーの利便性が向上(1回の認証で、複数のサービスの使用に対応)
デメリット
- パスワードの漏洩などで全サービスの利用が可能となり、被害範囲が拡大する
対応策
- ワンタイムパスワード認証、SSLクライアント認証などの多要素認証、2経路認証、生体認証の併用で認証機能を強化する
【idP / identity Provider】
主なiDaaSやidPなど
Azure AD
Microsoft365を利用の場合には、idPとしてAzure ADを利用しており拡張機能としてSAML認証やOIDC認証機能を利用できます。すでにMicrosoft365を利用に場合には、新規にidPを用意する必要がないので、すぐに運用ができます。
トラスト・ログイン
GMOの運用する国産のidPです。SAML認証をサポートしています。導入費用を抑えたい場合には無償での利用もできます。
Keycloak
RedHatが開発のidPでOSSで提供されている製品です。SAML認証とOIDC認証をサポートしています。iDaaSは利用できない場合や自社でidPを運用したい場合にはメリットがあります。
【SSO対応のWebサーバー】
SAML認証やOIDC認証に対応のWebサーバーとしては、「Powered BLUE Web for SSO / IDaaS」を利用できます。自社管理でSSO機能の一般的なWebサイトやWordPressでのWebサイトを構築・運用に対応しています。
GUIからサーバーやWebサイト、SAML認証やOIDC認証の設定を行います。
一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しており、任意のディレクトリにSSO認証を設定できます。
一般的なWebコンテンツのWebサイト | WordPressのWebサイト |
【Web SSOの構成】
*SAML認証では、WebサイトがLAN内に設置されていても認証が可能です(SP-initiated SAML)
【Web SSOへのアクセス手順】
① Webサイトへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
【Powered BLUE Web for SSO / IDaaS アプライアンスの構成】
オールインワンのアプライアンス
- OS RedHat 8.x / RockyLinux 8.x 対応
- Web / DNS / SMTP / IMAP / POP
- DKIM / DMARC / SPF(送信元ドメイン認証)
- Roundcube(フリープラグイン)
- Let’s Encrypt 対応(フリープラグイン)
【Powered BLUE Web for SSO / IDaaSアプライアンスの簡単運用】
ひとり情シスでの運用にも対応
- サーバーの自己監視機能やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
- GUIでのサーバーやアプリの設定
【Powered BLUE Web for SSO / IDaaSアプライアンスの運用先】
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
【デモサーバー】
Powered BLUEの デモサーバー