WordPressをAzure ADなどのidPのSAMLやOIDC / Open ID Connect 認証で構築運用する方法です。SAMLやOIDC認証を行うことにより、SSOでWordPressへアクセスが出来ます。
idPとSP
- idP (identity Provider ) はユーザーのアカウントを管理および認証を行う機能
- SP(Service Provider ) はSAML認証時、ユーザー側が利用するアプリケーション
* OIDC認証時は、SPではなくRP(Relying Party)という名称になります
運用構成
- WordPressでSAML / OIDC認証を行う
- WordPressは任意のディレクトリにSAML / OIDC認証を設定
- WordPressにはユーザーアカウントの作成無しでも認証を行わせる
- idPとしては、iDaaS のAzure AD や Keycloak 他のidPと連携を行う
- WorsPressは、SAML / OIDC認証に対応のPowered BLUEを利用する
WordPress
WordPressは、SAML/OIDC認証に対応のWebアプライアンス
「Powered BLUE Web for SSO / IDaaS」
で構築運用します。
機能としては
- 仮想サイト機能
- WordPressの構築運用
- SAMLやOIDC認証(SP機能)
- SSLサーバー証明書登録(Let`s Encryptにも対応)
- Mail / DNS / 他
を有しており、GUIからすべての設定を行うことが出来ます。
WordPressの作成
「ブログを追加する」ボタンを押すと「WordPress」がセットアップされます
/sales にWordPressを配置の例
- トップディレクトリなど、任意のディレクトリにWordPressを配置出来ます
認証設定
- SAML認証 もしくは OIDC認証 を設定します
* Web サーバーの機能として、SAMLやOIDC認証を有しています
* 任意のディレクトリにSAMLやOIDC認証を設定可能
* WordPress側にユーザーアカウントなしでSAMLやOIDC認証を設定可能
* WordPressの各種SAMLやOIDC認証のプラグインは使いません
例 top ページはSAML認証無しで運用 特定のディレクトリ以下にSAML認証を設定可能
- / SAML 認証しない
- /sales SAML 認証する
idP(アイデンティティ・プロバイダ)
idPとしてはSAMLやOIDCに対応の
- Azure AD
- GMOトラストログイン
- OneLogin
- Okta
- G Suite
- CloudGate Uno
- OpenAM
- Keycloak
- 他
などと連携が出来ます。
Azure ADとのSAML認証の場合
- SAML認証を利用出来る「Azure AD Premium」が必要です
アプリの登録
- Azure ADへSAML認証の独自アプリとして登録します
xmlファイル
- idP側のxmlファイルとSP側のxmlファイルを、それぞれお互いに登録します
idp側のxmlを読み込み
- idPメタデータファイル(xml)をクリックして、SP側へ登録します
idPに読み込むメタデータファイルの指定(SP側のxmlファイル)
- SP側から出力のxmlファイルをAzure ADへ登録します
SSOでの認証ステップ
- WordPressのサイトへアクセス
- 初回のみ idP へアクセス ( シングルサインオン )
- idPの認証後にターゲットのWordPressサイトの表示