月別アーカイブ: 2023年6月

SAMLに未対応のWebアプリをリバースプロキシの代理認証でSSO / 既存Webは改修不要でSaaS化

社内WebをSSO対応

既存で運用の社内Webシステムなどは、SAML認証やOIDC認証に未対応のケースが多くiDaaS/idPと直接の連携が取れません。またidPとの連携を行う為のWebアプリの改修が困難なシステムもあります。

現在運用中のWebアプリを改修することなく、iDaaS / idPとのシングルサインオンやSaaS化で運用するための構成です。

 

SAMLやOIDC認証機能のSSOリバースプロキシを利用

SAMLやOIDC認証に対応していない既存のWebサービスを、シングルサインオンに対応させる方法として

  • SAML / OIDC認証機能のSSOリバースプロキシ

を利用して「ID / パスワード」の代理入力により、既存のWebアプリへSSOを行います。

リバースプロキシは、Webサービスとユーザー間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

 

リバースプロキシの特徴

 

 

 

 

 

 

  1. バックエンドの既存Webを隠蔽(セキュリティ上のメリット)
  2. ブラウザのみで利用(VPNのような専用のクライアント不要)
  3. VPNなどに比べて負荷が低い

 

代理入力のシングル・サインオン構成

SAML / OIDC認証機能のSSOリバースプロキシでの「ID / パスワード」代理入力時の構成

 

  • 「Webシステム」のOSに依存せずに導入できる
  • 「Webシステム」は 改修不要
  • 「Webシステム」は WANやLAN の任意の場所に設置
  •  サードパーティ製の「Webシステム」にも対応
  •  他社が運用する「Webシステム」にも対応
  •  ブラウザのみで利用

 

 

代理認証

リバースプロキシが代理認証を行うため  *1

  1. 利用者からの「ID/パスワード」の入力&管理不要 *2
  2. 利用者からの「ID/パスワード」漏洩リスクを低減
  3. SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

*1 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応
*2 Webへの入力データのカスタムにも対応可能(自社やサードパーティのWebアプリ)

 

SSOに必要な機器

 

  1. idP
  2. リバースプロキシ( ユーザー情報の代理入力機能 )
  3. 既存のWebアプリ( 改修不要 / エージェント不要 )
  4. ブラウザ( プラグイン不要 )

 

idP

SAML認証やOIDC認証の一般的なidPが利用できます。

  • Microsoft Entra ID / Azure AD
  • GMOトラストログイン
  • Keycloak

idPとリバースプロキシはSAML認証やOIDC認証で連携します。

 

リバースプロキシ・アプライアンス

リバースプロキシは、SAML / OIDC認証機能のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力
  • GUIからの設定および運用

機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

 

代理入力のSSOアクセス手順

 

 

  1. リバースプロキシへアクセス
  2. 初回のみ idP へアクセス
  3. idP の認証後にリバースプロキシから既存Webへユーザー情報を代理入力
  4. 既存Webへ自動ログイン

 

 

各種Web システムへのシングルサインオン

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

多要素認証(MFA)

SSLクライアント認証でidPやリバースプロキシへの認証を強化の例

  1. SSLクライアント認証
  2. ID / Passwd認証

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

Microsoft Entra ID / Azure AD / KeycloakなどのidP ではワンタイムパスワード認証も利用が出来ます。

 

 

 

  1. ワンタイムパスワード認証は、毎回「入力する」必要があります
  2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

 

多要素認証の比較

認証 SSLクライアント認証 ワンタイムパスワード認証
認証操作 不要 毎回必要
判定のタイミング ID / passwd 入力前に判定 ID / passwd 入力後に判定
リスト攻撃  ブロック   ブロック 

 

 

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

社内からのアクセス 従来の ID / パスワード認証
社外からのアクセス idP 連携によるSSO

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

こんな場合に

  • Webの改修不要でSSOを導入したい
  • 自社のWebサービスをSSOによりSaaS化したい
  • サードパーティのWebアプリをSSOで利用したい
  • ユーザーにWebアプリの「 ID / パスワード」を入力させたくない
  • ユーザーにWebアプリの「 ID / パスワード」を公開したくない
  • ブラウザのみで利用したい
  • 多要素認証に対応させたい
  • VPNは負荷が高いので使用を控えたい

 

お問合せ

 

 

ご質問やご相談など