月別アーカイブ: 2023年8月

共有アカウントのシングルサインオンを実現するAzure AD連携の代理認証対応リバースプロキシ

Webアプリの改修不要で共有IDのSSOを実現

シングルサインオン(SSO)は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。

例えば、取引先の会社が提供するサービスのアカウントを自社の営業部で共有する場合、Microsoft Entra ID(旧名称 Azure AD)連携の代理認証対応リバースプロキシを利用することで、Webアプリの改修は不要で「共有アカウント」でのSSOに対応させます。

複数人で同じアカウント情報を共有するケースでは、SSO化にすることで

  1. セキュリティの強化
  2. トレーサビリティの向上
  3. ユーザーの負担軽減

を図ることができます。

 

Microsoft Entra ID(旧名称 Azure AD)連携の代理認証対応リバースプロキシは、Webアプリとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
これによりWebアプリの改修なしに、共有アカウントでのシングルサインオンを実現します。

 

共有アカウントでのSSOの要件(N:1 や N:M)

共有アカウントでWebアプリをSSOで構成する場合の要件としては

  • Microsoft Entra ID(旧名称 Azure AD) / idP ではユーザーごとの個人認証
  • 既存のWebアプリは「共有アカウント」を利用
  • 既存のWebアプリは、改修不要でSSOに対応
  • アカウントは N:1  や N:Mでの紐付け
  • ユーザーには、Webアプリへの 「ID / パスワード」の入力不要
  • ユーザーには、Webアプリの「 ID / パスワード」を公開不要
  • ブラウザのみでの利用(プラグイン不要)
  • 多要素認証に対応
  • 利用状況や利用者を確認できること

などです。

 

 

 

 

 

 

 

代理認証対応リバースプロキシでSSO

既存で利用の共有アカウントのWebアプリへ、Microsoft Entra ID(旧名称 Azure AD) /  idPと連携したSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行い、リバースプロキシ経由で共有アカウントでWebでログインすることでSSOを構成します。

ユーザーの負担を軽減

  • ユーザーは、Webアプリにログインする際の 「IDとパスワード」 の入力不要

 

セキュリティを強化

  • Azure AD / idP でユーザーごとの認証を行うため、Webアプリケーションへのアクセスは安全に制御
  • ユーザーには、Webアプリの「ID / パスワード」の公開は不要

 

Webアプリケーションの改修不要

  • 既存で運用のWebアプリケーションの改修をすることなく、SSOを実現

 

専用のクライアント不要

  • ブラウザのみで利用(プラグイン不要)

 

 

 

リバースプロキシの特徴

  1. アクセス先のWebサーバーのOSは問わない
  2. アクセス先のWebサーバーを隠蔽
  3. ブラウザのみでアクセスできる(専用のクライアントは不要)

 

 

 

 

 

 

代理認証対応のリバースプロキシ

 

 

 

 

 

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

 「Powered BLUE Reverse-Proxy with SSO

を利用します。

 

アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
  • SSLクライアント認証
  • ログの取得
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称

 

 

共有アカウント&代理認証

SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントの「ID / パスワード」を代理入力&代理認証を行います

  1. アカウントはN:1 や  N:Mでの紐付け
  2. ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
  3. 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成 *2

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

 

 

idP連携のリバースプロキシからWeb代理認証でのSSO

ID / パスワード認証の「既存のWebサービス」を

  1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
  2. バックエンドの「Webサービス」は 改修不要  *3
  3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用する構成です


*3  サードパーティ製 Webアプリ / 他社のWebサービス も改修不要で共有アカウントのSSO対応

 

 

SSOに必要な機器構成

 

 

 

  1.  idP
  2.  SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
  3.  既存のWebアプリ ( Webの改修は不要 )
  4.  ブラウザ(プラグイン不要)

 

 

 

 idP

 

 

 

 

 

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

SAML / OIDC認証をサポートの 一般的なidP との連携に対応

  • GMOトラストログイン
  • Keycloak

 

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

 

共有アカウントでのSSO手順
  1. 代理認証対応リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス個人ユーザーでの認証
  3. idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
  4. 共有アカウントのWebへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

SSLクライアント認証の併用(多要素認証 / MFA)

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

こんなケースに適しています

 

 

  • 共通のアカウントでアクセスしたいWebアプリがある
  • ユーザーにWebアプリの「 ID / パスワード」を公開したくない
  • ユーザーにWebアプリの「 ID / パスワード」を入力させたくない
  • WebアプリへSSOでアクセスしたい
  • 他社で運用のサービスのためWebアプリの改修はできない
  • Webアプリへのアクセスに多要素認証を適用したい
  • ブラウザのみで利用したい
  • ユーザーの利用状況を確認したい

 

アプライアンスの運用先

クラウド環境や仮想環境、およびオンプレミスなど自社管理で運用が出来ます

 

 

 

 

 

idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先

 「Powered BLUE Reverse-Proxy with SSO

 

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

 

 

お問合せ

 

 

 

製品についての、ご質問やご相談など