Webアプリの改修不要で共有IDのSSOを実現
シングルサインオン(SSO)は、ユーザーが複数のアプリケーションにログインする際に、一度の認証で済むようにする仕組みです。ユーザーの利便性向上や、セキュリティの向上に効果があります。
例えば、取引先の会社が提供するサービスのアカウントを自社の営業部で共有する場合、Microsoft Entra ID(旧名称 Azure AD)連携の代理認証対応リバースプロキシを利用することで、Webアプリの改修は不要で「共有アカウント」でのSSOに対応させます。
複数人で同じアカウント情報を共有するケースでは、SSO化にすることで
- セキュリティの強化
- トレーサビリティの向上
- ユーザーの負担軽減
を図ることができます。
Microsoft Entra ID(旧名称 Azure AD)連携の代理認証対応リバースプロキシは、Webアプリとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。
これによりWebアプリの改修なしに、共有アカウントでのシングルサインオンを実現します。
共有アカウントでのSSOの要件(N:1 や N:M)
共有アカウントでWebアプリをSSOで構成する場合の要件としては
- Microsoft Entra ID(旧名称 Azure AD) / idP ではユーザーごとの個人認証
- 既存のWebアプリは「共有アカウント」を利用
- 既存のWebアプリは、改修不要でSSOに対応
- アカウントは N:1 や N:Mでの紐付け
- ユーザーには、Webアプリへの 「ID / パスワード」の入力不要
- ユーザーには、Webアプリの「 ID / パスワード」を公開不要
- ブラウザのみでの利用(プラグイン不要)
- 多要素認証に対応
- 利用状況や利用者を確認できること
などです。
代理認証対応リバースプロキシでSSO
既存で利用の共有アカウントのWebアプリへ、Microsoft Entra ID(旧名称 Azure AD) / idPと連携したSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ / Reverse Proxy で代理認証を行い、リバースプロキシ経由で共有アカウントでWebでログインすることでSSOを構成します。
ユーザーの負担を軽減
- ユーザーは、Webアプリにログインする際の 「IDとパスワード」 の入力不要
セキュリティを強化
- Azure AD / idP でユーザーごとの認証を行うため、Webアプリケーションへのアクセスは安全に制御
- ユーザーには、Webアプリの「ID / パスワード」の公開は不要
Webアプリケーションの改修不要
- 既存で運用のWebアプリケーションの改修をすることなく、SSOを実現
専用のクライアント不要
- ブラウザのみで利用(プラグイン不要)
リバースプロキシの特徴
- アクセス先のWebサーバーのOSは問わない
- アクセス先のWebサーバーを隠蔽
- ブラウザのみでアクセスできる(専用のクライアントは不要)
代理認証対応のリバースプロキシ
idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ
「Powered BLUE Reverse-Proxy with SSO 」
を利用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- バックエンドのWebへHTTPヘッダーでのユーザー情報の転送機能
- SSLクライアント認証
- ログの取得
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称
共有アカウント&代理認証
SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントの「ID / パスワード」を代理入力&代理認証を行います
- アカウントはN:1 や N:Mでの紐付け
- ユーザー操作でのWebアプリへの「ID / パスワード」の入力不要
- 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成 *2
*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応
idP連携のリバースプロキシからWebへ代理認証でのSSO
ID / パスワード認証の「既存のWebサービス」を
- SAMLやOIDC認証のシングルサインオンのメンバーとして構成
- バックエンドの「Webサービス」は 改修不要 *3
- バックエンドの「Webサービス」は LAN / WAN / DMZ の任意の場所に設置
に対応で運用する構成です
*3 サードパーティ製 Webアプリ / 他社のWebサービス も改修不要で共有アカウントのSSO対応
SSOに必要な機器構成
- idP
- SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWebアプリ ( Webの改修は不要 )
- ブラウザ(プラグイン不要)
idP
idPとしては、Microsoft Entra ID(旧名称 Azure AD)の他に
SAML / OIDC認証をサポートの 一般的なidP との連携に対応
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
共有アカウントでのSSO手順
- 代理認証対応リバースプロキシへアクセス
- 初回のみ idP へアクセス「個人ユーザーでの認証」
- idP の認証後にリバースプロキシからWebへ「共有アカウント情報」を代理入力
- 共有アカウントのWebへ自動ログイン
各種Web システムへのSSO
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
SSLクライアント認証の併用(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
クライアント証明書 〇 | クライアント証明書 ✕ |
こんなケースに適しています
- 共通のアカウントでアクセスしたいWebアプリがある
- ユーザーにWebアプリの「 ID / パスワード」を公開したくない
- ユーザーにWebアプリの「 ID / パスワード」を入力させたくない
- WebアプリへSSOでアクセスしたい
- 他社で運用のサービスのためWebアプリの改修はできない
- Webアプリへのアクセスに多要素認証を適用したい
- ブラウザのみで利用したい
- ユーザーの利用状況を確認したい
アプライアンスの運用先
クラウド環境や仮想環境、およびオンプレミスなど自社管理で運用が出来ます
idP連携のSAML / OIDC認証対応のID認識型リバースプロキシの運用先
「Powered BLUE Reverse-Proxy with SSO 」
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど
お問合せ