月別アーカイブ: 2023年11月

Webメールのroundcubeをシングルサインオン(SSO)で運用する2つの方法

roundcubeは、オープンソースのウェブメールクライアントで、電子メールの受信、送信、管理を行う機能を有しておりブラウザから利用できます。標準では ID / パスワード認証のみに対応しています。

認証方式 ID / パスワード認証 SAML認証 / OIDC認証
roundcube

 

 

 

 

 

 

 

roundcubeのシングルサインオン

シングルサインオン(SSO:Single Sign On)とは、最初にアプリケーションを利用する時に、一度idPでログイン認証をすれば、以降は全てのアプリケーションやWebサービスをidPへ再ログインなしに利用できる認証の仕組みのことです。

roundcubeをSAML認証やOIDC認証に対応させることで、idP連携のシングルサインオンで運用ができるようになります。

外部とネットワークが分離されているクローズドネットワーク内でのSSO運用にも対応しています。

 

 

 

roundcubeをidP連携のSSOで運用する場合は

  1. 新規にSSO対応のroundcubeを導入して運用
  2. 既存のroundcubeを改修不要のSSO化で運用

の2通りの方法があります。

 

 

1.新規にSSO対応のroundcubeの導入

 

 

 

 

 

 

 

 

SAMLやOIDC認証に対応のRoundcube

Powered BLUE アプライアンスを利用することで、Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeをSSOで運用しながらメールサーバーやDNSなど機能をオールインワン(1台)で運用することが出来ます。

 

【Powered BLUE アプライアンス】

Mail / Web / DNSなどのインターネットサーバー機能を有する

 Powered BLUE アプライアンス

を利用します。

 

主な機能

 

SMTP / POP / IMAP Mail-Box DNS

 

SPF / DKIM / DMARC Webサイト Roundcube

 

 

 

【設定例】

適宜 SMTPやIMAPを有効化します

 

  • 例 SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS を有効

 

 

 

 

 

 

 

 

 

 

 

  • Roundcube / ウェブメールの有効化にチェック

 

 

 

 

 

 

 

 

 

 

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

 

  • 例 user1 へ ウェブメールの使用を許可

 

 

 

 

 

 

 

 

送信ドメイン認証およびセキュア通信

  • SPF / DKIM / DMARCに対応
  • TLSに対応

 

 

【ロゴやスキン】

 

ロゴやスキンを設定できます

 

  • 自社のロゴへ変更

 

 

  • スキンの変更
デスクトップ用のスキン スマートフォン用のスキン

 

 

【シングルサインオンでの構成】

  • idPとSAML認証やOIDC認証でSSO
  • 各種 idPと連携

 

 
対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

  • Microsoft Entra ID (旧名称 Azure AD)
  • keycloak
  • GMOトラストログイン

 

idPとroundcubeはSAML認証やOIDC認証で接続

 

 

【RoundcubeとidP / Keycloak 連携時のシングルサインオン】

 

 

① Roudcube のログイン画面へアクセス

  • 「Keycloakでログイン」を選択

② 初回は、idP / Keycloak へリダイレクトされて認証

  • アカウント demo@example.jp
  • パスワード xxxxxxxx

③ 認証後に Roundcube のWebページが表示

 

 

【メールクライアントとの併用運用】

シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト

  • Thunderbird
  • Becky!

との併用での運用に対応

 

 

2.既存のroundcubeを改修不要のSSO化

既にroundcubeを運用のケースでは、リバースプロキシを利用してSSO化を行います。既存で運用中の roundcubeの改修や設定変更は不要です。

 

 

 

 

 

 

idP 連携・roundcubeへ代理入力のシングル・サインオン構成

Keycloak / Microsoft Entra IDなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いroundcubeへのシングルサインオンを構成します。

* バックエンドの「roundcube」は WANや LAN の任意の場所での運用に対応
*「roundcube」以外のWebアプリにもSSO対応

 

代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

  1. 利用者から roundcubeへの「ID / パスワード」の入力不要
  2. 利用者から「ID / パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

 

 

SSOで利用する機器

 

 

  1. idP
  2. SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. roundcube(改修不要)
  4. ブラウザ( プラグイン不要 )

 

 

 対応のidP

SAML / OIDC認証をサポートの 一般的なidP に対応しています

  • Microsoft Entra ID (旧名称 Azure AD * )
  • GMOトラストログイン
  • Keycloak

idPとリバースプロキシはSAML認証やOIDC認証で接続

* Azure AD はMicrosoft Entra IDに名称変更になります(機能は同一)

 

 

代理入力&代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

 

 

代理認証のSSO利用ステップ

  1. 代理認証対応のリバースプロキシへアクセス
  2. 初回のみ idP へアクセス(シングルサインオン)
  3. idP の認証後にリバースプロキシから roundcube へユーザー情報を代理入力
  4. バックエンドの roundcube へ自動ログイン

 

 

 

 

 

 

 

 

各種Web アプリへのSSO

一度のidP認証で、複数のアプリへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

SSLクライアント認証を追加(多要素認証 / MFA)

SSLクライアント認証でidPやリバースプロキシへの認証を強化できます

 

SSLクライアント証明書 〇   SSLクライアント証明書 ✕

 

 

 

 

 

 

 

既存の認証方法とSSOの併用

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. SSOでの認証(社外からのアクセス)

の併用など柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

 

【Powered BLUE アプライアンスの構成】

  • OS  RedHat  / RockyLinux / AlmaLinux対応
  • Web / DNS / SMTP / IMAP / POP
  • DKIM / DMARC / SPF(送信元ドメイン認証)

 

 

 

 

 

 

Powered BLUE アプライアンスの簡単運用】

管理者の負担軽減での運用に対応

  • サーバーの自己監視機能やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能
  • GUIでのサーバーやアプリの設定

 

 

 

クローズドネットワークでの運用

idPやSPの自社運用により

  • Keycloak / idP やroundcube / SP のネットワーク内での運用に対応

 

 

 

 

 

 

 

 

仮想アプライアンスのイメージでの提供により

  • 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

 

 

 

 

サーバーのセルフチェック機能により

  • 外部の監視サービスを利用しない運用に対応

 

 

 

 

 

Powered BLUE アプライアンスの運用先】

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALUTS / VPSなど

 

 

お問合せ

 

 

 

ご質問やご相談など