WebSocketのMattermost へSSLクライアント認証対応のリバースプロキシ経由でアクセス Team EditionでSSOにも対応 / オンプレ対応チャット

Mattermostは、Slackと同等の機能を持つチャットアプリケーションです。製品には有償版「Enterprise Edition」とオープンソースの「Team Edition」無償版の2つがあります。有償版と無償版の相違は機能や認証方式などです。SAML認証などは、上位の有償版のみでの提供です。

 

 

 

Slackを選択できないケース

社内規定やセキュリティ関連のために社内情報をSaaS側にデータを置けない場合などでは、オンプレの自社管理で運用&データは社内側に保存できるMattermostは有効な選択枝となります。

製品 Slack Teams Mattermost
運用先 SaaS SaaS SaaS
もしくは
オンプレ

 

Mattermostの運用先

Mattermost はLinuxサーバー上での運用が可能でオンプレ環境での運用に対応しており、LANやWANなどに設置して運用します。AWSやVPS、VMware/Hyper-Vなどのクラウドや仮想環境での運用も出来ます。

 

 

SSLクライアント認証でMattermostへアクセス

無償版のTeam Edition」でセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。方法としては

  • Mattermostの運用サーバーにSSLクライアント認証を併用させる
  • SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる

2つの方法があります。

 

今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。

Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。

 

Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。

https://www.mubit.co.jp/img3/rev-proxy-loop-endlress-1.gif

 

Websocket対応のリバースプロキシ

Mattermostは、リアルタイムでのチャットにWebSocketを利用しています。

  • WebSocketに対応のリバースプロキシ
  • リバースプロキシのSSLクライアント認証
  • ユーザーのアクセスポートは ( https / 443 )
  • Private-CAによるSSLクライアント証明書発行
  • Let’s EncryptによるSSLサーバー証明書発行&自動更新

機能を有しているアプライアンスとして、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE for Mattermost モデルを利用します。すべての機能を1台で運用することが出来ます。

 

 

Mattermost ポート

リバースプロキシ経由でMattermostへのアクセスの場合には、エンドユーザーはhttps ポート 443でのアクセスとなります。

O https://xxx.yyy.zzz/

 

 

ブラウザへ警告メッセージは出ない

SSLクラアイント認証の組合せとして

  • リバースプロキシには、Let’s EncryptなどのPublicなSSLサーバー証明書
  • クライアント側には、Private CAで発行のSSLクライアント証明書

で動作させます。

この構成でのSSLクライアント認証を行う場合、公的機関で発行のSSLサーバー証明書を利用しているために、ブラウザには警告メッセージは表示されません。

 

プライベートなSSLサーバー証明書を利用するとブラウザに警告のメッセージがでます。

SSLクライアント認証の他に、SAML認証でのアクセスも可能です。

 

アクセス手順

https://xxx.yyy.zzz/

 

 

MattermostのTeam EditionでidP連携のSSOで運用する

 

 

Mattermost の各種プラン

Mattermost プラン / 費用 Team Edition / 無償 Professional / 有償 Enterprise / 有償
idP 連携 / AD連携

Team Edition(オープンソース版)では idP連携のSAML認証などはサポートしていません

 

Team Edition セルフホスト / 無償版の主な機能

機能 内容
チーム数 無制限
ユーザー数 無制限
チャンネル数/ PlayBook数 無制限
HDD容量 無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数&ビュー 無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

 

無償のTeam Edition セルフホスト・プランは、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

  • 費用を抑えて運用したい
  • 自社の環境で運用したい
  • SaaSを利用できない
  • Slackからデータ移行したい(マイグレーション)

などの場合には、Team Edition セルフホスト・プランにメリットがあります。

 

 

 

MattermostのTeam EditionでidP連携のSSOで運用する

ID / パスワード認証の Mattermost Team Edition 「オープンソース版」でAzure ADなどのidP連携で運用するには、SAML / OIDC認証に対応したリバースプロキシを利用して、代理認証を行いMattermost へのシングルサインオンを構成します。

  • Mattermost の改修は不要
  • Mattermost の設置場所は、WAN / DMZ / LAN の任意の場所に対応

 

 

代理認証

SAML / OIDC認証対応のリバースプロキシからMattermost へ「ID / パスワード」を代理入力&代理認証を行います。

  1.  ユーザー操作でのMattermost への「ID / パスワード」の入力不要
  2.  SAML / OIDC認証に未対応の Mattermost をSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応しています

 

 

リバースプロキシ・アプライアンス

 

 

 

 

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

リバースプロキシ + 代理入力 + Mattermost を1台で運用

  1. SAML / OIDC認証機能のID認識型 リバースプロキシ( ユーザー情報の代理入力機能 )
  2. 代理認証
  3. Mattermost  Team Edition セルフホストプラン

の機能を1個の仮想サイトで構成するオールインワン運用も対応できます

 Powered BLUE for Mattermost

 

 

SSO対応 Mattermost のオールインワン構成での運用

 

 

 

idP

SAML認証やOIDC認証をサポートの一般的なidP

  • Azure AD
  • GMOトラストログイン
  • Keycloak

などに対応

 

 

MattermostへのSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP へアクセス
  3. idP の認証後にリバースプロキシからMattermostへユーザー情報を代理入力
  4. Mattermostへ自動ログイン

 

 

 

 

 

 

 

各種システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

お問合せ

 

 

 

製品についての、ご質問やご相談など