社内のデスクネッツへiDaaS/Azure ADのSAMLやOIDC認証対応のリバースプロキシでSSO / オンプレのデスクネッツの改修不要

リモートワーク時に社内設置のグループウェア desknet’s NEOへのアクセスに際して、SAML認証やOIDC認証対応の リバースプロキシを利用してiDaaSのidP/Azure AD 認証連携でアクセスさせ、リバースプロキシで代理認証によりデスクネッツへシングルサインオンで運用する構成です。

 

既存で運用中のID / パスワード認証のデスクネッツ側の変更は不要

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

設置や構成

リバースプロキシ先のターゲットのdesknet’sは、LAN / WAN / DMZなど任意の場所に設置での運用に対応しています。

 

*デスクネッツ以外のWebアプリにも対応

 

リバースプロキシ

  1. リダイレクト先のWebのOSに依存せずに導入が出来る
  2. ブラウザのみで利用が出来る
  3. リダイレクト先のWebを隠蔽できる (セキュリティ上のメリット)

 

 

パスワード&代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

  1. 利用者側でdesknet’sへの「ID / パスワード」の入力および管理不要
  2. 運用中のdesknet’sは改修不要

 

 

SSO時に利用する機器

 

 

 

  1. Azure AD / idP
  2. SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. desknet’s
  4. ブラウザ( プラグイン不要 )

 

 

idP / Azure AD

Azure AD のSAML もしくは OIDC認証でリバースプロキシと連携します。

 

 

SAML/OIDC認証機能のSSOリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 )
  • バックエンドWebへユーザー情報の代理入力機能
  • GUIからの設定および運用

機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。

 

 

【代理入力・SSOでの認証ステップ】

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Azure ADへアクセス
  3. Azure AD の認証後にリバースプロキシからdesknet’sへユーザー情報を代理入力
  4. desknet’sへ自動ログイン

 

 

 

 

 

【各種WebへのSSO】

一度の idP / Azure ADの認証で、複数のWebアプリへのシングルサインオン

 

 

SSLクライアント認証追加・多要素認証

リバースプロキシやidPへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP 連携によるSSO(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。