社内のサイボウズへiDaaS/Azure ADのSAMLやOIDC認証対応のリバースプロキシでSSO / サイボウズの改修不要

リモートワーク時にオンプレのサイボウズへのアクセスに際して、SAMLやOIDC認証対応の リバースプロキシを利用してiDaaSのidP/Azure AD 認証連携でアクセスさせる運用時の設定例です。リバースプロキシで代理認証によりサイボウズへシングルサインオンでアクセスする構成です。既存で運用のサイボウズ側の変更は不要です。

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

設置や構成

リバースプロキシ先のターゲットのサイボウズは、LAN / WAN / DMZなど任意の場所に設置での運用に対応しています。

 

 

 

 

パスワード代理入力&代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

  1. 利用者側でサイボウズへの「ID / パスワード」の入力不要および管理不要
  2. 運用中のサイボウズは改修不要

 

 

VPNとリバースプロキシ

リバースプロキシでのアクセスは、VPNのような高負荷がかからないためにアクセスの集中に際しても閾値が高く、安定的な運用が出来ます。

 

 

 

 

 

 

 

  1. バックエンドのWebを隠蔽(セキュリティ上のメリット)
  2. バックエンドのWebのOSに依存せずに導入できる
  3. ブラウザのみで利用できる(VPNのような専用ソフトは不要)

 

 

利用する機器

  1. Azure AD / idP
  2. SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. サイボウズ
  4. ブラウザ( プラグイン不要 )

 

Azure AD / idP  連携

Azure AD のSAML もしくは OIDC認証でリバースプロキシと連携します。

 

 

SAML/OIDC認証機能のSSOリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

 

 

 

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 )
  • バックエンドWebへユーザー情報の代理入力機能
  • GUIからの設定および運用

機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。

 

【代理入力・SSOでのサイボウズ認証ステップ】

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Azure ADへアクセス
  3. Azure AD の認証後にリバースプロキシからサイボウズへユーザー情報を代理入力
  4. バックエンドのサイボウズへ自動ログイン

 

 

 

 

 

【各種WebへのSSO】

一度のAzure ADの認証で、複数のWebアプリへのシングルサインオン

 

 

 

 

 

 

 

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。