Azure ADで認証してWebへのアクセスをさせます。Azure ADとの認証連携としては、OpenID ConnectやSAML認証などが利用できます。今回はOpenID Connect / OIDC でWebの認証をします。自社Webなども簡単にAzure ADとの認証連携での運用を行うことができます。
【こんな用途に】
- シングルサインオンのWebを構築したい
- Azure AD の認証を利用したい
- 認証はOpenID Connectを利用したい
- 管理者の負担を増やさずにWebを運用したい
【必要な機器構成】
Azure AD ⇔ < OIDC > ⇔ Web
- Azure AD / OP
- ターゲットWeb / RP
【OIDC対応Web / RP 】
今回は、OIDC認証やSAML認証に対応のWebアプライアンス 「Powered BLUE Web for SSO / IDaaS 」を利用します。
- マルチドメイン・マルチサイトでの構築運用に対応
- サイト毎にOIDC認証やSAML認証の異なるWeb認証での運用に対応
- サイト毎に個別のサイト管理者に権限を委譲での運用に対応
- ユーザーアカウント無しでの認証に対応
- GUIからの設定の対応
- 自社環境での運用に対応
- アプライアンスでの‘提供
- Let’s Encrypt対応
- WordPress対応
- OS RockyLinux 8.x / RedHat 8.x に対応
【構成図と設定概要】
【OP / RP の設定手順】
-
-
- 1.1. 仮想サイト(Webサイト)の作成
- 1.2. 仮想サイトにOIDC認証を設定
- 1.3. Azure ADにOIDC認証を設定
- 1.4. 仮想サイトにWebコンテンツをアップロード
- 1.5. 動作確認
-
【Web / RPの設定】
「Powered BLUE Web for SSO / IDaaS」での設定例です
OIDC認証やSAML認証機能を有したマルチドメイン・マルチサイトで運用できるWebアプライアンスです。
【仮想サイトの作成】
OIDC認証を設定するWebサイト 「www.example.jp」 を作成します。
Web認証として
- SAML 2.0
- OpenID Connect
を選択できます。
今回は「OpenID Connect」を選択します
【Azure ADの設定】
「Azure Active Directory」を選択
【アプリケーションの登録】
「アプリの登録」を選択
【アプリケーションの新規登録】
「+新規登録」を選択
【アプリケーションの名称設定】
例 keycloak-oidc (名称は適宜設定します)
「登録」ボタンを押します
「エンドポイント」を選択
「OpenID Connect メタデータ ドキュメント」をコピーしてweb側へ登録します
「Azureメタデータ」を選択します
【Azure ADからファイルの読み込み】
「Azure メタデータ設定ファイルのインポート」の項にAzure AD側の
- 「OpenID Connect メタデータ ドキュメント」
のURLをペーストして「インポート」ボタンを押します
【データのインポート】
Azure AD側の情報が登録されます
Web側の「リダイレクトURI 」をコピーしてAzure ADの「リダイレクトURI」へに登録します。
【プラットフォームを追加】
「+プラットフォームを追加」で選択します。
「Webアプリケーション」を選択
「リダイレクトURI」へ「Web側のリダイレクトURI」を登録します
「構成」ボタンを押して、設定を保存します
【Azure AD】
「アプリケーション(クライアント)ID」 をWeb側の「クライアントID」の項に登録
「証明書とシークレット」を選択
【シークレットの作成】
「+新しいクライアントシークレット」を押す
- 名称 適宜設定 例 for-keycloak-oidc
- 有効期間 例 6ケ月
- 「追加」ボタンを押す
*クライアントシークレットの有効期間は重要です
【クライアント・シークレット】
Azure ADの「シークレットの値」を Web側の「シークレット」の項に登録します
「クライアントID」と「シークレット」に登録して「保存」ボタンを押します。
OIDCを有効にするに ✔ を入れて「保存ボタン」を押します
【認証ディレクトリ】
WebサイトにOIDC認証を適用するディレクトリを設定します
例 /test にOIDC認証を設定
- https://www.example.jp/ 認証なし
- https://www.example.jp/test に OIDC認証
【OIDC認証対応のWeb サイト機能】
一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。
https://www.example.jp/ 以下に適宜、
①「Webコンテンツをアップロード」
もしくは
②「WordPress でコンテンツを作成」
します。
一般的なWebコンテンツのWebサイト | WordPressのWebサイト |
【Azure ADにログイン・ユーザー作成】
ここではAzure AD に新しいユーザーを作成します。
「+新しいユーザー」を選択
アカウント
- ユーザー名 keycloak-user
- 姓 user
- 名 keycloak
- パスワード keycloak-test
* keycloak-user@tenant-name.onmicrosoft.com でE-mailアカウントが作成されます
【アクセス手順】
① https://www.example.jp/test にアクセス
② 初回は、Azure ADへリダイレクトされて認証を求められます
- アカウント keycloak-user@tenant-name.onmicrosoft.com
- パスワード keycloak-test
③ 認証後に https://www.example.jp/test のWebページが表示されます
【アプライアンスの簡単運用】
情シスの負担軽減での運用にも対応
- サーバーの自己監視やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
【アプライアンス運用先】
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど
【KeycloakでのWeb認証構成】
ID管理のOPとしてはAzure ADの他に、Keycloakなどでも同様の構成が出来ます。
- Azure ADの費用を抑えたい場合
- 自社でOPを運用したい場合
には有効な選択枝です。
Keycloak とSAMLやOIDC認証対応Webの構成例