Azure ADと連携するOIDC認証対応のWebを構築運用 / 自社運用に対応のWebサーバー

Azure ADで認証してWebへのアクセスをさせます。Azure ADとの認証連携としては、OpenID ConnectやSAML認証などが利用できます。今回はOpenID Connect / OIDC でWebの認証をします。自社Webなども簡単にAzure ADとの認証連携での運用を行うことができます。

【こんな用途に】

  • シングルサインオンのWebを構築したい
  • Azure AD の認証を利用したい
  • 認証はOpenID Connectを利用したい
  • 管理者の負担を増やさずにWebを運用したい

 

 

【必要な機器構成

Azure AD  < OIDC >     Web

  • Azure AD / OP
  • ターゲットWeb / RP

 

 

 

【OIDC対応Web / RP 】

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/pb-rp-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/web-site-2.png

今回は、OIDC認証やSAML認証に対応のWebアプライアンス Powered BLUE Web for SSO / IDaaS 」を利用します。

  • マルチドメイン・マルチサイトでの構築運用に対応
  • サイト毎にOIDC認証やSAML認証の異なるWeb認証での運用に対応
  • サイト毎に個別のサイト管理者に権限を委譲での運用に対応
  • ユーザーアカウント無しでの認証に対応
  • GUIからの設定の対応
  • 自社環境での運用に対応
  • アプライアンスでの‘提供
  • Let’s Encrypt対応
  • WordPress対応
  • OS RockyLinux 8.x / RedHat 8.x に対応

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/pb-880-1.png

 

 

 

【構成図と設定概要】

 

【OP / RP の設定手順】

      • 1.1. 仮想サイト(Webサイト)の作成
      • 1.2. 仮想サイトにOIDC認証を設定
      • 1.3. Azure ADにOIDC認証を設定
      • 1.4. 仮想サイトにWebコンテンツをアップロード
      • 1.5. 動作確認

 

【Web / RPの設定】

Powered BLUE Web for SSO / IDaaS」での設定例です

OIDC認証やSAML認証機能を有したマルチドメイン・マルチサイトで運用できるWebアプライアンスです。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/pb-rp-1.png

 

 

【仮想サイトの作成】

OIDC認証を設定するWebサイト 「www.example.jp」  を作成します。

 

Web認証として

  • SAML 2.0
  • OpenID Connect

を選択できます。

今回は「OpenID Connect」を選択します

 

 

【Azure ADの設定】

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/azure-ad-logo-1.png

 

Azure Active Directory」を選択

 

【アプリケーションの登録】

アプリの登録」を選択

 

 

【アプリケーションの新規登録】

+新規登録」を選択

 

【アプリケーションの名称設定】

例 keycloak-oidc (名称は適宜設定します)

登録」ボタンを押します

 

エンドポイント」を選択

 

OpenID Connect メタデータ ドキュメント」をコピーしてweb側へ登録します

 

Azureメタデータ」を選択します

 

 

 

【Azure ADからファイルの読み込み】

Azure メタデータ設定ファイルのインポート」の項にAzure AD側の

  • OpenID Connect メタデータ ドキュメント

のURLをペーストして「インポート」ボタンを押します

 

【データのインポート】

Azure AD側の情報が登録されます

Web側の「リダイレクトURI 」をコピーしてAzure ADの「リダイレクトURI」へに登録します。

 

【プラットフォームを追加】

+プラットフォームを追加」で選択します。

 

Webアプリケーション」を選択

 

リダイレクトURI」へ「Web側のリダイレクトURI」を登録します

構成」ボタンを押して、設定を保存します

 

 

【Azure AD】

アプリケーション(クライアント)ID」 をWeb側の「クライアントID」の項に登録

 

 

証明書とシークレット」を選択

 

 

【シークレットの作成】

+新しいクライアントシークレット」を押す

 

  • 名称 適宜設定 例 for-keycloak-oidc
  • 有効期間 例 6ケ月
  • 追加」ボタンを押す

*クライアントシークレットの有効期間は重要です

 

 

【クライアント・シークレット】

Azure ADの「シークレットの値」を Web側の「シークレット」の項に登録します

 

クライアントID」と「シークレット」に登録して「保存」ボタンを押します。

 

 

OIDCを有効にするに を入れて「保存ボタン」を押します

 

【認証ディレクトリ】

WebサイトにOIDC認証を適用するディレクトリを設定します

例 /test にOIDC認証を設定

  • https://www.example.jp/     認証なし
  • https://www.example.jp/test  に OIDC認証

 

 

【OIDC認証対応のWeb サイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。

 

https://www.example.jp/ 以下に適宜、

①「Webコンテンツをアップロード

もしくは

②「WordPress でコンテンツを作成

します。

一般的なWebコンテンツのWebサイト WordPressのWebサイト

 

 

 

【Azure ADにログイン・ユーザー作成】

ここではAzure AD に新しいユーザーを作成します。

+新しいユーザー」を選択

 

アカウント

  • ユーザー名 keycloak-user
  • 姓 user
  • 名 keycloak
  • パスワード keycloak-test

* keycloak-user@tenant-name.onmicrosoft.com でE-mailアカウントが作成されます

 

【アクセス手順】

① https://www.example.jp/test にアクセス

② 初回は、Azure ADへリダイレクトされて認証を求められます

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

  • アカウント keycloak-user@tenant-name.onmicrosoft.com
  • パスワード keycloak-test

③ 認証後に https://www.example.jp/test のWebページが表示されます

 

 

【アプライアンスの簡単運用】

情シスの負担軽減での運用にも対応

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/pb-rp-1.png

  • サーバーの自己監視やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能

 

 

 

【アプライアンス運用先】

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/pb-rp-1.png

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

 

 

【KeycloakでのWeb認証構成】

ID管理のOPとしてはAzure ADの他に、Keycloakなどでも同様の構成が出来ます。

  1. Azure ADの費用を抑えたい場合
  2. 自社でOPを運用したい場合

には有効な選択枝です。

 

 Keycloak とSAMLやOIDC認証対応Webの構成例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/08/key-oidc-set-28.png