Keycloak / idP とSAMLやOIDC認証対応のリバースプロキシの組み合わせで、SAML認証やOIDC認証に「未対応のWeb」システムとのシングルサインオンを行う場合の構成例です。
Keycloakと代理認証に対応のリバースプロキシを組み合わせて、シングルサインオンを構成します。
【SAMLやOIDC認証に未対応のWeb】
既存で運用のSSOに未対応のWebシステムを、改修不要でSSO化に対応します。
【リバースプロキシ】
バックエンドのWebには、SAML / OIDC認証の代理認証機能のリバースプロキシ(IAP=Identity Aware Proxy)経由でアクセスします。
【KeycloakとSAML/OIDC認証のリバースプロキシでSSO】
SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してSSOで運用します。ユーザーからのバックエンドのWebへの ID / パスワードなどの入力は不要です。
Keycloak とリバースプロキシはSAML認証やOIDC認証で連携します。
SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」を
- シングルサインオンのWebメンバーとして構成
- バックエンドの「Webシステム」は 改修不要
- バックエンドの「Webシステム」は LAN / WAN / DMZ の任意の場所に設置
で運用します
【代理認証】
リバースプロキシが代理認証を行うため、
- 利用者側での「ID/パスワード」の入力不要
- 利用者側への「ID/パスワード」の公開不要
 |
|
【SSO時に必要な機器】
- idP / Keycloak(アイデンティティ・プロバイダー)
- SAML / OIDC 認証対応リバースプロキシ(ユーザー情報&代理入力機能)
- バックエンドのWeb(Webの改修不要)
- ブラウザ(プラグイン不要)
【 idP / Keycloak 】
KeycloakはSAMLやOIDC認証でリバースプロキシと連携します
 |
  |
【リバースプロキシ】
リバースプロキシの特徴
- バックエンドのWebのOSに依存しない
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- ブラウザのみで利用できる
【 SAML/OIDC認証 リバースプロキシ・アプライアンス 】
リバースプロキシは、SAML / OIDC認証に対応のリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
機能としては
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1)
- バックエンドWebへユーザー情報の代理入力機能
- SSLサーバー証明書登録(Let`s Encryptにも対応)
を有しており、GUIから設定を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
【代理入力・SSOでの認証ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / Keycloak へアクセス
- Keycloak の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
【各種WebへのSSO】
一度のidP / Keycloakの認証で、複数のアプリへシングルサインオン
【 SSLクライアント認証の併用(多要素認証 / MFA)】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
| クライアント証明書 〇 | クライアント証明書 ✕ |
【KeycloakとActive Directory連携でのSSO】
Active DirectoryとKeycloakを連携
- keycloakとActive Directoryの連携
- Keycloakとリバースプロキシは、SAML / OIDC認証
- リバースプロキシとWebは代理認証
【既存の認証方法とSSOの併用】
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用など柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
【お問合せ】
