Azure ADとSAML / OIDC認証対応リバースプロキシでWebへ代理認証を行いシングルサインオン / Webの改修不要でidP連携

Microsoft Entra ID(旧名称 Azure AD)とSAMLやOIDC認証対応のリバースプロキシの組み合わせで、SAML認証やOIDC認証に「未対応のWeb」システムをSSOで認証連携を行う構成です。

社内で運用の既存Webシステムなども、Azure ADとのシングルサインオンでの一元的なコントロールができます。

 

 

 

 

バックエンドのWebには、SAML / OIDC認証に対応のID認識型プロキシ経由でアクセスします。

SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから「 ユーザー情報 を代理入力」してシングルサインオンで運用します。

  1. バックエンドのWebをSSOのメンバーとして構成
  2. ユーザー操作でのバックエンドのWebへの「 ID / パスワード」入力は不要
SAML / OIDC認証に未対応のWeb

 

 

こんな課題に対応】

  • ユーザーにID / パスワードを入力させたくない
  • ユーザーにID / パスワードを公開したくない
  • 既存のWebを改修せずにSSO化したい
  • 自社の既存WebをSaaS化したい
  • メーカー製のWebアプリやサービスにもSSOでアクセスしたい
  • 共有アカウントのWebをSSO化したい
  • LAN内に設置のWebをidP認証に対応させたい
  • 既存の ID / パスワード認証 と SSOを併用したい
  • 改修不要で多要素認証(MFA)に対応させたい

 

 

【idP連携・リバースプロキシでの代理入力のシングル・サインオン構成】

  • 「Webシステム」のOSに依存せずに導入できます
  • 「Webシステム」は 改修不要
  • 「Webシステム」は WANやLAN の任意の場所に設置できます
  •  ブラウザのみで利用(ブラウザのプラグイン不要)

 

SAML認証やOIDC認証を利用して

  1. 未対応のWebシステム
  2. レガシーなWebシステム

をAzure ADのシングルサインオンのWebメンバーとして構成できます。

 

 

【代理認証】

Azure AD連携のリバースプロキシが代理認証を行うため

  1. 利用者側での「 ID/パスワード」 の入力や管理不要
  2. 利用者からの「 ID/パスワード」 漏洩リスクを大幅低減

 

 

【SSOに必要な機器】

 

 

  1. Azure AD / idP(アイデンティティ・プロバイダー)
  2. SAML / OIDC 認証対応リバースプロキシ(ユーザー情報&代理入力機能)
  3. バックエンドのWeb(改修不要・OS不問)
  4. ブラウザ(プラグイン不要)

 

 

【 idP / Azure AD 】

Azure ADとリバースプロキシはSAMLやOIDC認証で連携設定します。

 

* リバースプロキシ側の代理入力機能でSSOを行います
* Azure AD側の代理入力機能は利用しません
* Azure AD側の代理入力機能を利用時の以下の制約はありません
  1. SAML / OIDCに未対応(SAML / OIDC対応の他のアプリとSSO連携できない)
  2. アプリへは最大48名までの登録に制限
  3. Azure ADのアクセスログに記録されない
  4. ブラウザはMicrosoft Edge / Google Chrome に限定&ブラウザのプラグインが必要
  5. Safari やFirefoxブラウザからの利用は不可
  6. Azure AD側からのアクセスに限定

 

 

【リバースプロキシの特徴】

 

 

 

 

 

 

  1. バックエンドのWebのOSに依存しない
  2. バックエンドのWebの改修は原則不要
  3. バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
  4. ブラウザのみで利用できる(プラグイン不要)

 

 

 

【 SAML/OIDC認証 リバースプロキシ・アプライアンス 】

 

 

 

 

 

リバースプロキシは、SAML / OIDC認証に対応のリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

リバースプロキシ・アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 )
  • バックエンドWebへユーザー情報の代理入力機能
  • GUIからの設定および運用

機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。

 

【代理入力・SSOでの認証ステップ】

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Azure ADへアクセス
  3. Azure AD の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
  4. バックエンドWebへ自動ログイン

 

 

 

 

 

 

 

【各種WebへのSSO】

一度のAzure ADの認証で、複数のWebアプリへのシングルサインオン

 

 

 

 

 

 

SSLクライアント認証の併用 / 多要素認証

SSLクライアント認証でidPやリバースプロキシへの認証を強化

 

 

 

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

 

 

 

 

 

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

 

 

 

SSLクライアント認証時のアクセスコントロール 例

  1. 組織や部門でのアクセス制限  ( 営業部にアクセス許可 )
  2. 曜日や時間帯でのアクセス制限 ( 月 – 金 / 9:00 – 18:00 はアクセス許可)
  3. 特定ユーザーでのアクセス制限  ( bad-user のアクセス制限 )
  4. 端末を紛失したAさんのアクセス禁止 ( user-A のアクセス禁止 )

 

 

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP / IDaaS 連携によるSSO(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

 

【お問合せ】

 

 

 

ご質問やご相談など