SAMLやOIDC認証に対応していない既存のWebやレガーシーなWebサービスの場合、idP / iDaaS と連携を行いシングルサインオンに対応させる方法として、SAML / OIDC認証に対応のリバースプロキシを経由してユーザー情報の「代理認証」を行い、WebサービスへのSSOを構成します。
  |
| SAML / OIDC認証に未対応のWeb |
idP連携・代理入力のリバースプロキシでのシングル・サインオン構成
* バックエンドの「Webシステム」は WANやLAN の任意の場所に設置
* バックエンドの「Webシステム」は 改修不要
代理認証&SSO
SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、
- 利用者からのWebへの「ID / パスワード」の入力不要
- 利用者からの「ID / パスワード」漏洩リスクを低減
- WebをSSOのメンバーとして構成
 |
 |
* 入力データ項目のカスタムにも対応可能
SSOでの機器構成
- idP / IDaaS
- SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- バックエンドのWeb(改修不要)
- ブラウザ( プラグイン不要 )
 |
 |
idP
SAML認証やOIDC認証に対応の一般的なidPと連携できます。
- Microsoft Entra ID(旧名称 Azure AD)
- GMOトラストログイン
- Keycloak
- 他
 |
  |
idPとリバースプロキシはSAML認証やOIDC認証で接続します。
リバースプロキシの特徴
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
ID認識型リバースプロキシ( IAP: Identity Aware Proxy )
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理入力のSSO利用ステップ
 |
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
各種Web アプリへのSSO
一度のidP認証で、複数のWebアプリへSSOでアクセスできます
SSLクライアント認証の併用(多要素認証 / MFA)
 |
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
| クライアント証明書 〇 | クライアント証明書 ✕ |
既存の認証方法とSSOの併用
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
こんな場合に
- Webアプリの改修は不要でSSO対応にしたい
- ユーザーにWebアプリの ID / パスワードを入力させたくない
- ユーザーにWebアプリの ID / パスワードを公開したくない
- Webアプリへのアクセスに多要素認証を適用したい
- ブラウザのみで利用したい(プラグインやエージェント不要)
 |
|
