OpenStack対応 Azure AD連携SAML認証のリバースプロキシで既存Webへ代理認証でSSO / FUJITSU Hybrid IT Service FJcloud-Oで運用

富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にSAML認証のリバースプロキシを構築します。IDaaS/idPのMicrosoft Entra ID(旧名称 Azure AD)を利用して、社内設置のレガシーなWebサーバーにSAMLやOIDC対応の機能を持つReverse Proxy経由で代理認証を行いシングルサインオンで運用します。

 

 

 

 

 

 

レガシーWeb

SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してシングルサインオンを構成します。

SAML / OIDC認証に
未対応のWeb

 

 

【代理認証】

リバースプロキシが代理入力および代理認証を行うため

  1. 利用者からWebへ「ID / パスワード」の入力不要
  2. 利用者へのWebの「ID / パスワード」の公開不要
  3. SAMLやOIDCに未対応のWebをSSOのメンバーとして構成

 

 

Azure AD連携のリバースプロキシから既存Webへ代理入力&SSO

  1. SAML / OIDC認証対応のリバースプロキシは、FUJITSU Hybrid IT Service FJcloud-O 上で運用
  2. バックエンドの「Web」は WANやLAN の任意の場所に設置が可能

 

 

【 必要な機器など 】

  1. idP
  2. SAML / OIDC認証対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. バックエンドのWeb(改修不要)
  4. ブラウザ(プラグイン不要)

 

 

【 idP / Azure AD 】

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

 

【リバースプロキシの特徴】

 

 

 

 

 

 

  1. バックエンドのWebのOSに依存しない
  2. バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
  3. ブラウザのみで利用できる(プラグイン不要)

 

 

【 SAML/OIDC認証 の代理入力対応のリバースプロキシ 】

 

 

 

 

 

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

FUJITSU Hybrid IT Service FJcloud-O 上に構築運用します。

 

 

【アプライアンスの機能】

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 *1 )
  • バックエンドのWebアプリへユーザー情報の代理入力機能
  • バックエンドのWebアプリへHTTPヘッダーでのユーザー情報の転送機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、GUIからアプライアンスの設定&運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

【代理入力・SSOでの認証ステップ】

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Azure ADへアクセス(シングルサインオン)
  3. Azure AD の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
  4. バックエンドWebへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

【SSLクライアント認証の併用 / 多要素認証】

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

 

クライアント証明書 〇 クライアント証明書 ✕

 

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP / IDaaS 連携によるSSO(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

【 FUJITSU Hybrid IT Service FJcloud-O上で運用時のメリット】

  • 国産クラウド環境
  • OpenStack準拠
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 回線費用は無償(ベストエフォート)
  • Firewallは無償
  • Ansible対応

 

 

【お問合せ】

 

 

ご質問やご相談など