富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にSAML認証のリバースプロキシを構築します。IDaaS/idPのMicrosoft Entra ID(旧名称 Azure AD)を利用して、社内設置のレガシーなWebサーバーにSAMLやOIDC対応の機能を持つReverse Proxy経由で代理認証を行いシングルサインオンで運用します。
【レガシーWeb】
SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してシングルサインオンを構成します。
SAML / OIDC認証に 未対応のWeb |
【代理認証】
リバースプロキシが代理入力および代理認証を行うため
- 利用者からWebへ「ID / パスワード」の入力不要
- 利用者へのWebの「ID / パスワード」の公開不要
- SAMLやOIDCに未対応のWebをSSOのメンバーとして構成
【Azure AD連携のリバースプロキシから既存Webへ代理入力&SSO】
- SAML / OIDC認証対応のリバースプロキシは、FUJITSU Hybrid IT Service FJcloud-O 上で運用
- バックエンドの「Web」は WANやLAN の任意の場所に設置が可能
【 必要な機器など 】
- idP
- SAML / OIDC認証対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- バックエンドのWeb(改修不要)
- ブラウザ(プラグイン不要)
【 idP / Azure AD 】
idPとしては、Microsoft Entra ID(旧名称 Azure AD)の他に
SAML / OIDC認証をサポートの 一般的なidP に対応
- GMOトラストログイン
- Keycloak
- 他
【リバースプロキシの特徴】
- バックエンドのWebのOSに依存しない
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- ブラウザのみで利用できる(プラグイン不要)
【 SAML/OIDC認証 の代理入力対応のリバースプロキシ 】
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
をFUJITSU Hybrid IT Service FJcloud-O 上に構築運用します。
【アプライアンスの機能】
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebアプリへユーザー情報の代理入力機能
- バックエンドのWebアプリへHTTPヘッダーでのユーザー情報の転送機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、GUIからアプライアンスの設定&運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
【代理入力・SSOでの認証ステップ】
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP / Azure ADへアクセス(シングルサインオン)
- Azure AD の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
- バックエンドWebへ自動ログイン
【各種Web システムへのSSO】
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
【SSLクライアント認証の併用 / 多要素認証】
SSLクライアント認証でidPやリバースプロキシへの認証を強化
クライアント証明書 〇 | クライアント証明書 ✕ | |
【既存の認証方法とSSOの併用】
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
ID / パスワード認証 | SSO |
【 FUJITSU Hybrid IT Service FJcloud-O上で運用時のメリット】
- 国産クラウド環境
- OpenStack準拠
- 単一ゾーンでのSLA 99.99%
- アンチ・アフィニティをサポート
- 回線費用は無償(ベストエフォート)
- Firewallは無償
- Ansible対応
【お問合せ】