社内で運用中のオンプレミスの ID / パスワード認証のdesknet’s に社外から、idP / Microsoft Entra ID ( 旧名称 Azure AD ) とSAMLやOIDC認証連携のリバースプロキシ経由で代理認証を行いシングルサインオンでアクセスする構成です。
desknet’sの変更不要
既存で運用中の desknet’s の改修や設定変更は不要です。
idP / Azure AD 連携・desknet’sへ代理入力のシングル・サインオン構成
Azure ADなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いdesknet’sへのシングルサインオンを構成します。
* バックエンドの「desknet’s」は WANや LAN の任意の場所での運用に対応
*「desknet’s」以外のWebアプリにも対応
パスワード管理
SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、
- 利用者から desknet’s への「ID / パスワード」の入力不要
- 利用者から「ID/パスワード」漏洩リスクを低減
 |
 |
* SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応
SSOで利用する機器
- idP
- SAML / OIDC認証に対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- desknet’s(改修不要)
- ブラウザ( プラグイン不要 )
 |
 |
対応のidP
SAML / OIDC認証をサポートの 一般的なidP に対応しています
- Microsoft Entra ID (旧名称 Azure AD * )
- GMOトラストログイン
- Keycloak
- 他
idPとリバースプロキシはSAML認証やOIDC認証で接続
 |
  |
* Azure AD はMicrosoft Entra IDに名称変更になります(機能は同一)
VPNアクセスでの問題点
- VPNはアクセス集中時の負荷が高い
- 専用のクラアントが必要(インストール端末に制約がある場合もある)
*リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。
リバースプロキシの特徴
VPNと比較して、ブラウザから使用出来るので利用端末を選びません
- バックエンドのWebを隠蔽(セキュリティ上のメリット)
- LAN内のWebにもアクセスできる
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
代理入力&代理認証のリバースプロキシ
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
リバースプロキシ・アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- GUIから設定や運用機能
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理認証のSSO利用ステップ
 |
 |
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後にリバースプロキシから desknet’s へユーザー情報を代理入力
- バックエンドの desknet’s へ自動ログイン
各種Web アプリへのSSO
一度のidP認証で、複数のWebアプリへSSOでアクセスできます
SSLクライアント認証を追加(多要素認証 / MFA)
SSLクライアント認証でidPやリバースプロキシへの認証を強化できます
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
既存の認証方法とSSOの併用
アクセス元によりデスクネッツへの認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- SSOでの認証(社外からのアクセス)
の併用など柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
アプライアンスの運用先
クラウド環境や仮想基盤、オンプレミスなど自社管理で運用が出来ます
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど
お問合せ
