SAML認証やOIDC認証に対応していないWebサイトへのアクセスをSSOで運用する構成です。
Microsoft Entra ID(旧名称 Azure AD)やGMOトラストログインなどのiDaaSやKeycloakなどのidPと連携して、既存のWebサイトの改修不要でSAMLやOIDC認証などのSSOでアクセスさせることができます。
  |
| SAML / OIDC認証に 未対応のWeb |
社内Webを改修不要でSSO化
SAMLやOIDC認証に対応していない既存のWebやレガーシーなWebシステムでも、idP / iDaaS と連携を行いシングルサインオンできる方法として
- SAML / OIDC認証に対応のID認識型リバースプロキシ
を利用してユーザーの「代理認証」を行い、WebシステムへSSOを行います。
こんな場合に
- ID / パスワードの漏洩が心配
- 既存のWebシステムの改修はできない
- 社内のWebをSSOに対応させたい
- 自社のWebサービスをSSOによりSaaS化したい
- サードパーティのWebアプリをSSOで利用したい
- Webアクセスに多要素認証を適用したい
idP連携でリバースプロキシから代理入力&SSO運用時の構成
* 既存の「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応
* 既存の「Webシステム」は 改修不要
代理認証
SAML / OIDC認証に対応のリバースプロキシが「ID / パスワード」の代理入力を行うため、
- 利用者からの「ID / パスワード」の入力不要
- 既存のWebをSSOのメンバーとして構成
 |
 |
* SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応
SSOで利用する機器
- idP
- SAML / OIDC認証対応のリバースプロキシ( ユーザー情報の代理入力機能 )
- 既存のWeb(改修不要)
- ブラウザ( プラグイン不要 )
 |
 |
idP
idPとリバースプロキシはSAML認証やOIDC認証で接続します。
対応のidPとしては、SAML / OIDC認証をサポートの一般的な
- Microsoft Entra ID(旧名称 Azure AD)
- GMOトラストログイン
- Keycloak
- 他
などに対応
 |
  |
リバースプロキシの特徴
- バックエンドのWebを隠蔽(セキュリティ上のメリット)
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
リバースプロキシ・アプライアンス
リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証(SP / RP 機能 *1 )
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
*1 SAML認証時はSP (Service Provider) OIDC認証時はRP(Relying Party)という名称です
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
- バックエンドのWebへ自動ログイン
各種Web システムへのSSO
一度のidP認証で、複数のWebシステムへSSOでアクセスできます
SSLクライアント認証の併用( 多要素認証 / MFA )
 |
SSLクライアント認証でidPやリバースプロキシへの認証を強化
- idPとのSAML / OIDC認証
- SSLクライアント認証
| クライアント証明書 〇 | クライアント証明書 ✕ |
既存の認証方法とSSOの併用
アクセス元により認証方法を変えることも出来ます。
- 従来の ID / パスワード認証(社内からのアクセス)
- idP / IDaaS 連携によるSSO(社外からのアクセス)
の併用などの柔軟な運用が可能です。
| ID / パスワード認証 | SSO |
お問合せ
