Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeをiDaaSやidPと認証連携を行いSSOで運用する構成です。
 |
 |
シングルサインオンに未対応のRoundcubeサーバーに、idPと連携したSAML認証やOIDC認証に対応のID認識型リバースプロキシ / Reverse Proxy 経由でアクセスさせてSSOで構成します。
Roundcubeの改修不要
OIDCやSAML認証に対応していないWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う手法として
- OIDC認証やSAML認証に対応のID認識型リバースプロキシ
を利用してユーザーの「代理認証」を行い、Webシステムへシングルサインオンでアクセスします。既存で運用中のRoundcubeの改修は不要です。(新規に導入のRoundcubeにも対応できます)
* Roundcube以外の「SAMLやOIDCに未対応のWebサイト」でもSSOでの運用が可能
idP連携のOIDC/SAML認証のリバースプロキシからroundcubeへ代理入力&SSO
*「Roundcube 」は WAN / DMZ / LAN の任意の場所の設置に対応しています
代理認証
OIDC / SAML認証に対応のリバースプロキシからRoundcubeへ「ID / パスワード」の代理入力を行います。
- ユーザーからRoundcubeへの「ID / パスワード」の入力不要
- RoundcubeをSSOのメンバーとして構成
|
 |
必要な機器
- idP
- SAML / OIDC認証のリバースプロキシ( ユーザー情報の代理入力機能 )
- Roundcube(改修不要)
- ブラウザ( プラグイン不要 )
idP
idPとしては、Microsoft Entra ID(旧名称 Azure AD)の他に
SAML認証やOIDC認証をサポートの
- GMOトラストログイン
- Keycloak
- 他
にも対応
idPとリバースプロキシはSAML認証やOIDC認証で接続
 |
  |
リバースプロキシの特徴
- バックエンドのWebを隠蔽
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
リバースプロキシ・アプライアンス製品
リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス
「Powered BLUE ReverseProxy for SSO / IDaaS」
で構築運用します。
アプライアンスの機能
- リバースプロキシ機能
- SAMLやOIDC認証
- バックエンドのWebへユーザー情報の代理入力機能
- SSLクライアント認証
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからRoundcubeへユーザー情報を代理入力
- Roundcubeへ自動ログイン
各種Web システムへのSSO
一度の idP認証で、複数のWebシステムへSSOでアクセスできます
