既存の自社Webや他社のWebサービスを改修不要でidP / iDaaS連携によるシングルサインオン化

既存で運用の ID / パスワード認証のWebサービスを Microsoft Entra ID(旧名称 Azure AD)などのiDaaSやKeycloak などの idPと連携してシングルサインオンで運用する場合の構築方法です。

リバースプロキシを利用することで、既存のWebサービスを改修することなくSAML認証やOIDC認証の機能を付加して、idPと連携してSSOでの運用が出来ます。

自社のWebサービスの他、他社が管理・提供するWebアプリやサービスへのアクセスにもSSO化を適用させることが出来ます。

 

 

【SSOとは】

 

シングルサインオン(SSO)とは、ユーザーが複数のアプリケーションにログインする際に、1回だけ認証を行うことで、すべてのアプリケーションにアクセスできる仕組みです。SSOを利用することで、ユーザーはパスワードを記憶する必要がなくなります。

すべてのアプリケーションがSSOに対応しているわけではありません。特に、社内に設置されているWebサーバーは、SSOに対応していないことが多くあります。そのため、社内のユーザーは、各アプリケーションに個別にログインする必要があります。

 ID / パスワード認証の既存Web

そこで、ID認識型リバースプロキシを利用することで、社内のWebサーバーにSSOを適用することができます。ID認識型リバースプロキシは、ユーザーがアクセスするWebサーバーと idPを連携し、ユーザーの認証を行います。これにより、ユーザーはID認識型リバースプロキシを経由してWebサーバーにアクセスするだけで、SSOを利用することができます。

 

【こんな場合に】

  • 既存のWebを改修せずにSSO化したい
  • 自社の既存WebをSaaS化したい
  • 他社のWebサービスをSSOで利用したい
  • ユーザーにWebアプリの ID / パスワードを入力させたくない
  • ユーザーにWebアプリの ID / パスワードを公開したくない
  • 共通のアカウントでログインしたいWebアプリがある
  • 既存の ID / パスワード認証 と SSOを併用したい
  • 改修不要で多要素認証(MFA)に対応させたい
  • ブラウザのみで利用したい
  • リバースプロキシは自社管理で運用したい
  • VPNは負荷が高いので使用を控えたい

 

 

 

 

【リバースプロキシの特徴】

  • アクセス先のWebサーバーのOSは問わない
  • アクセス先のWebサーバーを隠蔽
  • アクセス先のWebサーバーの改修不要

 

 

 

 

 

 

 

【リバースプロキシでSSO対応

既存で運用中のWebサービスを改修することなく、OIDCやSAML認証に対応の idP  と連携を行いシングルサインオンを行う場合

  • SAML / OIDC認証に対応のID認識型リバースプロキシ

を利用してユーザー情報の「代理入力」を行い、Webサービスへシングルサインオンを構成します。

リバースプロキシは、Webアプリケーションとユーザーの間の仲介役として機能し、ユーザー認証やアクセス制御などの機能を提供します。

 

ID認識型リバースプロキシ

 

 

 

 

 

リバースプロキシは、SAML / OIDC認証に対応の「ID認識型リバースプロキシ」

Powered BLUE ReverseProxy for SSO / IDaaS

で構築運用します。

 

アプライアンスの機能

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能  *1 )
  • バックエンドのWebへユーザー情報の代理入力機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

認識型リバースプロキシの特徴

WebのOS Webの改修 Webの場所 自社Web 他社Web ブラウザ
ID認識型
リバースプロキシ		 不問 不要 LAN / WAN / DMZ SSO対応 SSO対応 プラグイン不要

 

 

【idP連携のリバースプロキシからWeb代理入力&SSO

ID / パスワード認証の「既存のWebサービス」を

  1. SAMLやOIDC認証のシングルサインオンのメンバーとして構成
  2. バックエンドの「Webサービス」は 改修不要
  3. バックエンドの「Webサービス」は LAN / WAN / DMZ  の任意の場所に設置

に対応で運用します

 

 

 

【代理認証】

SAML/OIDC認証対応のID認識型リバースプロキシ ( *2 ) から、既存のWebサービスへ「ID / パスワード」を代理入力&代理認証を行います

  1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
  2. ID / パスワード認証のWebサービスをSSOのメンバーとして構成

*2 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

 

【SSOに必要な機器構成】

  1.  idP
  2.  SAML / OIDC認証機能のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
  3.  既存のWebサービス ( Webの改修は不要 )
  4.  ブラウザ(プラグイン不要)

 

 

 

【idP】

 

 

 

 

 

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

 

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

 

SSO時のアクセス

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ  idP へアクセス(シングルサインオン)
  3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

 

SSLクライアント認証の併用(多要素認証/MFA)

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

  1. idPとのSAML / OIDC認証
  2. SSLクライアント認証

 

 

クライアント証明書 〇 クライアント証明書 ✕

 

 

 

 

 

 

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP 連携によるSSO(社外からのアクセス)

の併用など柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

【お問合せ】

 

 

 

ご質問やご相談など