Keycloakで自社システムやSaaSをシングルサインオン化で構成

Keycloakを利用して自社のメール・Web・チャットなどをシングルサインオンで運用する構成例です。idPのKeycloakをはじめ、連携するSP側もオープンソースの製品を利用することで費用を抑えての導入や運用が可能です。

 

KeycloakでのSSOシステム構成 パターン

Keycloakを利用した自社システムやSaaSのシングルサインオン構成

 

 

Powered BLUE アプライアンスとは

Powered BLUE アプライアンスは、Linuxベースの統合型アプライアンスです。Keycloakをはじめ、各種のOSSソフトウェアがプリインストールされています。

Powered BLUE アプライアンスを利用することで、Keycloakの導入や運用を簡単に行うことができます。またWebサイトやWordPress、roundcubeやMattermostなどの各種のサービスをシングルサインオンで運用できます。

 

SSO未対応Webは代理認証のリバースプロキシで対応

SAMLやOIDC認証に対応していない既存のWebアプリケーションについては、代理認証機能のリバースプロキシを利用することで、Webサイトの改修をすることなくシングルサインオンのメンバーとして組み込むことでSSOを実現します。

 

各種の機能に対応のPowered BLUE アプライアンス

 

 

 

  • Keycloak / idP
  • Mail / Web / DNS / ftp
  • Web /  WordPress
  • WebMail / roundcube
  • ビジネスチャット / Mattermost
  • 代理認証対応リバースプロキシ
  • Private-CA (SSLクライアント証明書・発行・失効・認証)
  • シスログサーバー
項目 Web WebMail
roundcube
ブログ
WordPress
リバースプロキシ 代理認証リバースプロキシ
SAML / OIDC 未対応WebのSSO
SSO対応
SAML / OIDC 認証

 

Keycloakアプライアンス(冗長構成に対応)

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

 「Powered BLUE idP for Keycloak

を利用出来ます。

 

Keycloak 設定

  • データベース構成
  • スタンドアローンやクラスター構成

 

 

 

 

 

 

 

クラスター構成

 

 

 

 

 

 

 

 

Mail / Web / DNS アプライアンス

インターネットサーバー機能のアプライアンスとして

 「Powered BLUE アプライアンス

を利用出来ます。

 

 

項目 Web MAIL DNS Firewall
機能
概要 SNI
HSTS
SSL証明書登録機能
SMTP/SMTPS
POP/POPS
IMAP/IMAPS
DKIM/DMARC
ドメイン認証
TXT
SRV
SPF
TCP/UDP
ポート設定

 

 

SSO対応のWebサイトは

  1. 一般的なコンテンツをアップロードのWebのサイト
  2. WordPerssのWebサイト
  3. roundcube / Webmail のWebサイト

の構築・運用に対応しています

 

一般的なWebサイト WordPressのWebサイト roundcubeのWebサイト
SSO ✅ SSO ✅ SSO ✅

 

Keycloak でのSSO構成

  • WebサイトにSAML / OIDC認証を設定

 

 

 

 

Webmail / roundcubeとKeycloak 連携時のシングルサインオン

  1.  roudcube のログイン画面へアクセス
  2.  初回は、idP / Keycloak へリダイレクトされて認証を求められます
  3.  認証後に roundcube のWebページが表示

 

 

 

代理認証対応リバースプロキシ・アプライアンス

 

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

 Powered BLUE Reverse-Proxy with SSO

を利用します。

 

 

 

 

 

代理認証対応のリバースプロキシでSSO

既存のWebサイトがSAMLやOIDC認証に未対応の場合、SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、既存のWebサイトを改修することなくSSOに対応させることができます。

特徴

  1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
  2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
  3. 既存Webは改修不要
  4. ブラウザのみで利用(プラグイン不要)

 

構成

既存の「Webサイト」は WAN / DMZ / LAN の任意の場所の設置に対応しています
サードパーティ製のWebアプリや他社のWebサービスなどのSSO化も対応可能です

 

代理認証時のSSO手順

 

 

 

  1. 代理認証のリバースプロキシへアクセス
  2. 初回のみ  idP へアクセス
  3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
  4. バックエンドのWebへ自動ログイン

 

 

 

 

 

ビジネスチャット・オープンソース版のMattermost でSSO

Slack 互換のMattermostは、オンプレ環境にも対応の高機能なチャットツールです。ただしSAMLやOIDC認証によるシングルサインオンに関しては有償版での提供となっており、標準の場合にはオープンソース版のTeam Edition ではSSO利用ができません。

 

 

 

オープンソース版のMattermost でシングルサインオンを構成する方法

  1. 代理認証対応のリバースプロキシ
  2. WebサイトでのMattermostの構築・運用

を連携させてSSOを構成します

 

 

代理認証対応のリバースプロキシとMattermostを同一サイトで運用のSSO構成

  • ReverseProxy + Mattermost = オールインワンで運用

 

 

 

 

 

 

 

 

代理認証対応のリバースプロキシとWebアプリのMattermostの分離運用も可能

 

 

Powered BLUE Private-CAアプライアンス

Private-CAのアプライアンスとして

 「Powered BLUE プライベートCA

を利用出来ます。

 

  •  Private-CA(SSLクライアント証明書の発行・失効)
  •  SSLクライアント認証

 

 

SSLクライアント認証で Keycloakへの多要素認証(MFA)

  1. SSLクライアント認証
  2. ID/パスワード認証

 

 

 

 

 

 

 

 

SSLクライアント認証 〇 SSLクライアント認証 ✖

 

 

Keycloakではワンタイムパスワード認証も利用が出来ます。

 

 

 

  1. ワンタイムパスワード認証は、毎回「入力する」必要があります
  2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

 

多要素認証の比較

認証 SSLクライアント認証 ワンタイムパスワード認証
認証操作 不要 毎回必要
判定のタイミング ID / passwd 入力前に判定 ID / passwd 入力後に判定
リスト攻撃への対応  ブロック   ブロック 

 

Powered BLUE アプライアンスの基本構成

  •  OS  RockyLinux   /  RedHat
  •  各種のアプリ
  •  GUIでのサーバーやアプリの設定

 

 

 

 

 

 

 

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」での設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

 

  1.  サーバーの自己監視やサービスの自動再起動機能
  2.  パッチのスケジュールアップデート機能
  3.  管理者への通知機能

 

 

 

 

 

 

 

 

クローズドネットワークでの運用

 

 

 

 

 

 

仮想アプライアンスのイメージでの提供により

  • 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

 

 

 

 

サーバーのセルフチェック機能により

  • 外部の監視サービスを利用しない運用に対応

 

 

 

 

アプライアンスの運用先

 

 

 

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

 

お問合せ

 

 

 

ご質問やご相談など