Nutanix上で運用するSAML認証のリバースプロキシ経由で社内Webへアクセス

Nutanixで運用 / Microsoft Entra ID連携のSAML認証リバースプロキシで社内のデスクネッツへアクセス

 

Microsoft Entra IDをidPとして、SAML認証対応のリバースプロキシ経由で社内のWebへアクセスさせる構成です。SAML認証に対応のリバースプロキシは、Nutanix上で仮想アプライアンスとして運用を行います。

 

 

 

 

 

 

 

リバースプロキシの特徴

リバースプロキシとは、ターゲットのWebサイトへアクセスする場合、ターゲットのWebサイトを隠蔽するとともに、Webサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシを利用することで、SAML認証、SSLクライアント認証、ワンタイムパスワード認証、パスキー認証などの各種の認証経由でセキュアにターゲットのWebサイトにアクセスさせる運用が可能となります。

 

 

 

 

 

 

 

各種の認証に対応のリバースプロキシ

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、Powered BLUE Reversse Proxy アプライアンス」 を利用します。

 

 

 

認証方式 SAML / OIDC認証 パスキー認証 SSLクライアント認証 OTP認証 AD認証
対応

* 複数の認証の組合せでの運用にも対応
(例 SSLクライアント認証+OTP認証)
(例 Passkey認証+OTP認証)

 

 

リバースプロキシのアップロード

Powered BLUE 仮想アプライアンスをNutanixへアップロードします。

Nutanix上でユーザーVMとして ➡「Powered BLUE Reversse Proxy アプライアンス」を運用します。

 

 

 

 

 

アップロード&起動の手順

  1. Nutanixの保存先ストレージコンテナを選択
  2. Nutanixに仮想アプラアインスのイメージをアップロード
  3. ユーザーVMを作成
  4. 仮想ディスクにアップロードした仮想アプライアンスのイメージをアサイン
  5. ユーザーVMに vCPU / メモリ / Network をアサイン
  6. ユーザーVMを起動

 

PrismでのユーザーVMの表示

 

 

 

 

 

 

 

 

 

SAML/OIDC認証でのリバースプロキシの構成

idP とSP(SAML/OIDC認証のリバースプロキシ)で構成

idP としては

  • Microsoft Entra ID
  • TrustLogin
  • G suite
  • Keycloak

などの一般的なidPとの連携に対応しています。

 

 

 

 

 

 

 

 

今回の設定に必要な機器&構成

ターゲットWebは社内のdesknet’s

  • idP ( Microsoft Entra ID / SMAL認証 )
  • SP ( Powered BLUE リバースプロキシ / SAML認証 )
  • ブラウザ( プラグイン不要 )
  • desknet’s の改修不要

 

SP側の設定

Powered BLUE 管理画面

 

 

 

 

仮想サイトの作成

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例 http://wp-sam.mubit.jp

 

 

 

 

 

 

 

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。

SSLのサーバー証明書としては

  1. サイトのSSL自己証明
  2. パブリックなSSLサーバー証明書
  3. Let’s EncryptでのSSLサーバー証明書

に対応しています。

 

パブリックなSSLサーバー証明書の場合(CSRの作成)

必要情報を記載して「署名リクエストの作成」ボタンで作成したcsrを、SSLサーバー証明書を発行する機関へ送付します。

 

 

 

 

 

 

 

 

  • 「署名リクエストの作成」でファイルを保存
  • 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

 

 

 

 

 

 

 

  • 公的機関で発行された、サーバー証明書を 「インポート」 します
  • 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

 

 

 

 

 

 

 

Let’s Encryptの場合

 

 

 

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

 

 

 

 

 

 

 

 

Let’s Encryptインストール後に 「有効にする」 にチェックを入れます

 

 

 

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

 

例 https://wp-sam.mubit.jp/blog/  —–>  https://sni-1.mubit.jp/blog/

 

 

 

例  https://wp-sam.mubit.jp/webmail/ —–>  http://sni-1.mubit.jp/webmail/

 

 

 

 

SAML2.0のエンドポイント

SAMLのエンドポイントを指定します  例 /

idP側のxmlのメタデータをSPへインポートします

 

 

 

 

 

 

 

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

 

 

 

 

 

 

 

idP側で作成のメタデータ(xml)をアップロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-14.png

SAML2.0の認証をかけたいdirを指定します

例 /blog

https://wp-sam.mubt.jp/blog/   にSAML認証が適用されます

 

 

 

 

 

 

 

グループアクセスでのコントロールが不要の場合には、SP側はここまでの設定です。

https://wp-sam.mubt.jp/webmail/    にSAML認証を適用させる場合も、同様の設定を行います

 

 

attributeの指定

グループでのリバースプロキシへのアクセスコントロールを行なう場合に、attributeを追加で設定します

それぞれのパスに対して、idP側で設定の attribute-value もしくは ロール の指定が出来ます

部門毎やグループ毎などにリバースプロキシへのアクセスコントロールを行ないたい場合には、便利な機能です。

  • 例 営業部・開発部・総務部はidPでリバースプロキシへのアクセスを許可する
  • 例 特定の役職以上はリバースプロキシへのアクセスを許可する

attribute=”groups”    value=”  mbt”  でのアクセスを許可の場合の設定例

 

 

 

 

 

 

samlの有効化

  • SAML認証を有効にします

 

 

 

 

 

idP / Microsoft Entra IDの設定

 

 

 

 

Microsoft Entra IDの利用プラン

  • Microsoft  Entra  ID P1 以上 (SAML認証に必要)

 

エンタープライズ アプリケーションブレード

自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。

お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Microsoft Entra IDポタにサインインします。

  • [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  • (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
  • [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。

 

  1. 新しいアプリケーションの表示名を入力します。
  2. [追加] を選択します。

 

 

この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。

 

 

 

 

 

 

 

 

 

 

SAMLを選択

 

 

 

 

 

 

 

 

① 基本的なSAML構成を選択

 

 

 

 

 

 

 

 

 

 

 

 

 

idp側のxmlを読み込み

メタデータファイルをクリック

 

 

idPに読み込むメタデータファイルの指定(SP側のxmlファイル)

 

 

もしくは、以下の項目をxmlの内容に沿って記述します

Microsoft EntraID  SAML の設定例

SAMLの項目

SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。

エンティティID

https://wp-sam.mubit.jp/endpoint/metadata

応答URL (Assertion Consumer Service URL )

https://wp-sam.mubit.jp/endpoint/postResponse

サインオンURL

https://twp-sam.mubit.jp/develop-dep/

リレー状態

空欄でも可能

ログアウトURL

空欄でも可能

 

 

 

② ユーザー属性とクレーム

必要に応じて設定

③ SAML署名

idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します

 

 

 

 

 

 

 

 

 

 

 

 

 

グループアクセスコントロールが不要の場合には、ここまでの設定となります

 

Validate

idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。

 

 

 

 

 

SAMLアプリケーションにユーザーとグループのアサイン

作成したSAMLアプリケーションを利用出来る、ユーザーやグループを割り当てます

 

 

認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示

 

 

 

 

 

 

 

* SP initiated SAML および idP initiated SAMLに対応

 

デスクネッツの改修不要

既存で運用中のデスクネッツの改修は不要です。

 

アクセス方法

  • 社内からは、従来同様に直接「デスクネッツ」へ アクセス
  • 社外からは、Microsoft Entra ID 認証の「リバースプロキシ」経由でアクセス

 

 

 

 

社内から 社外から