自社のWebサイトをSAML認証のSP(サービスプロバイダ)機能を持つWebサーバーで構築して、シングルサインオンで運用する構成例です。
IDaaSなどのidPと連携して「一般的なWebページ」や「WordPressで作成のWebページ」のサイトをゼロトラスト構成で運用できます。またSP/Webの2重化による冗長や負荷分散での運用も可能です。
ユーザーアカウント不要
SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、SAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP/Web側からアカウント漏洩の心配はありません。
こんな使い方ができます
1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置
- 社内用のWebサーバーをLAN内に設置
- idPはAzure ADのSAML認証を利用
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- idPはG SuiteのSAML認証を利用
- 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
3)利用例
- idPは基本機能を無償で利用出来るTrustLoginを利用
- アルバイト社員の勤怠表へのアクセス
- 社員向け連絡版へのアクセス
- 代理店向けの製品資料の閲覧やダウンロード
- 会員向けの特定情報ページへのアクセス
こんなメリットがあります
- Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
- Webサーバーからのユーザーアカウント漏洩の心配は不要
- Webサーバーへのアクセスにグループでのアクセス・コントロールが可能
SP(サービス・プロバイダ)
SPとしては、ゼロトラスト連携のSAML認証に対応のWebサーバー機能を持つ 「Powered BLUE Web for SSO/IDaaS」を利用します。
SSO/SAML対応のWebサイトを構築するような場合には最適な製品です。
この製品は
- ゼロトラスト連携SAML2.0対応のWebサーバー機能
- Web/Mail/DNS/ftp(インターネットサーバー機能)
- WordPress / Let’s Encrypt に対応
- ひとり情シスでの運用に対応
のWebアプライアンスです。
CentOSやRedHat 上で動作し、AWSをはじめFujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud などの国産クラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。
またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用も可能です。
idP(アイデンティティ・プロバイダ)
idPとしてはSAML2.0に対応した G Suite、Azure ADやTrustLogin、CloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSやOpenAM、KeycloakなどのidPと連携が出来ます。
SAML2.0の設定例
http://wp-sam.mubit.jp/ 以下の指定ディレクトリにSAML2.0の認証を設定する例です
- idP 「TrustLogin」
- SP 「Powered BLUE Web for SSO/IDaaS」
を利用します。
次は SPのSAML認証の設定を行います …..