SAML2.0でのネットワーク構成例
SAMLは仕様上、idPとSPの直接の通信を行わない構成が取れます(SP-initiated SAML)
ユーザーのブラウザを経由して、idPとSP間の通信を行います(Web ブラウザ SSO)
SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidPでの認証が可能)
SPとIdPの通信手順
1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン
LAN内に設置のWebサイト/spとidPの例
LAN側に設置のSP(サービスプロバイダ)上のWebサイトへのアクセス認証をWAN側のidPで実施
運用例-1
SP(Webサーバー)をLAN側に設置
- 社内用のWebサーバーをLAN内に設置
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
運用例-2
SP(Webサーバー)をWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- 特定のディレクトリは、社員・会員のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
SP/Webの多重化
SP側のWebを多重化して、Webアクセス時の負荷分散をする構成
マルチAZ構成
複数のアベイラビリティ・ゾーンでのSP/Webの運用
・リージョンA / 東日本
・リージョンB / 西日本
多要素認証
idP側の認証とは別に、「Powered BLUE Web for SSO / IDaaS」のSP上で単独で
- SSLクライアント認証
- ワンタイムパスワード認証
を設定して運用する事が出来ます
SSLクライアント認証
SP上でPrivate CAを運用 SSLクライアント証明書を発行してSSLクライアント認証によるアクセスコントロールが出来ます。
OTP/ワンタイムパスワード認証
SAML対応のリバースプロキシ
Powered BLUE SSO対応の製品には、SAML認証対応のリバースプロキシ製品もあります。社内LAN側に設置のSSOに対応してないWebサーバーへ、SAML認証後にリバースプロキシでアクセスさせることが出来る Powered BLUE Reverse Proxy SSO/IDaaS 製品もあります。
社外から社内LAN側に設置のWebサーバーへのアクセスに有効です
ID/パスワードの代理入力の中継&リバースプロキシ
社内LAN側にあるID/パスワード入力の必要なWebシステムへ、idPからリバースプロキシ経由でアクセスさせて、ターゲットのWebサーバーへプリセットされたID/パスワードの自動入力での運用にも対応しています。
社外から社内LAN側に設置のWebサーバーへの自動ログインに有効です
Azure ADでSAML認証する場合の設定
idPとしてAzure ADを利用してWebサイトのSAML認証を行う場合の設定例
自社Web/WordPressをAzure AD/SAML認証のシングルサインオンで運用
SAML認証のデモ
Trustloginを利用したSAML認証の デモサーバー
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。