社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML認証対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。オンプレミスのWebサーバーへ社外からゼロトラスト連携でアクセスさせることが出来ます。
今回はIDaaSなどのidPと連携して、社内のWebサイトやWordPressで作成のWebサイト、Web mail、グループウエアなど、認証が弱い、もしくは認証のないWebサーバーへ、SAML対応のSP機能を持つID認識型リバースプロキシ経由でアクセスさせます。HAやマルチリージョンなどの冗長化構成での運用にも対応しています。
SAML認証対応のID認識型リバースプロキシ
WAN側のWebもセキュア・アクセス
またLAN内に設置のWebをWAN側のクラウド環境に移設の場合、認証対応のリバースプロキシ経由のみでのアクセスする運用により、WAN側に設置もWebサーバーもセキュアなアクセスで運用することが可能です。
対応のidP(アイデンティティ・プロバイダ)
idPとしてはSAML2.0に対応した Azure ADやG suite、TrustLogin、CloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSやOpenAM、Keycloakなどと連携が出来ます。
SP/リバースプロキシにはユーザーアカウント不要
ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。
グループアクセスコントールに対応
SP対応のリバースプロキシへのアクセスをコントロールできます
運用例
- 営業部や開発部のみにアクセス許可
- 管理職のみにアクセス許可
- 社員・会員のみにアクセス許可
リバースプロキシには、ユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。
閉域網やVPN不要
社内Webへのアクセスに際して、モバイル用の閉域網やVPNなどは不要です。利用者はブラウザのみで、ストレスなくWebアクセスできます。
VPNのようなアクセス集中による遅延などもありません。
SP(サービス・プロバイダ)
SPとしては、SAML2.0に対応したSSOのID認識型リバースプロキシ機能を持つ「Powered BLUE Reverse Proxy for SSO/IDaaS」を利用します。
この製品は
- SAML2.0対応のID認識型リバースプロキシ機能
- Web/Mail/DNS/ftp(インターネットサーバー機能)
- SSLクライアント認証
- ワンタイムパスワード認証
- ひとり情シスでの運用に対応
- HA対応
のリバースプロキシ・アプライアンスです。CentOSやRedHatに対応しておりAWSなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンでの運用が出来ます。
独自認証
自社で運用出来るリバースプロキシでは、idPへのアクセス時のSAML認証の他に、リバースプロキシ上で独自に、SSLクライアント認証やワンタイムパスワード認証を設定することが可能です。社内LAN側のWebへのアクセスに際して、iDaaSの認証とは別に自社のポリシーを個別に適用したい場合などには有効です。
設定構成
以下のようなリバースプロキシ構成での設定例です
一般のWebページへのリレイ
例 User —> https://wp-sam.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/
Web Mailへのリレイ
例 User —> https://wp-sam.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/
SP側の設定は …..