SP側の設定
Powered BLUE Reverse Proxy for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成
例 http://wp-sam.mubit.jp
Webサーバの有効化
Webサーバーを有効にする にチェックを入れます
仮想サイトのSSL化
SAML認証に際しては、WebサイトのSSL化が必須です。
SSLのサーバー証明書としては
- サイトのSSL自己証明
- パブリックなSSLサーバー証明書
- Let’s EncryptでのSSLサーバー証明書
に対応しています。
WebサイトのSSL自己証明の場合
SSLを有効にする にチェックを入れます
パブリックなSSLサーバー証明書の場合
必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。
- 「署名リクエストの作成」でファイルを保存
- 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします
Let’s Encryptの場合
フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします
FreeSSLを選択
インストールボタンをクリック
Let’s Encryptインストール後に 有効にする にチェックを入れます
リバースプロキシ
作成した仮想サイトにリバースプロキシを設定します
複数のリバースプロキシ先/バックエンドを指定できます
例 https://wp-sam.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/
例 https://wp-sam.mubit.jp/webmail —> https://sni-1.mubit.jp/webmail/
SAML2.0設定
SAMLのエンドポイントを指定します 例 /
idP側のxmlのメタデータをSPへインポートします
idP側のxmlのメタデータをインポートします
idP側で作成のメタデータ(xml)をアップロードします
SAML2.0の認証をかけたいdirを指定します
例 /blog
https://wp-sam.mubt.jp/blog/ にSAML認証が適用されます
グループアクセスでのコントロールが不要の場合には、SP側はここまでの設定です
https://wp-sam.mubt.jp/webmail/ にSAML認証を設定する場合にも、同様の設定を行います
attributeの指定
グループでのリバースプロキシへのアクセスコントロールを行なう場合に、attributeを追加で設定します
それぞれのパスに対して、idP側で設定の attribute-value もしくは ロール の指定が出来ます
部門毎やグループ毎などにリバースプロキシへのアクセスコントロールを行ないたい場合には、便利な機能です。
- 例 営業部・開発部・総務部はidPでリバースプロキシへのアクセスを許可する
- 例 特定の役職以上はリバースプロキシへのアクセスを許可する
attribute=”groups” value=” mbt” でのアクセスを許可の場合の設定例
samlの有効化
設定のSAMLを有効にします
idP側の設定は …..