自社WebやWordPressをSAML/SSO認証で構築(TrustLogin編)

自社のWebをSAML/シングルサインオンによる認証機能付きで構築&運用する場合の構成です。WAN側の公開用のWebサイトはもちろん、LAN側に設置の社内ローカルなWebサイトもidP/IDaaSの「TrustLogin」を利用してSAML2.0認証で運用するすることが出来ます。

一般的な Webページ や WordPress で作成のWebサイトをSAML2.0/SSOの認証で運用します。

 

SAML認証

シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ idP(アイデンティティ・プロバイダ)とその情報を利用するSP(サービス・プロバイダ)で構成されます。

 

ユーザーアカウント不要

SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、ゼロトラスト対応のSAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。

 

SAML認証対応のWebサイト

自社Webをシングル・サインオンで運用できます

 

SP(サービス・プロバイダ)

今回はSPとして、ゼロトラスト&SAML認証に対応のSSOのWebサーバー機能を持つ Powered BLUE Web for SSO/IDaaS」を利用します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/pb-vm-2.png

機能としては

  • ゼロトラスト対応&SAML認証のWebサーバー機能
  • Webサーバー/SP側にユーザーアカウントを作成することなく、SAML認証&グループアクセスのコントロールでの運用に対応
  • インターネットサーバー機能(Mail/Web/DNS/ftp)
  • WordPress /  Let’s Encrypt 対応 / php 7.x 対応
  • ひとり情シス対応

のオールインワンで運用出来るサーバーです。CentOSやRedHat 上で動作し、AWS/Azure/Fujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud 、ALTUS (アルタス) / GMOクラウドなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境で運用することが出来ます。またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用にも対応しています。

 

idP(アイデンティティ・プロバイダ)

idPとしてはSAMLに対応の TrustLoginのほか、G Suite、Azure ADや、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSと連携が出来ます。また自社で運用のidP (OpenAM / KeyCloak)などとの連携も出来ます。

 

SAML2.0でのネットワーク構成例

SAMLは仕様上、idPとSPの直接の通信を行わない構成が可能です(SP-initiated SAML)

ユーザーのブラウザを経由してidPとSP間の通信を行うので、ネットワークやセキュリティ面で制約がある場合でも運用が出来ます

SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidPでの認証が可能)

SPとIdPの通信手順

1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン

 

LAN内に設置のWebサイト/spとidPの例

LAN側に設置のWeb・SP(サービスプロバイダ)へのアクセス認証をWAN側のidPやIDaaSで行う

https://www.mubit.co.jp/sub/products/blue/img2/saml-4.png

 

こんな使い方が出来ます

1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置

  • 社内用のWebサーバーをLAN内に設置
  • 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
  • Webサーバー上には、ユーザーアカウントは不要

 

2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置

  • Webサイトを作成
  • トップページはワールドワイドに公開
  • 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
  • Webサーバー上には、ユーザーアカウントは不要

 

3)利用例

  • アルバイト社員の勤怠表Webページ
  • 社員向け連絡版のWebページ
  • 代理店向けの製品資料の閲覧やダウンロードページ
  • 会員向けの特定情報Webページ

 

こんなメリットがあります

  • Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
  • Webサーバーからのユーザーアカウント漏洩の心配は不要
  • 自社のWebサイトをSAML認証でセキュアに運用

 

次は SAML2.0の設定 …..

続きを読む

 

ページ: 1 2 3 4