自社のWebをSAML/シングルサインオンによる認証機能付きで構築&運用する場合の構成です。WAN側の公開用のWebサイトはもちろん、LAN側に設置の社内ローカルなWebサイトもidP/IDaaSの「TrustLogin」を利用してSAML2.0認証で運用するすることが出来ます。
一般的な Webページ や WordPress で作成のWebサイトをSAML2.0/SSOの認証で運用します。
SAML認証
シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ idP(アイデンティティ・プロバイダ)とその情報を利用するSP(サービス・プロバイダ)で構成されます。
ユーザーアカウント不要
SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、ゼロトラスト対応のSAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。
SAML認証対応のWebサイト
自社Webをシングル・サインオンで運用できます
SP(サービス・プロバイダ)
今回はSPとして、ゼロトラスト&SAML認証に対応のSSOのWebサーバー機能を持つ 「Powered BLUE Web for SSO/IDaaS」を利用します。
機能としては
- ゼロトラスト対応&SAML認証のWebサーバー機能
- Webサーバー/SP側にユーザーアカウントを作成することなく、SAML認証&グループアクセスのコントロールでの運用に対応
- インターネットサーバー機能(Mail/Web/DNS/ftp)
- WordPress / Let’s Encrypt 対応 / php 7.x 対応
- ひとり情シス対応
のオールインワンで運用出来るサーバーです。CentOSやRedHat 上で動作し、AWS/Azure/Fujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud 、ALTUS (アルタス) / GMOクラウドなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境で運用することが出来ます。またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用にも対応しています。
idP(アイデンティティ・プロバイダ)
idPとしてはSAMLに対応の TrustLoginのほか、G Suite、Azure ADや、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSと連携が出来ます。また自社で運用のidP (OpenAM / KeyCloak)などとの連携も出来ます。
SAML2.0でのネットワーク構成例
SAMLは仕様上、idPとSPの直接の通信を行わない構成が可能です(SP-initiated SAML)
ユーザーのブラウザを経由してidPとSP間の通信を行うので、ネットワークやセキュリティ面で制約がある場合でも運用が出来ます
SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidPでの認証が可能)
SPとIdPの通信手順
1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン
LAN内に設置のWebサイト/spとidPの例
LAN側に設置のWeb・SP(サービスプロバイダ)へのアクセス認証をWAN側のidPやIDaaSで行う
こんな使い方が出来ます
1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置
- 社内用のWebサーバーをLAN内に設置
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
3)利用例
- アルバイト社員の勤怠表Webページ
- 社員向け連絡版のWebページ
- 代理店向けの製品資料の閲覧やダウンロードページ
- 会員向けの特定情報Webページ
こんなメリットがあります
- Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
- Webサーバーからのユーザーアカウント漏洩の心配は不要
- 自社のWebサイトをSAML認証でセキュアに運用
次は SAML2.0の設定 …..