自社Webサイトをゼロトラスト対応SAML認証/SSOで運用(OneLogin 編 )

OneLoginを利用して自社のWebサイトをSAML2.0/シングルサインオンによる認証機能付きで構築&運用する場合の構成です。

一般的なWebページやWordPressで作成のWebページをSAML2.0/SSOで運用します。またSP/Webの2重化による負荷分散での運用も可能です。

パブリックなWebサイトはもちろん、LAN側の社内ローカルなWebサイトもIDaaSのidP 「OneLogin」を利用してシングルサインオンで運用することが出来ます。

今回はIDaaSサービスを提供の「OneLogin」をidPとして、利用する場合の構成例です。SSO対応の自社Webを任意の場所で運用が出来ます。

 

SAML認証

シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ idP(アイデンティティ・プロバイダ)とその情報を利用するSP(サービス・プロバイダ)で構成されます。

 

ゼロトラスト対応Webサーバー / SP(サービス・プロバイダ)

今回はSPとして、ゼロトラスト連携のSAML認証に対応のSSOのWebサーバー機能を持つ Powered BLUE Web for SSO/IDaaS」を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

 

SPの機能としては

  • ゼロトラスト対応SAML認証のWebサーバー機能
  • Webサーバー/SP側にユーザーアカウントを作成することなく、SAML認証&グループアクセスのコントロールでの運用に対応
  • インターネットサーバー機能(Mail/Web/DNS/ftp)
  • WordPress /  Let’s Encrypt / php 7.x 対応
  • ひとり情シス対応

のオールインワンで運用出来るアプライアンスサーバーです。

CentOSやRedHat 上で動作し、AWS/Azure/Fujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud などのクラウド環境や、VMware/Hyper-Vなどの仮想環境で運用することが出来ます。

またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用も可能です。

 

ユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、SAML認証でWebへアクセスさせることが出来ます。

Web側にはユーザーアカウントを作成することなく、部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。

 

idP(アイデンティティ・プロバイダ)

idPとしてはSAMLに対応の OneLogin の他に G Suite、Azure ADやTrustLogin、HENNGE ONE(旧HDE ONE)、CloudGate、Okta等のIDaaSと連携が出来ます。また自社で運用のidP (OpenAM / KeyCloak)などとの連携も可能です。

 

ネットワーク構成例

SAMLは仕様上、idPとSPの直接の通信を行わない構成が可能です(SP-initiated SAML)

ユーザーのブラウザを経由してidPとSP間の通信を行うので、ネットワークやセキュリティ面で制約がある場合でも運用が出来ます

SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidP/OneLoginでの認証が可能)

SPとIdPの通信手順

1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン

 

LAN内に設置のWebサイト/spとidPの例

LAN側に設置のWeb・SP(サービスプロバイダ)へのアクセス認証をWAN側のidPやIDaaSで行う

https://www.mubit.co.jp/sub/products/blue/img2/saml-4.png

 

こんな使い方ができます

1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置

  • 社内用のWebサーバーをLAN内に設置
  • 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
  • Webサーバー上には、ユーザーアカウントは不要

 

2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置

  • Webサイトを作成
  • トップページはワールドワイドに公開
  • 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
  • Webサーバー上には、ユーザーアカウントは不要

 

3)利用例

  • アルバイト社員の勤怠表のWebページ
  • 社員向け連絡版のWebページ
  • 代理店向けの製品資料の閲覧やダウンロードページ
  • 会員向けの特定情報のWebページ

 

こんなメリットがあります

  • Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
  • Webサーバーからのユーザーアカウント漏洩の心配は不要
  • WordPressを利用するとWebの作成やWebサイトのメンテも簡単

次は SAMLの設定例 …..

続きを読む

 

ページ: 1 2 3 4