OneLoginを利用して自社のWebサイトをSAML2.0/シングルサインオンによる認証機能付きで構築&運用する場合の構成です。
一般的なWebページやWordPressで作成のWebページをSAML2.0/SSOで運用します。またSP/Webの2重化による負荷分散での運用も可能です。
パブリックなWebサイトはもちろん、LAN側の社内ローカルなWebサイトもIDaaSのidP 「OneLogin」を利用してシングルサインオンで運用することが出来ます。
今回はIDaaSサービスを提供の「OneLogin」をidPとして、利用する場合の構成例です。SSO対応の自社Webを任意の場所で運用が出来ます。
SAML認証
シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ idP(アイデンティティ・プロバイダ)とその情報を利用するSP(サービス・プロバイダ)で構成されます。
ゼロトラスト対応Webサーバー / SP(サービス・プロバイダ)
今回はSPとして、ゼロトラスト連携のSAML認証に対応のSSOのWebサーバー機能を持つ 「Powered BLUE Web for SSO/IDaaS」を利用します。
SPの機能としては
- ゼロトラスト対応SAML認証のWebサーバー機能
- Webサーバー/SP側にユーザーアカウントを作成することなく、SAML認証&グループアクセスのコントロールでの運用に対応
- インターネットサーバー機能(Mail/Web/DNS/ftp)
- WordPress / Let’s Encrypt / php 7.x 対応
- ひとり情シス対応
のオールインワンで運用出来るアプライアンスサーバーです。
CentOSやRedHat 上で動作し、AWS/Azure/Fujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud などのクラウド環境や、VMware/Hyper-Vなどの仮想環境で運用することが出来ます。
またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用も可能です。
ユーザーアカウント不要
ユーザーアカウントはidP側のみに作成します。SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、SAML認証でWebへアクセスさせることが出来ます。
Web側にはユーザーアカウントを作成することなく、部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。
idP(アイデンティティ・プロバイダ)
idPとしてはSAMLに対応の OneLogin の他に G Suite、Azure ADやTrustLogin、HENNGE ONE(旧HDE ONE)、CloudGate、Okta等のIDaaSと連携が出来ます。また自社で運用のidP (OpenAM / KeyCloak)などとの連携も可能です。
ネットワーク構成例
SAMLは仕様上、idPとSPの直接の通信を行わない構成が可能です(SP-initiated SAML)
ユーザーのブラウザを経由してidPとSP間の通信を行うので、ネットワークやセキュリティ面で制約がある場合でも運用が出来ます
SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidP/OneLoginでの認証が可能)
SPとIdPの通信手順
1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン
LAN内に設置のWebサイト/spとidPの例
LAN側に設置のWeb・SP(サービスプロバイダ)へのアクセス認証をWAN側のidPやIDaaSで行う
こんな使い方ができます
1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置
- 社内用のWebサーバーをLAN内に設置
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
3)利用例
- アルバイト社員の勤怠表のWebページ
- 社員向け連絡版のWebページ
- 代理店向けの製品資料の閲覧やダウンロードページ
- 会員向けの特定情報のWebページ
こんなメリットがあります
- Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
- Webサーバーからのユーザーアカウント漏洩の心配は不要
- WordPressを利用するとWebの作成やWebサイトのメンテも簡単
次は SAMLの設定例 …..