IDaaS/idPの代理入力を利用してリバースプロキシ経由で社内Webへ自動ログイン(onelogin編)

社内LAN側に設置のSSO/シングルサイオンに未対応のID/パスワード入力を要求するWebサーバーに、IDaaSなどの代理入力機能を使って社外からアクセスする方法です。オンプレミスの社内WebアプリへのアクセスにIDaaS/idPと連携が出来ます。

外部のIDaaSからLAN内のWebサーバへのアクセスには、SAML-SP機能を有して代理入力を中継できるリバースプロキシ/Reverse Proxyを利用します。

SMAL/SSOに対応していないアプリケーションにも、代理入力を利用することでシングルサインオンと同様にターゲットのWebアプリケーションにログインが出来ます。今回はIDaaSのidPであるOneLoginで構築します

社内Webへのアクセスに際して、VPNやモバイル端末用の閉域網は不要です。ブラウザのみでアクセスができます。

 

動作要件

  • IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること
  • リバースプロキシ側では、SAML-SP機能を有してidPからの代理入力をターゲットのWebサーバーへ中継出来ること

https://www.mubit.co.jp/sub/products/blue/img2/login-3.png

 

idPなど

フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては

  • TrustLogin
  • CloudGateUNO
  • onelogin
  • okta

などがあります。

 

フォームベース認証の代理入力

フォームベース認証の代理入力は、idP側に登録したID/Passwdを他システムのログインフォームに代理入力することでログインする仕組みになります。

 

BASIC認証の代理入力

BASIC認証の代理入力はID/PasswdをHTTPヘッダに記載しサーバーに送信することでログインする仕組みになります。

 

SSOや代理入力対応のリバースプロキシ

リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証やワンタイムパスワード認証をサポートしている Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

アプリケーション 例

Formbase認証のWebとしては、今回 Roundcube / Webmail やオンラインストレージのowncloudへアクセスします

 

ターゲット Web

roundcube      https:// t-own.mubit.jp/webmail

owncloud       https:// t-own.mubit.jp/owncloud

 

ネットワーク構成

idP -->> (Reverse Proxy ) t-ca.mubit.jp/webmail -->>t-own.mubit.jp/webmail

idP -->> (Reverse Proxy ) t-ca.mubit.jp/owncloud -->>t-own.mubit.jp/owncloud

サンプルのネットワーク構成はターゲットのWebがWAN側にありますが、ターゲットのWebがLAN側にある場合でも同様です

 

idP 

今回はフォームベース認証やBASIC認証をidP側でサポートしているoneloginを利用します

またフォームベース認証やBASIC認証の入力機構であるoneloginの拡張機能を、事前にご利用のブラウザへ組込必要があります

 

※oneloginの各ブラウザへの拡張機能のインストール方法は、oneloginのサイトを参照のこと

リバースプロキシの設定 …..

続きを読む

 

ページ: 1 2 3 4