社内LAN側に設置のSSO/シングルサイオンに未対応のID/パスワード入力を要求するWebサーバーに、IDaaSなどの代理入力機能を使って社外からアクセスする方法です。オンプレミスの社内WebアプリへのアクセスにIDaaS/idPと連携が出来ます。
外部のIDaaSからLAN内のWebサーバへのアクセスには、SAML-SP機能を有して代理入力を中継できるリバースプロキシ/Reverse Proxyを利用します。
SMAL/SSOに対応していないアプリケーションにも、代理入力を利用することでシングルサインオンと同様にターゲットのWebアプリケーションにログインが出来ます。今回はIDaaSのidPであるOneLoginで構築します
社内Webへのアクセスに際して、VPNやモバイル端末用の閉域網は不要です。ブラウザのみでアクセスができます。
動作要件
- IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること
- リバースプロキシ側では、SAML-SP機能を有してidPからの代理入力をターゲットのWebサーバーへ中継出来ること
idPなど
フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては
- TrustLogin
- CloudGateUNO
- onelogin
- okta
などがあります。
フォームベース認証の代理入力
フォームベース認証の代理入力は、idP側に登録したID/Passwdを他システムのログインフォームに代理入力することでログインする仕組みになります。
BASIC認証の代理入力
BASIC認証の代理入力はID/PasswdをHTTPヘッダに記載しサーバーに送信することでログインする仕組みになります。
SSOや代理入力対応のリバースプロキシ
リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証やワンタイムパスワード認証をサポートしている 「Powered BLUE Reverse Proxy for SSO/IDaaS」を利用します。
アプリケーション 例
Formbase認証のWebとしては、今回 Roundcube / Webmail やオンラインストレージのowncloudへアクセスします
ターゲット Web
roundcube https:// t-own.mubit.jp/webmail
owncloud https:// t-own.mubit.jp/owncloud
ネットワーク構成
idP -->> (Reverse Proxy ) t-ca.mubit.jp/webmail -->>t-own.mubit.jp/webmail
idP -->> (Reverse Proxy ) t-ca.mubit.jp/owncloud -->>t-own.mubit.jp/owncloud
サンプルのネットワーク構成はターゲットのWebがWAN側にありますが、ターゲットのWebがLAN側にある場合でも同様です
idP
今回はフォームベース認証やBASIC認証をidP側でサポートしているoneloginを利用します
またフォームベース認証やBASIC認証の入力機構であるoneloginの拡張機能を、事前にご利用のブラウザへ組込必要があります
※oneloginの各ブラウザへの拡張機能のインストール方法は、oneloginのサイトを参照のこと
リバースプロキシの設定 …..