【3】SSLクライアント認証対応のWeb
Webのアクセスに、SSLクライアント認証での運用が出来ます。 Powered BLUE 870 Private CA付属モデルを利用します。
SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。
Private-CAとSSLクライアント認証の各サーバー機能を1台で運用することが出来ます。
SSLクライアント認証 例
グループウエアへのアクセス例
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
【4】SSO・SAML認証対応のWeb
自社のWebサイトをSAML2.0に対応のSP(サービスプロバイダ)機能を持つWebサーバーで構築して、シングルサインオンで運用する構成例です。
IDaaSなどのidPと連携して一般的なWebページやWordPressで作成のWebページのサイトをSAML2.0/SSOでアクセスさせます。またSP/Webの2重化による負荷分散での運用も可能です。
ユーザーアカウント不要
SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、SAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。
こんな使い方ができます
1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置
- 社内用のWebサーバーをLAN内に設置
- idPはAzure ADのSAML認証を利用
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- idPはAzure ADのSAML認証を利用
- 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
3)利用例
- アルバイト社員の勤怠表へのアクセス
- 社員向け連絡版へのアクセス
- 代理店向けの製品資料の閲覧やダウンロード
- 会員向けの特定情報ページへのアクセス
こんなメリットがあります
- Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
- Webサーバーからのユーザーアカウント漏洩の心配は不要
- Webサーバーへのアクセスにグループでのアクセス・コントロールが可能
SP(サービス・プロバイダ)
SPとしては、SAML2.0に対応したSSOのWebサーバー機能を持つ 「Powered BLUE Web for SSO/IDaaS」を利用します。
SSO/SAML対応のWebサイトを構築するような場合には最適な製品です。
この製品は
- SAML2.0対応のWebサーバー機能
- Web/Mail/DNS/ftp(インターネットサーバー機能)
- WordPress / Let’s Encrypt に対応
- ひとり情シスでの運用に対応
のWebアプライアンスです。
CentOSやRedHat 上で動作し、AWSをはじめFujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud などの国産クラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。
またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用も可能です。
idP(アイデンティティ・プロバイダ)
idPとしてはSAML2.0に対応した G Suite、Azure ADやTrustLogin、CloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSやOpenAM、KeycloakなどのidPと連携が出来ます。
SAML2.0の設定例
各社idPとSP「Powered BLUE Web for SSO/IDaaS」SAML2.0の認証を設定する例です
- idP 「TrustLogin」での設定例
- idP 「CloudGate UNO」での設定例
- idP 「OneLogin」での設定例
- idP 「Azure AD」での設定例
- SP 「Powered BLUE Web for SSO/IDaaS」
を利用します。
idPとSPにそれぞれ、SAML認証の設定を行います。
SAML2.0でのネットワーク構成例
SAMLは仕様上、idPとSPの直接の通信を行わない構成が取れます(SP-initiated SAML)
ユーザーのブラウザを経由して、idPとSP間の通信を行います(Web ブラウザ SSO)
SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidPでの認証が可能)
SPとIdPの通信手順
1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン
LAN内に設置のWebサイト/spとidPの例
LAN側に設置のSP(サービスプロバイダ)上のWebサイトへのアクセス認証をWAN側のidPで実施
運用例-1
SP(Webサーバー)をLAN側に設置
- 社内用のWebサーバーをLAN内に設置
- 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
- Webサーバー上には、ユーザーアカウントは不要
運用例-2
SP(Webサーバー)をWAN側に設置
- Webサイトを作成
- トップページはワールドワイドに公開
- 特定のディレクトリは、社員・会員のみにアクセスを許可
- Webサーバー上には、ユーザーアカウントは不要
SP/Webの多重化
SP側のWordPressや一般のWebページを多重化して、ロードバランサでWebアクセス時の負荷分散をさせる構成にも対応しています。
各種の認証製品は …..