SAML / OIDC 認証機能の
SSOリバースプロキシ

社内WebやレガシーWebをSSO化

共有アカウントや特権アカウントのSSO化

 





 SAMLやOIDC認証に未対応のWebへシングルサインオン

「Powered BLUE ReverseProxy for SSO / IDaaS 」は、Azure ADやKeycloakなどのidP/ iDaaSと認証連携できるSSO リバースプロキシです。

現在運用中のSAMLやOIDC認証に未対応のWebシステムを改修することなく、idPと連携でシングルサインオン運用することが出来ます。

SSO・リバースプロキシ

「idP」と連携して、「ID認識型リバースプロキシ」( IAP: Identity Aware Proxy ) として動作します。

 SAML認証やOIDC認証機能のリバースプロキシ
 「idP」とSAMLやOIDC認証で連携
 SAMLやOIDC認証に未対応のWebシステムをSSOメンバーとして構成





リバースプロキシの特徴


 リダイレクト先のWebのOSに依存せずに導入が出来る
 ブラウザのみで利用が出来る
 リダイレクト先のWebを隠蔽できる (セキュリティ上のメリット)





SSOリバースプロキシ・アプライアンスの主な機能

 SAML / OIDC認証機能 のリバースプロキシ
 リダイレクト先のWebへのユーザー情報の代理入力
 リダイレクト先のWebへのHTTPヘッダ方式でのユーザー情報の転送
 GUIからの操作設定
 インターネットサーバー機能

などを自社管理でオールインワン(1台)のアプライアンスで運用に対応。



対応のidP

     
 


 Microsoft Entra ID / G Suite / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGEONE / Keycloak / OpenAM 他
 idPとリバースプロキシは、SAML認証やOIDC認証で連携



 Keycloak アプライアンスの 「Powered BLUE for idP」 とも連携できます





SAMLやOIDC認証に未対応のWebへシングルサインオン

 idP側と SAML・OIDC認証でリバースプロキシ連携
 リバースプロキシからバックエンドのWeb側へ 「ID / パスワード」を代理入力
 バックエンドのWebは改修不要
 バックエンドのWebは WANやLAN の任意の場所への設置に対応




代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

 ユーザー操作でのWebへの「ID / パスワード」の入力不要
 SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

 
 SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応



SSOでの機器構成

 idP
 SAML / OIDC認証機能のSSO リバースプロキシ( ユーザー情報の代理入力機能 )
 既存Web ( Webの改修不要 / エージェント不要 / WebのOS 不問 )
 ブラウザ(プラグイン不要)

 




代理認証でのSSO

SAML / OIDC認証機能のリバースプロキシへアクセス
初回のみ idP へアクセス
idPの認証後にリバースプロキシからバックエンドのWebへ ユーザー情報を「代理入力」
バックエンドのWebへ自動ログイン
         




                 


各種Web アプリへのSSO

  
 一度のidPの認証で、複数のWebアプリへのシングルサインオンでアクセス







SSLクライアント認証の併用 / 多要素認証



 SSLクライアント認証でidPやリバースプロキシへの認証を強化




クライアント証明書 〇   クライアント証明書 ✕




共有アカウントや特権アカウントのSSO化への対応

企業などでは、複数のユーザーから共有IDや特権IDでWebを利用するケースがあります。

例えば、取引先の会社で提供するサービスのアカウントを総務部で共有する場合、SSOを利用することでユーザーの負担を軽減し、セキュリティを強化することができます。
 




SSOに未対応のWebの場合には、SAML/OIDC認証対応のID認識型リバースプロキシから、既存のWebサービスへ共有アカウントや特権アカウントの「ID / パスワード」を代理入力&代理認証を行いSSOを行います。


 アカウントはN:1や N:Mでの紐付け
 ユーザーからのWebアプリへの「ID / パスワード」の入力不要
 ユーザーへのWebアプリの「ID / パスワード」の公開不要
 「ID / パスワード認証」のWebアプリをSSOのメンバーとして構成
 Webアプリの改修は不要 (サードパーティのWebアプリにも対応)







生体認証(パスワードレス認証)

 

FIDO2対応の生体認証を利用して 「パスワードレス」認証で、既存のWebへ「シングルサインオン」を行います

 スマートフォン 顔認証や指紋認証など
 PC 指紋認証など
         




PC端末 ユーザー認証に「指紋情報」を利用の場合


 利用者はFIDO2対応のUSBタイプのセキュリティキー「指紋認証器」をPCへ接続

         


 利用者の指紋をセキュリティキー「指紋認証器」へ登録

     


 * Windows10/11はOSの標準機能を利用しての「指紋登録」が出来ます




 スマートフォン / Touch IDやFace ID認証時のWebアクセス手順

例 生体認証を利用したパスワードレス認証
(「iPad / iPhone の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② idPでの認証 (生体認証 )
③ idPの認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン


 




 PC端末での指紋認証時のWebアクセス手順

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス
② idPでの認証 (生体認証 )
③ idPの認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン

 
                 


リバースプロキシ設定

 リバース先のポート ( http / https / 任意のポート番号 ) を指定に対応
 リダイレクト先のWebまでSSL通信での運用に対応 (全経路でのSSL通信)
 リバースプロキシーに Let's Encrypt の利用に対応




リバースプロキシパラメータ設定
 パス調整 (ヘッダー置換 / URL置換 / 文字列置換 / 画像パス置換)
 クッキー調整 (クッキーのドメイン置換)
 バックエンドの接続調整 (接続再利用の有効 / 無効 )
 セッション維持 / タイムアウト時間設定
 HA構成時 / パラメータ同期 / SSLクラアント証明書同期






 サーバー管理者の負担軽減

 サーバーの自己監視やサービスの再起動機能
 パッチの自動アップデート機能
 管理者への通知機能




アプライアンス構成

 OS RedHat 8.x / RockyLinux 8.x 対応
 SAML / OIDC対応リバースプロキシ
 GUIでのサーバー設定
 オールインワンでの運用



       


アプライアンスの運用先


 対応の仮想環境
  VMware / Hyper-Vなどの仮想環境に対応

     



 対応のクラウド環境
  AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / IndigoPro (NTTPC) / VPSなど

         



 オンプレミス
 
         


デモ


サーバーの操作や動作の確認が出来ます。