SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【クラウドセキュリティブログ第8回】SWG & IDaaS連携 iboss × OneGateでSAMLを実践

ゼロトラスト
2021.10.27

はじめに

みなさん、こんにちは。今回のクラウドセキュリティブログ第8回ではSWG + IDaaS連携特別編としてお届けいたします。
iboss(SWG)とSoliton社のOneGate(IDasS)を利用したSAML連携をご紹介いたしますので、ぜひ最後までご覧ください!

構成概要

ではまずはじめに構成概要です。SAML連携を利用する場合、ibossは図のようにSPとして動作します。今回連携先のIdPがOneGateです。
通常、ibossではエージェントを端末にインストールすることでID/Pass不要で利用可能になります。ここにSAML連携を追加することで事前のID/Pass認証を必須とするためよりセキュリティを高めることが出来ます。
また今回IdPとして利用するOneGateの大きなメリットの一つが、iboss単体では現状不可能なクライアント証明書の利用が可能になるということです。
これによって、ID/Passによるユーザ認証だけでなく、クライアント証明書を利用したデバイス認証も実現出来るため連携先IDaaSとして最も最適な製品のひとつであると言えます。

saml-overview.png

iboss設定

では早速、iboss側の設定をしていきます。とは言っても設定自体は非常に簡単です。
まずはSAML設定を有効にしておきます。
※ibossについての過去ブログはこちらからご覧ください

iboss-saml.png

その他、主な設定は認証先のOneGateのドメインをバイパスリストに追加し、自動生成されているSP ACS URLをコピーしておき後ほどOneGate側で生成されるメタデータを貼り付けます。
後は、SAMLモードで動作するように設定したエージェントを端末にインストールするだけです。

iboss_saml1.png

iboss-saml2.png

OneGate設定

続いてOneGate側の設定イメージを簡単にご紹介致します。

onegate-sso1.PNG

先程コピーしたiboss側のACS URLを貼り付けメタデータを生成致します。

onegate-sso2.PNG

生成したメタデータを一部修正して、iboss側に入力後サービス連携設定を行うことで設定は完了です。
※クライアント証明書を利用する場合は別途設定が必要です(本ブログでは設定画面は割愛致します)

onegate-sso3.PNG

動作確認

以上の設定が完了したらあとは、エージェントが入っている端末でブラウザを開きます。

iboss5.pngクライアント証明書が求められますので、適切な証明書を選択すると、、、

onegate41.png

ID/Pass入力画面に推移しますので続けて入力します。

onegate41.png

以下のようにログイン成功メッセージが表示されたら完了です。あとは通常通りインターネット閲覧が可能です。

logsuc.png

ibossログ上のユーザ名もSAMLログインしたもので表示されます。

saml-log.png

まとめ

今回はibossとOneGateのSAML連携にてSWG + IDaaSをご紹介致しました。最近のトレンドでもあるゼロトラストの実装には単一のソリューションだけではなく、今回のように複数のカテゴリ製品を併せて構成することで実現につながります。
みなさんもぜひ参考にしてみてください。また今回ご紹介した、Soliton社のOneGateはこちらからより詳しい製品紹介がご覧いただけます。ぜひこちらもご覧ください、それではまた次回!

banner-in-article.PNG

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
横山 章太郎