はじめに

みなさん、こんにちは。今回のクラウドセキュリティブログ第8回ではSWG + IDaaS連携特別編としてお届けいたします。
iboss(SWG)とSoliton社のOneGate(IDasS)を利用したSAML連携をご紹介いたしますので、ぜひ最後までご覧ください！

構成概要

ではまずはじめに構成概要です。SAML連携を利用する場合、ibossは図のようにSPとして動作します。今回連携先のIdPがOneGateです。
通常、ibossではエージェントを端末にインストールすることでID/Pass不要で利用可能になります。ここにSAML連携を追加することで事前のID/Pass認証を必須とするためよりセキュリティを高めることが出来ます。
また今回IdPとして利用するOneGateの大きなメリットの一つが、iboss単体では現状不可能なクライアント証明書の利用が可能になるということです。
これによって、ID/Passによるユーザ認証だけでなく、クライアント証明書を利用したデバイス認証も実現出来るため連携先IDaaSとして最も最適な製品のひとつであると言えます。

iboss設定

では早速、iboss側の設定をしていきます。とは言っても設定自体は非常に簡単です。
まずはSAML設定を有効にしておきます。
※ibossについての過去ブログはこちらからご覧ください

その他、主な設定は認証先のOneGateのドメインをバイパスリストに追加し、自動生成されているSP ACS URLをコピーしておき後ほどOneGate側で生成されるメタデータを貼り付けます。
後は、SAMLモードで動作するように設定したエージェントを端末にインストールするだけです。

OneGate設定

続いてOneGate側の設定イメージを簡単にご紹介致します。

先程コピーしたiboss側のACS URLを貼り付けメタデータを生成致します。

生成したメタデータを一部修正して、iboss側に入力後サービス連携設定を行うことで設定は完了です。
※クライアント証明書を利用する場合は別途設定が必要です(本ブログでは設定画面は割愛致します)

動作確認

以上の設定が完了したらあとは、エージェントが入っている端末でブラウザを開きます。

クライアント証明書が求められますので、適切な証明書を選択すると、、、

ID/Pass入力画面に推移しますので続けて入力します。

以下のようにログイン成功メッセージが表示されたら完了です。あとは通常通りインターネット閲覧が可能です。

ibossログ上のユーザ名もSAMLログインしたもので表示されます。

まとめ

今回はibossとOneGateのSAML連携にてSWG + IDaaSをご紹介致しました。最近のトレンドでもあるゼロトラストの実装には単一のソリューションだけではなく、今回のように複数のカテゴリ製品を併せて構成することで実現につながります。
みなさんもぜひ参考にしてみてください。また今回ご紹介した、Soliton社のOneGateはこちらからより詳しい製品紹介がご覧いただけます。ぜひこちらもご覧ください、それではまた次回！