次の方法で共有

チュートリアル: Microsoft Entra ID および Datawiza で安全なハイブリッド アクセスを構成する

  • [アーティクル]

このチュートリアルでは、Microsoft Entra ID と Datawiza を統合してハイブリッド アクセスを実現する方法について説明します。 Datawiza Access Proxy (DAP) は、Microsoft Entra ID を拡張して、シングル サインオン (SSO) を可能にし、オンプレミスとクラウドでホストされる Oracle E-Business Suite、Microsoft IIS、SAP などのアプリケーションを保護するためのアクセス制御を実現します。 このソリューションを使用することで企業は、Symantec SiteMinder、NetIQ、Oracle、IBM といった従来の Web アクセス マネージャー (WAM) から Microsoft Entra ID に移行でき、アプリケーションを書き換える必要はありません。 企業は、ノーコードまたはローコードのソリューションとして Datawiza を使って、新しいアプリケーションを Microsoft Entra ID に統合できます。 このアプローチによって企業はエンジニアリングにかかる時間を短縮し、コストを削減しながらゼロ トラスト戦略を遂行できます。

詳細情報: ゼロ トラスト セキュリティ

Datawiza と Microsoft Entra 認証アーキテクチャ

Datawiza 統合には、次のコンポーネントが含まれています。

  • Microsoft Entra ID - ユーザーが外部と内部のリソースにサインインしてアクセスするのを助ける、ID およびアクセス管理サービス
  • Datawiza Access Proxy (DAP) - このサービスは、HTTP ヘッダーを介して ID 情報をアプリケーションに透過的に渡します
  • Datawiza Cloud Management Console (DCMC) - 管理者が DAP の構成とアクセス制御ポリシーを管理するための UI と RESTful API

次の図は、ハイブリッド環境での Datawiza を使用した認証アーキテクチャを表しています。

オンプレミス アプリケーションへのユーザー アクセスのための認証プロセスのアーキテクチャ図。

  1. ユーザーが、オンプレミスまたはクラウドでホストされているアプリケーションへのアクセスを要求します。 DAP によって、要求がアプリケーションにプロキシされます。
  2. DAP によって、ユーザーの認証状態がチェックされます。 セッション トークンがないか、セッション トークンが無効な場合、ユーザー要求は DAP によって認証のために Microsoft Entra ID に送られます。
  3. ユーザー要求は、Microsoft Entra ID によって、Microsoft Entra テナントでの DAP の登録時に指定されたエンドポイントに送信されます。
  4. DAP によって、ポリシーと、アプリケーションに転送される HTTP ヘッダーに含まれる属性値が評価されます。 ヘッダー値を正しく設定するための情報を取得するため、DAP によって ID プロバイダーが呼び出されることがあります。 DAP によって、ヘッダー値が設定され、要求がアプリケーションに送信されます。
  5. ユーザーは認証され、アクセスを許可されます。

前提条件

開始するには、以下が必要です。

  • Azure サブスクリプション
  • Azure サブスクリプションにリンクされた Microsoft Entra テナント
  • DAP を実行するには、Dockerdocker-compose が必要です
    • アプリケーションは、仮想マシン (VM) やベアメタルなどのプラットフォームで実行できます
  • レガシ ID システムから Microsoft Entra ID に移行するオンプレミスのアプリケーションまたはクラウドでホストされるアプリケーション
    • この例では、DAP はアプリケーションと同じサーバーにデプロイされます
    • アプリケーションは localhost: 3001 で実行されます。 DAP は localhost: 9772 を通してアプリケーションにトラフィックをプロキシします
    • アプリケーションへのトラフィックは DAP に到達してから、アプリケーションにプロキシされます

Datawiza Cloud Management Console を構成する

  1. Datawiza Cloud Management Console (DCMC) にサインインします。

  2. DCMC でアプリケーションを作成し、アプリのキーの組を生成します: PROVISIONING_KEYPROVISIONING_SECRET

  3. アプリを作成し、キーの組を生成するには、Datawiza Cloud Management Console の指示に従います。

  4. Microsoft Entra ID とのワンクリック統合を使って、アプリケーションを Microsoft Entra ID に登録します。

    [Configure IdP] (IdP の構成) ダイアログの [Automatic Generator] (自動ジェネレーター) 機能のスクリーンショット。

  5. Web アプリケーションを使うには、[Tenant ID] (テナント ID)[Client ID] (クライアント ID)[Client Secret] (クライアント シークレット) の各フォーム フィールドを手動で設定します。

    詳細情報: Web アプリケーションを作成して値を取得するには、docs.datawiza.com の Microsoft Entra ID に関するドキュメントをご覧ください。

    [Automatic Generator] (自動ジェネレーター) がオフになっている [Configure IdP] (IdP の構成) ダイアログのスクリーンショット。

  6. Docker または Kubernetes を使って DAP を実行します。 サンプル ヘッダーベースのアプリケーションを作成するには、Docker イメージが必要です。

services:
   datawiza-access-broker:
   image: registry.gitlab.com/datawiza/access-broker
   container_name: datawiza-access-broker
   restart: always
   ports:
   - "9772:9772"
   environment:
   PROVISIONING_KEY: #############################################
   PROVISIONING_SECRET: ##############################################
   
   header-based-app:
   image: registry.gitlab.com/datawiza/header-based-app
   restart: always
ports:
- "3001:3001"
  1. コンテナー レジストリにサインインします。
  2. この「重要なステップ」で、DAP イメージとヘッダー ベースのアプリケーションをダウンロードします。
  3. コマンド docker-compose -f docker-compose.yml up を実行します。
  4. ヘッダー ベースのアプリケーションで Microsoft Entra ID による SSO が有効になります。
  5. ブラウザーで http://localhost:9772/ に移動します。
  6. Microsoft Entra のサインイン ページが表示されます。
  7. ヘッダーベースのアプリケーションにユーザー属性を渡す DAP は、Microsoft Entra ID からユーザー属性を取得し、ヘッダーまたは Cookie を介してアプリケーションに属性を渡します。
  8. メール アドレス、名、姓などのユーザー属性をヘッダー ベースのアプリケーションに渡す方法については、「ユーザー属性を渡す」をご覧ください。
  9. 構成されたユーザー属性を確認するには、各属性の横にある緑色のチェック マークを調べます。

ホスト、メール、名、姓の各属性を含むホーム ページのスクリーンショット。

フローをテストする

  1. アプリケーション URL に移動します。
  2. ユーザーは、DAP によって、Microsoft Entra サインイン ページにリダイレクトされます。
  3. 認証後、ユーザーは DAP にリダイレクトされます。
  4. DAP によって、ポリシーが評価され、ヘッダーが計算されて、アプリケーションに送信されます。
  5. 要求されたアプリケーションが表示されます。

次のステップ