karakara1212
めちゃくちゃいい質問ですね。整理しながら、わかりやすく答えていきます!
まず、「ADにおけるSAML認証」ってなに?
AD(Active Directory) は、企業内で使われるID管理の仕組み。
SAML認証(Security Assertion Markup Language 認証) は、ブラウザを介して行うシングルサインオン(SSO)方式の一つ。
つまり:
本来ADは「ユーザー名とパスワード」で直接ログインさせるのが一般的(Kerberos認証とかNTLM認証とか)。
でもSAMLを使うと、ブラウザ上でIDプロバイダー(たとえばAD FSなど)がSAMLの認証応答を出して、それをもとにアプリにログインできる。
要は「ADのアカウントを使って、外部アプリにログインできる」イメージ!
→この場合、「ADそのもの」ではなく、「ADに接続されたSAML認証の仕組み(ADFSとかEntra IDとか)」を経由して認証するってことになります。
質問の構成
サーバー1台に2つのアプリがある
両方SAML認証させたい
通常の認証だと「どちらのアプリか区別がつかない」
SAML証明書を「どこに割り当てるべきか」知りたい
ということですね!
ポイント整理
- SAMLはアプリごとに「エンティティID」で区別する
アプリケーション側は「自分はこの名前(エンティティID)で認証されるべき」という設定を持ちます。
サーバー上で動いていても、アプリケーション単位で別エンティティにするのが普通。
- 証明書自体は「共通」でいいことが多い
SAML署名に使う証明書(公開鍵・秘密鍵ペア)は、IDプロバイダー(たとえばADFS)が持っています。
つまり、アプリ個別に証明書を分けることはあまりないです。
区別するのは「証明書」ではなく「エンティティID」「SAML設定」です。
- アプリケーションごとに「SAML設定」を用意するのが普通
アプリA用のSAML設定
アプリB用のSAML設定 →それぞれのSAMLリクエスト・レスポンスをきちんと分ける。
- 一般的な構成イメージ
1つのAD
1つのADFS(またはEntra ID)
2つのアプリケーション(それぞれ異なるエンティティID)
証明書は1セットで共有
それぞれのアプリにSAML設定(エンティティIDやACS URLなど)をきっちり登録
超ざっくりまとめると
さらにわかりやすく例えると
イメージで言うと、
「学校(ADFS)」が生徒(ユーザー)に対して卒業証明書(SAMLレスポンス)を発行する。
でも「美術館アプリ」と「博物館アプリ」では、求める証明書の形式が違う(エンティティIDや要求する属性が違う)。
だから、卒業証明書は同じ「学校ハンコ(証明書署名)」付きだけど、中身(宛先アプリ)が違うという感じ!
もしもっと詳しく、
SAML認証の「アーキテクチャ図」とか
ADFSの設定の実例とか
証明書の更新についての注意点とか 知りたかったら教えて!
図付きでもっと深堀りできるので!興味ある?
他拠点との**運用統一(ガバナンス)**の観点が浮上。
他拠点では、コルソスを通じてガス消火設備の起動時にもアラートが飛ぶ設定が運用されている。
一方で現拠点では:
既存のガス消火設備がコルソスで監視可能かどうかが不明。
対応不可であれば、機器の追加や構成変更が必要となる可能性がある。
【ガス消火設備アラートに関する現状と課題】
現在も以下の手段によりガス消火設備の起動時に通知は行われている:
起動時に社内アナウンスが流れる(館内放送)
ただし、休日や夜間は人がいないため無意味になる可能性がある。
別の既設の監視盤が存在し、起動時には24時間常駐している保安室に直接通知される。
保安室からは電話連絡にて我々へ通知される運用となっている。
よって、今回導入予定の監視装置は、通知経路としては二重化されることになる。
なお、この二重化された通知運用は他拠点でも採用されており、特に問題視されていない。
【現在の検討事項】
既存ガス消火設備とコルソスとの連携可否を調査中。
連携可能であれば、ガス消火設備起動時のメール通知を追加する方針。
監視項目の標準化と拠点間の運用統一を図る方向で調整中。
必要に応じて、構成を簡略化した資料形式や、関係者説明用の文書も作成可能です。フォーマットや用途に応じて仕上げますので、用途を教えていただければ対応します!
Discussion