8.1. 導入

8.1.1. 概要

SAML と oAuth の両方を使用して、Web アプリケーション用のシングルサインオン (SSO) を提供できます。 バージョン 9.0 以降、Ericom Connectは、Ericom の HTML5 AccessNow エクスペリエンスを使用して提供される Microsoft リモートデスクトップ・サービスでホストされる Windows アプリケーションへの SAML および oAuth ベースの SSO をサポートします。SAML または oAuth ベースの SSO を使用し統合するには、以下の 3つのユース・ケースがあります:

  • SAML または oAuth ベースの ID プロバイダを使用する単一の組織。 単一の組織は、各アプリケーションを個別に認証することなく、ID プロバイダを使用して、Office 365 などのすべてのクラウドおよび Web アプリケーションにアクセスできます。 Ericom Connect を使用すると、Windows アプリケーションを追加で組み込むことができるため、統一されたアプリケーション・アクセス・エクスペリエンスがエンドユーザに提供されます。
  • Windows ベースのアプリケーションをクラウド・サービスとして提供したいと考えている独立系ソフトウェア・ベンダー(ISV)。 Ericom Connect を使用すると、ISV は Windows ベースのアプリケーションを SAML 経由でアクセス可能にできるため、顧客は追加でログインしなくてもアプリケーションを起動できます。 サードパーティ の ISV 製品には、顧客の社内ポータルから簡単にアクセスできます。 これにより、ISV は既存の資産の寿命を延ばし、Windows アプリケーションを Web ベースのアプリケーションに変換して既存のすべての機能を維持することに関連する高コストを回避することもできます。
  • クラウドベースの Web アプリケーション・サービスの一部として Windows アプリケーションを提供したいAaaS(Application as a Service)プロバイダー。 アプリケーション・サービス・プロバイダーは、Windows アプリケーションを Web アプリケーションに追加できるようになり、SAML または oAuth SSO を使用することで、Windows アプリケーションの外観と使い勝手が完全に統合されます。

Ericom の革新的なテクノロジーは、SAML または oAuth を使用して、Microsoft リモート・デスクトップ・サービス(RDS)環境でユーザを直接認証します。ドライブ・マッピング、プリンター・マッピング、ログインス・クリプトなど、すべてのネイティブ Windows セッションのプロパティがユーザ用に保持されます。 アプリケーションが RDS セッション内で起動されると、Windows オペレーティング・システムからネイティブに起動された場合と同じように機能します。

8.1.2. 前提条件

注意

SAML 設定の手順は、項目を飛ばすことなく、ステップごとに実行する必要があります。ステップを飛ばすと、SAML が機能しなくなる可能性があります。また、SAML 設定に変更を加えると、SAML 統合が機能しなくなる可能性があります。

oAuth / SAML 機能には、以下のコンポーネントが必要です:

  • ローカル Active Directory(およびドメイン・コントローラへのアクセス): サービス・アカウントの作成、仮想スマート・カード・ログオン用の証明書テンプレートの作成、および RDS セッションホストへの参加を行うため。

  • 必要なテンプレートを生成するための認証局アクセス

  • OAuth または SAML ベースの ID プロバイダー: ユーザにログインし、Ericom SSO URL をアプリケーションとして登録するため。Ericom は、次のサードパーティ・ソリューションでテストを実施しました; Microsoft Azure AD および Okta。

  • Windows 2016 および 2012R2 RDS セッション・ホスト、または Windows 10 x64: ここに Ericom RemoteAgentお よび EricomSSO サーバをインストールします。以下が必要です:

    • 2 コア
    • 4 GB RAM
    • 100 GB のハードディスク空き容量
  • Ericom Connect - ユーザ名とパスワードの認証が正常かつ完全に機能

  • ネットワーク接続とファイアウォール・ポートが構成されていることEricom 資格情報プロバイダを実行している RDS ホストには、ドメインの認証局への接続が必要です。

注意

oAuth または SAML を構成する前に、Ericom Connect の展開ががユーザ名とパスワードの認証で機能していることを確認してください。設定ミスが発生した場合に既知の作業状態にロールバックできるように、作業環境をバックアップしてください(例: スナップショットを使用)。

8.1.3. ワークフロー図

oAuth のワークフロー図

../_images/oauthguide01.jpg

SAML のワークフロー図

../_images/oauthguide02.jpg