8.1. はじめに

SAML と oAuth のどちらを使用しても、Web アプリケーション向けのシングル・サインオン(SSO)を提供することができます。Ericom Connect バージョン 9.0 以降では、Ericom の HTML 5 AccessNow エクスペリエンスを使用して配信される Microsoft リモート・デスクトップ・サービスでホストされる Windows アプリケーション への SAML および oAuth ベースの SSO がサポートされています。SAML または oAuth ベースの SSO を使用した統合には、3つの異なる使用例があります:

  • SAML または oAuth ベースのアイデンティティ・プロバイダを使用する 1つの組織。組織は、アイデンティティ・プロバイダを使用し、各アプリケーションを個別に認証せず、すべてのクラウド・アプリケーションや Office 365 などの Web アプリケーションにアクセスできます。Ericom Connect を使用することで、Windows アプリケーションを既存の組み合わせに追加できるため、エンドユーザの統一されたアプリケーション・アクセス体験が実現できます。
  • クラウド・サービスとして 自社の Windows ベース・アプリケーションを提供したいISV(独立系ソフトウェアベンダー)。Ericom Connect を使用することで、ISV は顧客が追加でログインすることなくアプリケーションを起動できるよう、SAML 経由での Windows ベース・アプリケーションへのアクセスを可能できます。サードパーティの ISV 製品は、顧客の社内ポータルから便利にアクセスすることができます。これにより、ISV は既存資産の寿命を延ばし、Windows アプリケーションから Web ベース・アプリケーションへの変換および既存のすべての機能を維持するのに伴う高いコストを回避することもできます。
  • クラウドベース Web アプリケーション・サービスの一部として Windows アプリケーションを提供したい、アプリケーション・サービス・プロバイダ。アプリケーション・サービス・プロバイダは、自社の Web アプリケーションに Windows アプリケーションを追加できるようになり、SAML または oAuth を使用することで、Windows アプリケーションの外観と振る舞いが完全に統合されたものになります。

Ericom の革新的なテクノロジは、SAML または oAuth を使用して、Microsoft リモート・デスクトップ・サービス(RDS)環境に直接ユーザを認証します。ドライブ・マッピング、プリンタ・マッピング、ログイン・スクリプトなどのネイティブ Windows セッションのプロパティは、すべてユーザのために保持されます。RDS セッション内で起動されたアプリケーションは、Windows オペレーティング・システムからネイティブに起動された場合と同じように機能します。

8.1.1. 前提条件

oAuth / SAML が機能するには、次のコンポーネントが必要です:

  • ローカル Active Directory(およびドメイン・コントローラへのアクセス): サービス・アカウントの作成、仮想スマートカード・ログオン用の証明書テンプレートの作成、および RDSセッション・ホストへの参加のため。

  • 必要なテンプレートを生成するための認証局へのアクセス

  • OAuth または SAML ベースのアイデンティティ・プロバイダ: ユーザをログインし、Ericom SSO URL をアプリケーションとして登録するため。次のサードパーティ・ソリューションで Ericom をテスト済みであること: Microsoft Azure AD および Okta.

  • Windows 2016 および 2012R2 の RDS セッション・ホスト、または Windows 10 x64: これは、Ericom RemoteAgent および Ericom SSO サーバがインストールされている場所です。以下が必要です:

    • 2 コア
    • 4 GB RAM
    • 100 GB のハードディスク空き容量

  • Ericom Connect - 完全に機能し、ユーザ名とパスワードによる認証に成功している

  • ネットワークの接続性およびファイアウォール・ポートが構成済みであること。Ericom の資格情報プロバイダを実行する RDS ホストに、ドメインの認証局への接続性が必要となります。

注意

oAuth または SAML を設定する前に、展開済みの Ericom Connect がユーザ名とパスワードの認証で正常に動作することを確認してください。作業環境をバックアップ(スナップショットを作成)して、誤った設定を行った場合に容易に以前の正常な状態にロールバックできるようにしてください。

8.1.2. ワークフロー図

oAuth のワークフロー図

../_images/oauthguide01.jpg

SAML のワークフロー図

../_images/oauthguide02.jpg