こんにちは。Dsasです。

だいぶ間が空いてしまいましたが、今回からはDuoをSAML（Security Assertion Markup Language）の仕組みで利用する方法をご紹介していきたいと思います。

まず初回は概要の部分について、今回はSAMLって何？というところからご紹介します。

ざっくり言うと、SAMLはRADIUSなどと同様にユーザの認証情報をやり取りするための仕組みです。現在はバージョン2.0が主流となっており、クラウドサービスへのログインなどでよく利用されています。

 

SAMLの主な登場人物としては、「ユーザ」/「SAML SP（サービスプロバイダ）」/「SAML IdP（アイデンティティプロバイダ）」の3つです。

　ざっくりのイメージとしては下図のような感じです。Duoはこのうちの主にIdPとして利用するクラウドサービスです。

 

　SAMLを使うメリットとして代表的なのがシングルサインオン（SSO）です。要するに一度サインオンすると、複数のサービスにまとめてアクセスできるようになる仕組みのことですね。

 

　最近では複数のクラウドサービスをご利用になるお客様がほとんどかと思いますので、個別にID/パスワードを管理する必要がなくなりますし、何度もログインする必要がないので利便性が向上する、という点はメリットとしてわかりやすいかと思います。

 

　続いて、SAML IdPとしてDuoを利用する場合のイメージは下図のようになります。

Duo CloudがSAML IdPとして、SAMLに対応したサービス（SAML SP）からの認証を処理するイメージですね。Duoを利用することでSAMLの認証時にMFAを組み合わせることができるので、利便性と同時にセキュリティも高めることが可能になります。

SSOは利便性を向上させる仕組みですが、その分不正アクセスを許してしまうと被害がとても大きくなってしまいますので、MFAとの組み合わせはほぼ必須といえるでしょう。

 

1点注意が必要な点として、このDuo Cloud上にはユーザデータベースを持たせることができませんので、別途ユーザデータベースをご用意頂く必要があります。

利用できるユーザデータベースとしては、Active Directoryと他のSAML IdPです。ほかのIdPを使用する場合、DuoはSPでありIdPなので、SAML IdPを数珠繋ぎみたいにする形ですね。

上の図では、Duo Authentication Proxy（DAP）をユーザ様のローカルに建ててActive Directoryの情報をDuo Cloudと同期させる形をとっています。（DAPはWindowsサーバやLinuxで動作可能なサービスです。）

この場合、DAP自身がHTTPSでDuoCloudにアクセスする形ですので、ファイアウォールに穴をあけたり、DAPを外部に公開したりする必要はありません。

 

　以上がDuoをSAMLで利用するイメージになりますが、何となく想像できましたでしょうか。次回は実際にDuo CloudをSAML IdPとして使用するための設定方法についてご紹介していきたいと思います。

 

ここまでお読みいただきありがとうございました。