ロードバランサー」カテゴリーアーカイブ

ユーザー認証対応のWebを構築運用 / AD認証-SAML認証-ワンタイムパスワード認証-SSLクライアント認証によるアクセス制限

各種の認証に対応のWebサイトを構築&運用する構成例です。Webアクセス時のユーザー認証としては

  • Active Directory認証
  • OTP認証
  • SSLクライアント認証
  • SAML認証 ( SSO / シングルサインオン )
  • Basic認証
  • Digest認証

などが利用できます。複数の認証を組み合わせて多要素認証での運用や冗長構成(HA)での運用にも対応しています。

 

用意および設定する機器

認証対応のWebサーバとしては、https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Web  アプライアンス」 を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/gmo-3.png

 

Webサーバーの運用先

  • 仮想環境 ( VMware / Hyper-V )

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

*仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

 

  • クラウド環境( AWS / Azure / VPS 他)

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

 

https://www.mubit.co.jp/sub/products/blue/img2/cloud-2.png

 

 

【1】AD認証のWeb構成

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-13.png

 

対応の認証方式

  • Active Directroy認証

*クライアントからリダイレクト先のWebやADまでの全経路での暗号化通信に対応

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

 

ADサーバーの構築

Windows Serever 上にADサーバーを構築&設定します

 

AD認証設定

Webサーバー側でActive Directoryの認証方式を選択します

  • LDAP認証
  • Kerberos認証

 

認証のステップ(AD認証)

1)Webへアクセス・アカウントやパスワードを入力
2)AD認証
3)ADの認証後にWebページを表示

*任意のWeb dirにAD認証を設定できます

 

 

【2】AD認証+SSLクライアント認証

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-1.png

 

対応の認証方式

  • Active Directroyとのkerberos認証
  • SSLクライアント認証

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

Webサーバー側でのSSLクライアント認証 設定

*Private-CA 機能により、SSLクライアント証明書を発行します

*Public-CAで発行の、SSLクライアント証明書での認証もできます

 

認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示

 

 

【3】ワンタイムパスワード認証のWeb構成

https://www.mubit.co.jp/sub/products/blue/img2/otp-04.png

 

対応の認証方式

  • OTP認証
  • QRコード対応
  • 「OTP+任意のパスワード」の組み合わせに対応
  •  TOTP / HOTP  対応

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

  • Google Authenticator
  • WinAuth
  • Authy
  • IIJ SmartKey

 

認証のステップ(ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示

 

 

【4】SSLクライアント認証のWeb構成

 

SSLクライアント認証の有効化

  • Webサーバー側のSSLクライアント認証を有効にします
  • *Private-CA 機能により、SSLクライアント証明書を発行します

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

SSLクライアント認証のアクセスコントロール

  • 時間帯や曜日によるアクセス制限
  • 部門によるアクセス制限

例 月曜日から金曜日 9時から18時 までの時間帯のみWebアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証のステップ(SSLクライアント認証)

1)SSLクライアント認証
2)認証後にWebを表示

 

 

【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構成

 

ワンタイムパスワードの設定

 

SSLクライアント認証の有効化

  • Webサーバー側のSSLクライアント認証を有効にします

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

  • 時間帯や曜日によるアクセスコントロール
  • 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示

 

 

【6】SAML認証のWeb構成

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-7.png

 

対応の認証方式

  • SAML認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

Webサーバー側でSAML認証の有効化

  • Webサーバー側でSAML認証を有効にします
  • Webサーバー側にユーザーアカウントは不要です

 

認証のステップ(SAML認証)

1)idPへアクセス ( シングルサインオン / 初回のみ )
2)idPの認証後にWebサイトにアクセス

 

 

【7】SAML認証+自社独自SSLクライアント認証のWeb構成

idPの認証とは別に、Webサーバー側に自社独自にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-8.png

 

対応の認証方式

  • SAML認証
  • SSLクライアント認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

Webサーバー側 SAML認証の有効化

  • Webサーバー側でSAML認証を有効にします
  • Webサーバー側にユーザーアカウントは不要です

 

SSLクライアント認証

idP側の認証とは別にWebページへのアクセス認証に、Webアクセスに際してSP上で自社独自にSSLクライアント認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)SSLクライアント認証
2)   idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にWebサイトにアクセス

 

 

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、Webサーバー側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

 

対応の認証方式

  • SAML認証
  • ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

  • idPへアカウントを作成します
  • SAML認証を有効にします

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

Webサーバー側 SAML認証の有効化

  • Webサーバー側でSAML認証を有効にします
  • Webサーバー側にユーザーアカウントは不要です

 

Webサーバー側 ワンタイムパスワード認証

idP側の認証とは別にWebページへのアクセス認証に、Webアクセスに際してSP上で自社独自にワンタイムパスワード認証を設定します

 

認証のステップ(自社独自のSSLクライアント認証+SAML認証)

1)OTP表示
2)   Webへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)

 

 

【9】冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応&自動同期のWebサーバーで処理を行い高負荷にも対応

マルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのサーバーデータ同期と負荷分散を行います。

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。