ワンタイムパスワード」カテゴリーアーカイブ

社内のサイボウズやデスクネッツへワンタイムパスワード認証経由のリバースプロキシでアクセス / SSLクライアント認証やHAにも対応

リモートワーク時に社内設置のサイボウズやデスクネッツへのアクセスに際して、ワンタイムパスワード認証対応の リバースプロキシを利用して2段階認証でアクセスさせる運用時の設定例です。既存で運用のサイボウズやデスクネッツ側の変更は不要です。

サイボウズ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

デスクネッツ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

使い捨てパスワード

ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

  • ワンタイムパスワード認証
  • ID/パスワード認証
  • リバースプロキシによるリダイレクト

までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。

 

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる「無償のソフトウエアトークン」の設定例

Google Authenticator  インストール & セットアップ方法
WinAuth  インストール & セットアップ方法
Authy  インストール & セットアップ方法
IIJ SmartKey  インストール & セットアップ方法
Microsoft Authenticator   インストール&セットアップ方法

 

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

 

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例 鈴木 二郎 へワンタイムパスワード認証を有効に設定

 

QRコード(共有鍵)の表示

  • ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
  • QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
  • QRコードは、ユーザー毎に異なります

 

QRコードの登録&表示

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

 

リバースプロキシの設定画面

ワンタイムパスワード認証&リバースプロキシ

https://xxx.yyy.com/   —-> https://www.powered.blue/

*複数のリバース先を指定できます

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

 

HA / 冗長化

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

 

ロードバランサー配下での構成

  • シングルAZ + ロードバランサー

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-2.png

 

マルチAZでの構成

  • マルチAZ + GSLB or Route53
  • リージョンA 日本データセンター
  • リージョンB 米国データセンター

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-3.png

 

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

  • Webサイト構築・管理機能
  • SSLクライアント認証&ワンタイムパスワード認証に対応
  • リバースプロキシ
  • インターネットサーバー機能

までを1台で運用できる https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。

 

SSLクライアント認証でのアクセスコントロール

  • SSLクライアント認証の有効化

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

  • VMware / Hyper-V
  • AWS/EC2 (AMI対応)
  • Azure
  • FUJITSU Hybrid IT Service FJcloud-O / 富士通
  • Enterprise Cloud / NTT communications

などでも運用が可能です。

 

終わりに

ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。