LDAP認証」カテゴリーアーカイブ

既存Webの修正不要 / Webサイトへの生体認証や多要素認証の導入方法

GoogleやSalesforceなどのサービスの利用に際しては2要素認証が必須となっています。既存で運用のWebサーバーの認証機能が「ID・パスワードのみ」もしくは、認証機能が「ない」場合に、Web側を改修することなく「リバースプロキシ」を利用して新たに認証機能を「付加」して多要素認証(MFA)や指紋認証や顔認証などの生体認証に対応する方法です。iPhone やアンドロイド携帯の指紋認証や顔認証を利用して、リバースプロキシへのアクセス認証を行う運用も可能です。

 

リバースプロキシとは

既存で運用のWebサーバーの前段に「リバースプロキシ」を設置します。リバースプロキシ経由で既存のWebサイトへのアクセス構成にします。

リバースプロキシには、各種のWeb認証機能を持たせることが出来ます

  • ワンタイムパスワード認証
  • SSLクライアント認証
  • AD / LDAP 認証
  • SAML認証
  • FIDO2生体認証

認証機能対応のリバースプロキシ経由で、既存のWebへアクセスさせることにより多要素認証での運用が構成できます。リバースプロキシ先としては、LAN内に設置のWebサーバーへのアクセスも設定できます。

リバースプロキシは、導入に際して

  • リダイレクト先の既存Webを隠蔽
  • リダイレクト先の既存Webの改修は不要

 

 

認証機能に対応のリバースプロキシ

各種の認証機能に対応のリバースプロキシ・アプライアンスとしては、

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Reverse-Proxy

を利用すると、簡単に多要素認証での構成を簡単に構築できます。

 

WAN側に設置のWebへのアクセスに際しても、認証対応のリバースプロキシ経由で運用することが可能です。

 

リバースプロキシの設定

  • 複数のリバース先を設定可能
  • リバース先のポート (80 / 443 / 任意のポート番号) を指定
  • ターゲットのWebまでSSL通信での運用が可能
  • リバースプロキシーに Let’s Encrypt も利用可能

 

対応の認証方式

【1】 リバースプロキシ & OTP / ワンタイムパスワード認証
【2】 リバースプロキシ & Private-CA + SSLクライアント認証
【3】 リバースプロキシ & OTP / ワンタイムパスワード認証 + SSLクライアント認証
【4】 リバースプロキシ & AD / LADP 認証 ( Active Directory連携 )
【5】 リバースプロキシ & SSLクライアント認証+AD / LDAP 認証
【6】 リバースプロキシ & SAML認証 ( idP連携 )
【7】 リバースプロキシ & パスワードレス生体認証( FIDO2 / WebAuthn )

 

 

OTP / ワンタイムパスワード認証

ソフトウエアトークン

Google Authenticator / Microsoft Authenticator などの無償のソフトウエア・トークンに対応

構成

 

リバースプロキシへのアクセス時の手順

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID / パスワード / ワンタイムパスワード入力
3)2要素認証の成功後 リバースプロキシ経由でターゲットのWebサイトの表示

 

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Reverse-Proxy / OTP

 

 

Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とリバースプロキシまでを1台で運用

 

構成

 

SSLクライアント認証例

クライアント証明書 〇 クライアント証明書 ✕

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Private CA / Reverse-Proxy

 

 

OTP/ワンタイムパスワード認証 + SSLクライアント認証

1)Private CA機能
2)SSLクライアント証明書の発行・管理・認証
3)ワンタイムパスワード認証
4)リバースプロキシ

までを1台で運用

 

構成

 

リバースプロキシへのアクセス時の手順

 

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE WebStation

 

 

 

AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

リバースプロキシへのアクセス時の手順

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Reverse-Proxy for AD / LDAP Auth

 

 

SSLクライアント認証+AD / LDAP 認証

1)Private CA機能
2)SSLクライアント証明書の発行・管理・認証
3)AD認証連携
4)リバースプロキシ

までを1台で運用

 

構成

リバースプロキシへのアクセス時の手順

1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD / LDAP 認証
4)AD / LDAPの認証後にリバース先のWebページを表示

 

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Reverse-Proxy for AD Auth

 

 

 

SAML認証(idP連携)

iDaaS/idPと連携

Azure ADやiDaaS、idPと認証連携をして、SAML認証に対応のリバースプロキシ(SP)として動作 します。

 

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

 

リバースプロキシへのアクセス時の手順

①   SAML認証対応リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にターゲットのWebサイトの表示

 

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Reverse-Proxy for SSO / IDaaS

 

 

パスワードレス生体認証( FIDO2 / WebAuthn )

 

FIDO2対応のリバースプロキシとして動作

 

生体認証器

生体認証としては、FIDO2 / WebAuthn に対応の指紋認証や顔認証などの「生体認証器」を利用します。

 

Android / iPhone / iPad では、スマートフォンに内蔵の「生体認証」機能を利用

アンドロイド携帯 iPhone / iPad

 

 

PCでは、USBタイプの「指紋認証器」などを利用

 

指紋を登録(PCの場合)

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

リバースプロキシへのアクセス時の手順(PCの場合)

例 生体認証を利用したパスワードレス認証

(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス(IDのみ入力・パスワードレス認証)
② 指紋認証(セキュリティキーへタッチ
③ 認証後にターゲットWebへリダイレクト

 

 

リバースプロキシへのアクセス時の手順(スマートフォンの場合)

アンドロイド携帯 iPhone / iPad

 

例 生体認証を利用したパスワードレス認証
(「スマートフォン の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス(IDのみ入力・パスワードレス認証)
② 生体認証( スマートフォンの顔認証や指紋認証を利用
③ 認証後にターゲットWebへリダイレクト

 

 

対応のモデルは
https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Reverse-Proxy for Biometrics

 

 

 

冗長構成

リバースプロキシで同期を行いHA運用にも対応

 

 

 

運用先

認証対応のリバースプロキシの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

 

 

ターゲットWebアプリなど

リバースプロキシ先のWebアプリなど

サイボウズ

 

DeskNet’s

 

X-point

File-Blog

イントラマート

Active mail

Sharepoint

楽々Workflow

Poweregg

eValueNS

NIコラボスマート

Roundcube

WordPress

 

デモサーバー

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサーバー

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。