GoogleやSalesforceなどのサービスの利用に際しては2要素認証が必須となっています。既存で運用のWebサーバーの認証機能が「ID・パスワードのみ」もしくは、認証機能が「ない」場合に、Web側を改修することなく「リバースプロキシ」を利用して新たに認証機能を「付加」して多要素認証(MFA)や指紋認証や顔認証などの生体認証に対応する方法です。iPhone やアンドロイド携帯の指紋認証や顔認証を利用して、リバースプロキシへのアクセス認証を行う運用も可能です。
◉リバースプロキシとは
既存で運用のWebサーバーの前段に「リバースプロキシ」を設置します。リバースプロキシ経由で既存のWebサイトへのアクセス構成にします。
リバースプロキシには、各種のWeb認証機能を持たせることが出来ます
- ワンタイムパスワード認証
- SSLクライアント認証
- AD / LDAP 認証
- SAML認証
- OIDC認証
- FIDO2生体認証
認証機能対応のリバースプロキシ経由で、既存のWebへアクセスさせることにより多要素認証での運用が構成できます。リバースプロキシ先としては、LAN内に設置のWebサーバーへのアクセスも設定できます。
リバースプロキシは、導入に際して
- リダイレクト先の既存Webを隠蔽
- リダイレクト先の既存Webの改修は不要
◉認証機能に対応のリバースプロキシ
各種の認証機能に対応のリバースプロキシ・アプライアンスとしては、
を利用すると、簡単に多要素認証での構成を簡単に構築できます。
WAN側に設置のWebへのアクセスに際しても、認証対応のリバースプロキシ経由で運用することが可能です。
◉リバースプロキシの設定
- 複数のリバース先を設定可能
- リバース先のポート (80 / 443 / 任意のポート番号) を指定
- ターゲットのWebまでSSL通信での運用が可能
- リバースプロキシーに Let’s Encrypt も利用可能
◉対応の認証方式
【1】 リバースプロキシ & OTP / ワンタイムパスワード認証
【2】 リバースプロキシ & Private-CA + SSLクライアント認証
【3】 リバースプロキシ & OTP / ワンタイムパスワード認証 + SSLクライアント認証
【4】 リバースプロキシ & AD / LADP 認証 ( Active Directory連携 )
【5】 リバースプロキシ & SSLクライアント認証+AD / LDAP 認証
【6】 リバースプロキシ & SAML認証 やOIDC認証( idP連携 )
【7】 リバースプロキシ & パスワードレス生体認証( FIDO2 / WebAuthn )
◉OTP / ワンタイムパスワード認証
ソフトウエアトークン
Google Authenticator / Microsoft Authenticator などの無償のソフトウエア・トークンに対応
構成
リバースプロキシへのアクセス時の手順
1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID / パスワード / ワンタイムパスワード入力
3)2要素認証の成功後 リバースプロキシ経由でターゲットのWebサイトの表示
対応のモデルは
Powered BLUE Reverse-Proxy / OTP
◉Private-CA + SSLクライアント認証
Private CA 機能/SSLクライアント証明書の発行・管理および・認証とリバースプロキシまでを1台で運用
構成
SSLクライアント認証例
クライアント証明書 〇 | クライアント証明書 ✕ |
対応のモデルは
Powered BLUE Private CA / Reverse-Proxy
◉OTP/ワンタイムパスワード認証 + SSLクライアント認証
1)Private CA機能
2)SSLクライアント証明書の発行・管理・認証
3)ワンタイムパスワード認証
4)リバースプロキシ
までを1台で運用
構成
リバースプロキシへのアクセス時の手順
対応のモデルは
Powered BLUE WebStation
◉AD / LADP 認証 ( Active Directory連携 )
Active DirectoryやLDAPと連携
リバースプロキシへのアクセス時の手順
対応のモデルは
Powered BLUE Reverse-Proxy for AD / LDAP Auth
◉SSLクライアント認証+AD / LDAP 認証
1)Private CA機能
2)SSLクライアント証明書の発行・管理・認証
3)AD認証連携
4)リバースプロキシ
までを1台で運用
構成
リバースプロキシへのアクセス時の手順
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD / LDAP 認証
4)AD / LDAPの認証後にリバース先のWebページを表示
対応のモデルは
Powered BLUE Reverse-Proxy for AD Auth
◉SAML認証やOIDC認証(idP連携)
iDaaS/idPと連携
Azure ADやiDaaSなどのidPと認証連携をして、SAML認証やOIDC認証に対応のリバースプロキシとして動作 します。
対応のidPなど
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他
リバースプロキシへのアクセス時の手順
① SAML認証対応リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にターゲットのWebサイトの表示
対応のモデルは
Powered BLUE Reverse-Proxy for SSO / IDaaS
◉パスワードレス生体認証( FIDO2 / WebAuthn )
FIDO2対応のリバースプロキシとして動作
生体認証器
生体認証としては、FIDO2 / WebAuthn に対応の指紋認証や顔認証などの「生体認証器」を利用します。
Android / iPhone / iPad では、スマートフォンに内蔵の「生体認証」機能を利用
アンドロイド携帯 | iPhone / iPad |
PCでは、USBタイプの「指紋認証器」などを利用
指紋を登録(PCの場合)
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
リバースプロキシへのアクセス時の手順(PCの場合)
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス(IDのみ入力・パスワードレス認証)
② 指紋認証(セキュリティキーへタッチ)
③ 認証後にターゲットWebへリダイレクト
リバースプロキシへのアクセス時の手順(スマートフォンの場合)
アンドロイド携帯 | iPhone / iPad |
例 生体認証を利用したパスワードレス認証
(「スマートフォン の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス(IDのみ入力・パスワードレス認証)
② 生体認証( スマートフォンの顔認証や指紋認証を利用 )
③ 認証後にターゲットWebへリダイレクト
対応のモデルは
Powered BLUE ReverseProxy for SSO / IDaaS
◉冗長構成
リバースプロキシで同期を行いHA運用にも対応
◉運用先
認証対応のリバースプロキシの運用先など
- VMwareESXi / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS
◉ターゲットWebアプリなど
リバースプロキシ先のWebアプリなど
サイボウズ
DeskNet’s
X-point
File-Blog
イントラマート
Active mail
Sharepoint
楽々Workflow
Poweregg
eValueNS
NIコラボスマート
Roundcube
WordPress
デモサーバー
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。