LDAP認証」カテゴリーアーカイブ

認証対応のWebサーバーをAWS-EC2で運用する / 多要素認証やSSO、冗長運用

Webサーバーへアクセス時の、各種のWeb認証に対応のサーバーをAWS/EC2で運用する構成例です。テレワークなどで社外から自社のWebサイトへアクセスする際にも、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアにWebアクセスが出来ます。また多要素認証でのWebアクセスやマルチAZの冗長構成での運用にも対応しています。

 

冗長化

 

 

 

認証対応のWebアプライアンス

AWS / EC2上では、各種のWeb認証に対応のWebアプライアンスとして、https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Webアプライアンス」 を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

Web アプライアンスの機能として

  • マルチサイト / マルチドメイン対応Webサーバー機能
  • Private-CA / SSLクラアント認証
  • ワンタイムパスワード認証
  • Active DIrectory認証
  • idP連携SAML認証
  • DNS / Mail サーバー機能
  • パッチの自動適用機能
  • サーバーのモニタリング機能(ひとり情シス対応)

等を有しており、GUIからすべての設定や運用ができます。

 

フリープラグイン

  • WordPress
  • php 7.x
  • Let’s Encrypt
  • Web Mail ( RoundCube )

などのアプリもフリープラグインとして簡単に導入および利用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/wordpress-logo-stacked-rgb.png

 

運用先

Powered BLUE Webアプライアンス」は、AWSのAMIに対応。すぐに運用が可能です

  • クラウド環境( AWS / Azure / 他)

 

対応のWeb認証方式

【1】Web & OTP/ワンタイムパスワード認証
【2】Web & SSLクライアント認証
【3】Web & ワンタイムパスワード認証 + SSLクライアント認証
【4】Web & AD認証 ( Active Directory連携 )
【5】Web & AD認証 +  SSLクライアント認証
【6】Web & SAML認証( ゼロトラスト対応 )
【7】Web & SAML認証+ SSLクライアント認証

 

運用構成 例

  • Webトップページは、ワールドワイドに公開
  • 特定のディレクトリにWeb認証を設定
  • デイレクトリごとに異なるWeb認証設定や複数のWeb認証設定
  • 複数の仮想サイトに異なるWeb認証を設定(マルチドメイン・マルチサイト)

 

 

 

【1】 OTP/ワンタイムパスワード 認証対応 Web

ワンタイムパスワードのアカウント管理とワンタイムパスワード認証、Webを1台で運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

 

ワンタイムパスワード認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/otp-04.png

 

アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示

 

 

【2】 SSLクライアント 認証対応 Web

Private CA 機能/SSLクライアント証明書の発行・管理および・Webサイトの構築・SSLクライアント認証を1台で運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

Private-CA / SSLクライアント証明書発行 / SSLクライアント認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/ca/img2/ca-ssl-allinone3.png

 

SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webへのアクセスコントロールが設定出来ます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

 

認証のステップ(SSLクライアント認証)

1)Webにアクセス
2)SSLクライアント認証
3)認証後にWebを表示

 

SSLクライアント証明書が無効の場合

https://www.powered.blue/sub/products/img2/ssl-web-4.png

 

 

【3 SSLクライアント 認証+ワンタイムパスワード認証対応 Web

SSLクライアント認証とワンタイムパスワード認証(多要素認証のWebサイト)を運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

Private-CA / SSLクライアント認証+ワンタイムパスワード認証対応のWebサイト運用例

 

認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示

 

 

【4 AD認証対応 Web

ADサーバーとAD認証連携での運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

 

AD認証設定

 

AD認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-13.png

 

認証のステップ(AD認証)

1)Webサイトへアクセス
2)AD認証後にWebサイトの表示

https://www.mubit.co.jp/sub/products/blue/img2/ad-login-1.png

 

 

【5 SSLクライアント認証+AD認証対応 Web

SSLクライアント認証とAD認証の併用での運用(多要素認証)

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

AD認証設定

SSLクライアント認証 設定

 

SSLクライアント認証+AD認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-1.png

 

認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示

 

 

 

SAML認証対応 Web

idPと連携してSAML認証のWebサイトの運用(ID認識型Webサーバーとして動作)

  • SSO(シングルサインオン)対応
  • ゼロトラスト対応のWebサイトの構築・運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

対応のidP

SAML認証に対応のidP / iDaaS と連携できます
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

 

ID認識型Webサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-22.png

 

 idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

  • Webサイトの認証を設定したいディレクトリのSAML認証を有効

 

認証のステップ

①   ID認識型Webサイトへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示

 

 

 

【7 SSLクライアント認証+SAML認証対応 Web

idPの認証とは別に、自社Webへのアクセスに自社のCA/SSLクライアント認証を併用で運用

  • SSLクライアント認証(自社独自の認証)
  • SSO(シングルサインオン)対応
  • ゼロトラスト対応のWebサイトの構築・運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1.png

 

ID認識型Webサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-8.png

 

 idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

  • Webサイトの認証を設定したいディレクトリのSAML認証を有効

 

SSLクライアント認証

idP側の認証とは別にWebページへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定

認証のステップ

①   ID認識型Webサイトへアクセス(SSLクライアント認証)
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示

 

 

【8】HA構成

ロードバランサーでの負荷分散やGSLBやRoute53などを利用してのマルチAZでの運用に対応
認証対応Webサーバーの同期を行います(Active-Activeでの運用に対応)

 

ロードバランサー配下での運用構成
複数の認証機能対応のWebサーバーで処理を行い高負荷にも対応

 

マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により、回線やデータセンターの耐障害性の向上

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
・GSLBによる広域負荷分散

 

終わりに

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください