社内LAN側に設置のWebサーバーやオンプレミスで運用のWebサーバーに、自社で運用の認証機能付きリバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。
リバースプロキシの認証機能としては、FIDO2の生体認証、Active Directory認証、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/ゼロトラスト対応のSAML認証など、各種認証の組み合わせによる多要素認証などで社内LAN側のWebへアクセスさせることが出来ます。セキュリティの要件や用途に合わせて、リバースプロキシに複数の認証機能を組み合わせる多要素認証での運用にも対応しています。また生体認証にも対応しており、パスワードレス認証での運用も可能です。
冗長構成での運用にも対応しており、HAやマルチリージョンでの運用が出来ます(Route53やGSLBによるマルチAZ環境)
ブラウザのみで利用
社内Webへのアクセスに際してリバースプロキシを利用する場合、リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。
VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。VPNの代替として利用ができます。ゼロトラストシステムのような大掛かりな構成は必要なく、リバースプロキシ単体のみでの導入が可能です。
リバースプロキシの構成
シンプルな構成では、リバースプロキシ1台で運用します。冗長化や負荷分散の場合には、ロードバランサ配下で運用します。
リバースプロキシとしては、各種の認証に対応のリバースプロキシ・アプライアンス 「Powered BLUE Reverse Proxy」を利用します。
製品の特徴としては
- 認証対応のリバースプロキシ
- インターネットサーバー機能(Mail / Web / DNS )
- Let’s Encrypt などに対応
- ひとり情シスでの運用に対応
などの機能を有したリバースプロキシ・アプライアンスです。
製品の形態
仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。
仮想対応
VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。
クラウド対応
AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、Fujitsu Hybrid IT Service ( 富士通 )、Enterprise Cloud ( NTT communications )、VPS他
Powered BLUE リバースプロキシの各種認証
Powered BLUE のリバースプロキシは、以下のパターンでの認証&運用に対応しています
【1】基本 | リバースプロキシ & 認証なし |
【2】OTP | リバースプロキシ & ワンタイムパスワード認証 |
【3】SSLクライアント認証 | リバースプロキシ & SSLクライアント認証 |
【4】Active Directory認証 | リバースプロキシ & AD認証 |
【5】SSO | リバースプロキシ & SAML/OIDC認証 ( idP連携 ) |
【6】代理認証 / SSO | リバースプロキシ & 代理認証 / SSO ( idP連携 ) |
【7】多要素認証 | リバースプロキシ & 各種認証の組み合わせ |
【8】パスワードレス認証 | リバースプロキシ & FIDO2生体認証 ( WebAuthn / CTAP ) |
【9】HA | マルチリージョン / 冗長化 & 多要素認証 |
【1】基本 Powered BLUE Reverse Proxy でのリバースプロキシ設定
- 複数のリバース先の設定に対応
- リバース先のポート( http/https/ポート番号 )の指定に対応
- 終端までSSL通信での運用に対応
- リバースプロキシー運用のWebサイトにLet’s EncryptによるSSL化にも対応
リバースプロキシサイトのSSLのサーバー証明書
SSLのサーバー証明書としては
- サイトのSSL自己証明
- パブリックなSSLサーバー証明書
- Let’s EncryptでのSSLサーバー証明書
に対応しています。
【2】ワンタイムパスワード認証対応のリバースプロキシ
リバースプロキシへのアクセスに、ID/パスワードとワンタイムパスワード(OTP)による2要素認証での運用が出来ます。 Powered BLUE 870/OTPのリバースプロキシ付属モデルを利用します。
ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。
トークン
Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。
- Google Authenticator ( iOS / Android対応 )
- WinAuth ( Windows対応 )
- Authy ( iOS / Android / Windows / Mac / Linux対応 )
- IIJ SmartKey ( iOS / Android対応 )
- Microsoft Authenticator ( iOS / Android対応 )
ユーザーやコードの管理
利用するユーザーに、スマフォ端末などのカメラから各自のQRコードをトークンに読み込ませます。カメラのないPCなど端末から利用の場合のコードの発行にも対応。
スマフォへの登録方法
アクセス手順
1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リバースプロキシ先のWebサイトの表示
【3】SSLクライアント認証対応のリバースプロキシ
リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。 Powered BLUE 870 Private CAのリバースプロキシ付属モデルを利用します。
SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。
Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用することが出来ます。
SSLクライアント認証 例
グループウエアへのアクセス例
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
ロードバランサ対応
Powered BLUE では、Private-CAとSSLクライアント認証&リバースプロキシを分離しての運用に対応しています。ロードバランサでは、SSL通信をスル―させてリバースプロキシ側でSSLクライアント認証を行います。SSLクライアント認証後に、リバースプロキシによりターゲットのWebへリダイレクトさせます。
- Private-CA (Powered BLUE Private CA)
- SSLクライアント認証&リバースプロキシ (Powered BLUE Reverse Proxy/SSLクライアント認証機能付属モデル)
Private CAの設定ポイント
ロードバランサー配下で運用の場合、Private CAからCRLの提供を許可するクライアントのリバースプロキシサーバーを指定します ( CRLの提供を許可するリバースプロキシのIPアドレス )
- 負荷分散先のリバースプロキシ / CRL サーバー No1 = 192.168.100.58
- 負荷分散先のリバースプロキシ / CRL サーバー No2 = 192.168.100.73
リバースプロキシ&SSLクライアント認証サーバー側の設定のポイント
- CAからCRLを自動入手出来る設定 ( 取得先CA http://ca-server.mubit.com )
- crlの同期スケジュールを指定(更新間隔)
【4】Active Directory認証対応のリバースプロキシ
リバースプロキシへのアクセスに、AD認証での運用が出来ます。 Powered BLUE Reverse Proxy for AD を利用します。
AD / LDAPS認証設定例
AD認証では、リバースプロキシにはユーザーアカウントが不要なため、ひとり情シス環境でも簡単に運用ができます。
認証のステップ(AD認証)
2要素認証
「AD認証+SSLクライアント認証」などの2要素認証での運用にも対応しています。
認証のステップ(SSLクライアント認証+AD認証)
【5】ゼロトラスト対応SAML/OIDC認証のID認識型リバースプロキシ
Powered BLUEのリバースプロキシは、SAML認証やOIDC認証に対応のID認識型リバースプロキシとして動作します。IDaaSなどのidPと連携して、社内のWebサイトへSAML2.0に対応のSP機能を持つ、ID認識型リバースプロキシでアクセスさせます。
社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML2.0対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。
ユーザーアカウント不要
ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。また部門や社員、会員ごとにリバースプロキシへのアクセスコントロールの設定・運用が可能です。リバースプロキシには、ユーザーアカウントがないため、SPとなるリバースプロキシ側からアカウント漏洩の心配はありません。
SP(サービス・プロバイダ)
SPとしては、SAML/OIDC認証に対応したSSOのリバースプロキシ機能を持つ「Powered BLUE Reverse Proxy for SSO/IDaaS」を利用します。
idP(アイデンティティ・プロバイダ)
idPとしてはSAML/OIDC認証に対応した G suite、Azure ADやTrustLogin、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。
SAML2.0の設定例
各社idPとSPでSAML2.0の認証を設定する例です
- idP 「TrustLogin」でのリバースプロキシの設定例
- idP 「CloudGate UNO」でのリバースプロキシの設定例
- SP 「Powered BLUE Reverse Proxy for SSO/IDaaS」でのリバースプロキシの設定例
を利用します。
idPとSPにそれぞれ、SAML認証の設定を行います。
シングルサインオンでのSAML認証のステップ
① ID認識型リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示
* SP initiated SAML および idP initiated SAMLに対応
設定構成
以下のようなリバースプロキシ構成での設定例です
社内チャットへのリレイ
例 User —> https://wp-sam0.mubit.jp/ —-> http://sni-0.mubit.jp/
一般のWebページへのリレイ
例 User —> https://wp-sam1.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/
Web Mailへのリレイ
例 User —> https://wp-sam2.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/
【6】ID/パスワードの代理認証でのSSO
社内LAN側にあるID/パスワード入力の必要なWebシステムへ、リバースプロキシからターゲットのWebサーバーへプリセットされたID/パスワードの自動入力でのシングルサインオンでの運用にも対応しています。
idP連携のOIDC/SAML認証のリバースプロキシからWebへ代理入力&SSO
「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
idPなど
SAMLやOIDC認証のidP
- Azure AD
- TrustLogin
- CloudGate UNO
- onelogin
- okta
- Keycloak
などがあります。これらのidPと 「Powered BLUE Reverse Proxy for SSO/IDaaS を組み合わせて構築します。
代理入力
OIDC / SAML認証に対応のリバースプロキシからWebへ「ID / パスワード」の代理入力を行います。
- ユーザーからターゲットWebへの「ID / パスワード」の入力不要
- ターゲットWebをSSOのメンバーとして構成
代理入力のSSO利用ステップ
- SAML / OIDC認証対応のリバースプロキシへアクセス
- 初回のみ idP へアクセス
- idP の認証後にリバースプロキシからWebへユーザー情報を代理入力
- Webへ自動ログイン
【7】多要素認証
Powered BLUE Reverse Proxy で
- SSLクライアント認証
- ワンタイムパスワード認証
を併用して運用する事が出来ます
アクセス手順
1)ワンタイムパスワードの表示
2)SSLクライアント認証
3) リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
4)認証の成功後 リバースプロキシ先のWebサイトの表示
SAML/SPでの多要素認証
社内LAN側に設置のWebサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた独自の認証を設定したい場合には有効です。
SAML SP&SSLクライアント認証
SP上でPrivate CAを運用 SSLクライアント証明書を発行して、SP/リバースプロキシ上でSSLクライアント認証を実行
SAML SP&ワンタイムパスワード認証
SP/リバースプロキシ上でワンタイムパスワード認証を運用
AD認証+SSLクライアント認証
Powered BLUE Reverse Proxy で
- AD認証
- SSLクライアント認証
を併用して運用する事が出来ます
認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示
【8】FIDO2/パスワードレス認証
FIDO2 / WebAuthn 対応のリバースプロキシの生体認証で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。生体認証を行うことで「パスワードレス認証」での運用が可能です。
idPとして 「Powered BLUE for idP 」
SPとして 「Powered BLUE ReverseProxy for SSO / IDaaS 」を組み合わせて構築します。
生体認証での構成
アクセス手順
スマートフォン・ユーザーの場合(iPhone / iPad / Android )
1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
2)生体認証(スマートフォン内の指紋認証・顔認証を利用)
3) 認証後にリバースプロキシからID/パスワードを代理入力&ターゲットのWebへログイン
PCユーザーの場合
1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
2)セキュリティキーにタッチ(指紋認証)
3) 認証後にリバースプロキシからID/パスワードを代理入力&ターゲットのWebへログイン
【9】HA対応
ワンタイムパスワード認証・SAML認証・SSLクライアント認証機能のリバースプロキシは、自動同期機能により冗長構成での運用に対応しています。またRoute53やGSLBによるマルチAZ環境でも運用もできます。
ロードバランサー配下での構成
- シングルリージョン(シングルAZ)+ ロードバランサー構成
自社環境とクラウド環境の組み合わせ
ロードバランサーなどはクラウド環境側のリソースを利用する構成
マルチリージョン(マルチAZ)での構成
回線やデータセンターが異なるために、耐障害性が向上します
- リージョンA (東日本データセンター)
- リージョンB (西日本データセンター)
デモサイト
Powered BLUE のデモサイトを用意しています
サーバーの操作や認証設定、各種の認証に対応のリバースプロキシなどの動作を確認することが出来ます
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。