CTAP」カテゴリーアーカイブ

認証機能付きリバースプロキシの構築 / FIDO2-生体認証 / AD認証/SAML認証/ワンタイムパスワード認証/SSLクライアント認証/パスワードレス認証

社内LAN側に設置のWebサーバーやオンプレミスで運用のWebサーバーに、自社で運用の認証機能付きリバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

リバースプロキシの認証機能としては、FIDO2の生体認証、Active Directory認証、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/ゼロトラスト対応のSAML認証など、各種認証の組み合わせによる多要素認証などで社内LAN側のWebへアクセスさせることが出来ます。セキュリティの要件や用途に合わせて、リバースプロキシに複数の認証機能を組み合わせる多要素認証での運用にも対応しています。また生体認証にも対応しており、パスワードレス認証での運用も可能です。

冗長構成での運用にも対応しており、HAやマルチリージョンでの運用が出来ます(Route53やGSLBによるマルチAZ環境)

 

ブラウザのみで利用

https://www.mubit.co.jp/sub/products/blue/img2/burauza-1.png

社内Webへのアクセスに際してリバースプロキシを利用する場合、リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。

VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。VPNの代替として利用ができます。ゼロトラストシステムのような大掛かりな構成は必要なく、リバースプロキシ単体のみでの導入が可能です。

 

リバースプロキシの構成

シンプルな構成では、リバースプロキシ1台で運用します。冗長化や負荷分散の場合には、ロードバランサ配下で運用します。

リバースプロキシとしては、各種の認証に対応のリバースプロキシ・アプライアンス https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy」を利用します。

製品の特徴としては

  • 認証対応のリバースプロキシ
  • インターネットサーバー機能(Mail / Web / DNS )
  • Let’s Encrypt などに対応
  • ひとり情シスでの運用に対応

などの機能を有したリバースプロキシ・アプライアンスです。

 

製品の形態

仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

仮想対応

VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/hyper-v-3.png

クラウド対応

AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、Fujitsu Hybrid IT Service ( 富士通 )、Enterprise Cloud ( NTT communications )、VPS他

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

 

Powered BLUE リバースプロキシの各種認証

Powered BLUE のリバースプロキシは、以下のパターンでの認証&運用に対応しています

 

【1】基本 リバースプロキシ & 認証なし
【2】OTP リバースプロキシ & ワンタイムパスワード認証
【3】SSLクライアント認証 リバースプロキシ & SSLクライアント認証
【4】Active Directory認証 リバースプロキシ & AD認証
【5】SSO リバースプロキシ & SAML/OIDC認証 ( idP連携 )
【6】代理認証 / SSO リバースプロキシ & 代理認証 / SSO ( idP連携 )
【7】多要素認証 リバースプロキシ & 各種認証の組み合わせ
【8】パスワードレス認証 リバースプロキシ & FIDO2生体認証 ( WebAuthn / CTAP )
【9】HA マルチリージョン /  冗長化 & 多要素認証

 

 

【1】基本 Powered BLUE Reverse Proxy でのリバースプロキシ設定

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

  • 複数のリバース先の設定に対応
  • リバース先のポート( http/https/ポート番号 )の指定に対応
  • 終端までSSL通信での運用に対応
  • リバースプロキシー運用のWebサイトにLet’s EncryptによるSSL化にも対応

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

リバースプロキシサイトのSSLのサーバー証明書

SSLのサーバー証明書としては

  • サイトのSSL自己証明
  • パブリックなSSLサーバー証明書
  • Let’s EncryptでのSSLサーバー証明書

に対応しています。

Let’s EncryptによるSSL化 例

 

 

【2】ワンタイムパスワード認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

リバースプロキシへのアクセスに、ID/パスワードとワンタイムパスワード(OTP)による2要素認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870/OTPのリバースプロキシ付属モデルを利用します。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

トークン

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

  • Google Authenticator ( iOS / Android対応 )
  • WinAuth ( Windows対応 )
  • Authy ( iOS / Android / Windows / Mac / Linux対応 )
  • IIJ SmartKey ( iOS / Android対応 )
  • Microsoft Authenticator ( iOS / Android対応 )

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-1.png

ユーザーやコードの管理

利用するユーザーに、スマフォ端末などのカメラから各自のQRコードをトークンに読み込ませます。カメラのないPCなど端末から利用の場合のコードの発行にも対応。

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

スマフォへの登録方法

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

アクセス手順

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 リバースプロキシ先のWebサイトの表示

 

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

 

【3】SSLクライアント認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1.png

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 Private CAのリバースプロキシ付属モデルを利用します。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用することが出来ます。

https://www.mubit.co.jp/sub/products/ca/img2/ca-rev-1.png

SSLクライアント認証 例

グループウエアへのアクセス例
SSLクライアント証明書 〇   SSLクライアント証明書 ✕

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

ロードバランサ対応

Powered BLUE では、Private-CAとSSLクライアント認証&リバースプロキシを分離しての運用に対応しています。ロードバランサでは、SSL通信をスル―させてリバースプロキシ側でSSLクライアント認証を行います。SSLクライアント認証後に、リバースプロキシによりターゲットのWebへリダイレクトさせます。

 

 

Private CAの設定ポイント

ロードバランサー配下で運用の場合、Private CAからCRLの提供を許可するクライアントのリバースプロキシサーバーを指定します ( CRLの提供を許可するリバースプロキシのIPアドレス )

  • 負荷分散先のリバースプロキシ / CRL サーバー No1 = 192.168.100.58
  • 負荷分散先のリバースプロキシ / CRL サーバー No2 = 192.168.100.73

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/ca-crl-11.png

リバースプロキシ&SSLクライアント認証サーバー側の設定のポイント

  • CAからCRLを自動入手出来る設定 ( 取得先CA  http://ca-server.mubit.com )
  • crlの同期スケジュールを指定(更新間隔)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/web-crl-1.png

 

 

【4】Active Directory認証対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

リバースプロキシへのアクセスに、AD認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE Reverse Proxy for AD を利用します。

AD / LDAPS認証設定例

 

AD認証では、リバースプロキシにはユーザーアカウントが不要なため、ひとり情シス環境でも簡単に運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

認証のステップ(AD認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

2要素認証

「AD認証+SSLクライアント認証」などの2要素認証での運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

認証のステップ(SSLクライアント認証+AD認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

【5】ゼロトラスト対応SAML/OIDC認証のID認識型リバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/saml-24-1.png

 

 

 

 

Powered BLUEのリバースプロキシは、SAML認証やOIDC認証に対応のID認識型リバースプロキシとして動作します。IDaaSなどのidPと連携して、社内のWebサイトへSAML2.0に対応のSP機能を持つ、ID認識型リバースプロキシでアクセスさせます。

 

社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML2.0対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

ユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。また部門や社員、会員ごとにリバースプロキシへのアクセスコントロールの設定・運用が可能です。リバースプロキシには、ユーザーアカウントがないため、SPとなるリバースプロキシ側からアカウント漏洩の心配はありません。

 

SP(サービス・プロバイダ)

SPとしては、SAML/OIDC認証に対応したSSOのリバースプロキシ機能を持つPowered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

 

idP(アイデンティティ・プロバイダ)

idPとしてはSAML/OIDC認証に対応した G suite、Azure ADやTrustLogin、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

 

SAML2.0の設定例

各社idPとSPでSAML2.0の認証を設定する例です

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

シングルサインオンでのSAML認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/11/idp-sso-1.png

* SP initiated SAML および idP initiated SAMLに対応

 

 

設定構成

以下のようなリバースプロキシ構成での設定例です

社内チャットへのリレイ

例 User —> https://wp-sam0.mubit.jp/ —-> http://sni-0.mubit.jp/

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/rocketchat-login-1.png

 

一般のWebページへのリレイ

例 User —> https://wp-sam1.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

Web Mailへのリレイ

例 User —> https://wp-sam2.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/

https://www.mubit.co.jp/sub/products/blue/img2/login.png

 

 

【6】ID/パスワードの代理認証でのSSO

社内LAN側にあるID/パスワード入力の必要なWebシステムへ、リバースプロキシからターゲットのWebサーバーへプリセットされたID/パスワードの自動入力でのシングルサインオンでの運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/login-3.png

 

idP連携のOIDC/SAML認証のリバースプロキシからWebへ代理入力&SSO

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

 

 

 

 

 

 

 

idPなど

SAMLやOIDC認証のidP

  • Azure AD
  • TrustLogin
  • CloudGate UNO
  • onelogin
  • okta
  • Keycloak

などがあります。これらのidPと  https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for SSO/IDaaS を組み合わせて構築します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

代理入力

OIDC / SAML認証に対応のリバースプロキシからWebへ「ID / パスワード」の代理入力を行います。

  1. ユーザーからターゲットWebへの「ID / パスワード」の入力不要
  2. ターゲットWebをSSOのメンバーとして構成

 

代理入力のSSO利用ステップ

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP へアクセス
  3. idP の認証後にリバースプロキシからWebへユーザー情報を代理入力
  4. Webへ自動ログイン

 

 

 

 

 

 

 

 

【7】多要素認証

Powered BLUE Reverse Proxy で

  • SSLクライアント認証
  • ワンタイムパスワード認証

を併用して運用する事が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/09/web-ssl-otp-rev-1.png

 

アクセス手順

1)ワンタイムパスワードの表示
2)SSLクライアント認証
3)  リバースプロキシにアクセス ID/パスワード/ワンタイムパスワード入力
4)認証の成功後 リバースプロキシ先のWebサイトの表示

 

SAML/SPでの多要素認証

社内LAN側に設置のWebサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた独自の認証を設定したい場合には有効です。

 

SAML SP&SSLクライアント認証

SP上でPrivate CAを運用 SSLクライアント証明書を発行して、SP/リバースプロキシ上でSSLクライアント認証を実行

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-2.png

 

SAML SP&ワンタイムパスワード認証

SP/リバースプロキシ上でワンタイムパスワード認証を運用

 

AD認証+SSLクライアント認証

Powered BLUE Reverse Proxy で

  • AD認証
  • SSLクライアント認証

を併用して運用する事が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-ssl-rev-2.png

 

認証のステップ(SSLクライアント認証+AD認証)
1)リバースプロキシへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にリダイレクト先のWebページを表示

 

 

【8】FIDO2/パスワードレス認証

FIDO2 / WebAuthn 対応のリバースプロキシの生体認証で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。生体認証を行うことで「パスワードレス認証」での運用が可能です。

idPとして https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE for idP

SPとして https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE ReverseProxy for SSO / IDaaS 」を組み合わせて構築します。

 

生体認証での構成

 

 

アクセス手順

スマートフォン・ユーザーの場合(iPhone / iPad / Android )

1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
2)生体認証(スマートフォン内の指紋認証・顔認証を利用)
3)   認証後にリバースプロキシからID/パスワードを代理入力&ターゲットのWebへログイン

 

PCユーザーの場合

1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
2)セキュリティキーにタッチ(指紋認証)
3)   認証後にリバースプロキシからID/パスワードを代理入力&ターゲットのWebへログイン

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-step-7.png

 

 

【9】HA対応

ワンタイムパスワード認証・SAML認証・SSLクライアント認証機能のリバースプロキシは、自動同期機能により冗長構成での運用に対応しています。またRoute53やGSLBによるマルチAZ環境でも運用もできます。

ロードバランサー配下での構成

  • シングルリージョン(シングルAZ)+ ロードバランサー構成

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

 

 

 

 

 

 

 

 

マルチリージョン(マルチAZ)での構成

回線やデータセンターが異なるために、耐障害性が向上します

  • リージョンA (東日本データセンター)
  • リージョンB (西日本データセンター)

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

サーバーの操作や認証設定、各種の認証に対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。