OpenStack – ムービットのブログ https://www.mubit.co.jp/pb-blog Powered BLUE サーバー Thu, 21 Sep 2023 02:58:10 +0000 ja hourly 1 https://wordpress.org/?v=6.5.2 OpenStack対応 Azure AD連携SAML認証のリバースプロキシで既存Webへ代理認証でSSO / FUJITSU Hybrid IT Service FJcloud-Oで運用 https://www.mubit.co.jp/pb-blog/?p=21502 Mon, 26 Jun 2023 03:20:51 +0000 https://www.mubit.co.jp/pb-blog/?p=21502 富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にSAML認証のリバースプロキシを構築します。IDaaS/idPのMicrosoft Entra ID(旧名称 Azure AD)を利用して、社内設置のレガシーなWebサーバーにSAMLやOIDC対応の機能を持つReverse Proxy経由で代理認証を行いシングルサインオンで運用します。

 

 

 

 

 

 

レガシーWeb

SAML認証やOIDC認証(Open ID Connect)に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してシングルサインオンを構成します。

SAML / OIDC認証に
未対応のWeb

 

 

【代理認証】

リバースプロキシが代理入力および代理認証を行うため

  1. 利用者からWebへ「ID / パスワード」の入力不要
  2. 利用者へのWebの「ID / パスワード」の公開不要
  3. SAMLやOIDCに未対応のWebをSSOのメンバーとして構成

 

 

Azure AD連携のリバースプロキシから既存Webへ代理入力&SSO

  1. SAML / OIDC認証対応のリバースプロキシは、FUJITSU Hybrid IT Service FJcloud-O 上で運用
  2. バックエンドの「Web」は WANやLAN の任意の場所に設置が可能

 

 

【 必要な機器など 】

  1. idP
  2. SAML / OIDC認証対応のリバースプロキシ( ユーザー情報の代理入力機能 )
  3. バックエンドのWeb(改修不要)
  4. ブラウザ(プラグイン不要)

 

 

【 idP / Azure AD 】

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

  • GMOトラストログイン
  • Keycloak

 

【リバースプロキシの特徴】

 

 

 

 

 

 

  1. バックエンドのWebのOSに依存しない
  2. バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
  3. ブラウザのみで利用できる(プラグイン不要)

 

 

【 SAML/OIDC認証 の代理入力対応のリバースプロキシ 】

 

 

 

 

 

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

FUJITSU Hybrid IT Service FJcloud-O 上に構築運用します。

 

 

【アプライアンスの機能】

  • リバースプロキシ機能
  • SAMLやOIDC認証(SP / RP 機能 *1 )
  • バックエンドのWebアプリへユーザー情報の代理入力機能
  • バックエンドのWebアプリへHTTPヘッダーでのユーザー情報の転送機能
  • SSLクライアント認証
  • GUIから設定や運用

を有しており、GUIからアプライアンスの設定&運用を行うことが出来ます。

*1  SAML認証時はSP (Service Provider)  OIDC認証時はRP(Relying Party)という名称です

 

【代理入力・SSOでの認証ステップ】

 

 

 

  1. SAML / OIDC認証対応のリバースプロキシへアクセス
  2. 初回のみ idP / Azure ADへアクセス(シングルサインオン)
  3. Azure AD の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
  4. バックエンドWebへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

【SSLクライアント認証の併用 / 多要素認証】

 

 

 

SSLクライアント認証でidPやリバースプロキシへの認証を強化

 

クライアント証明書 〇 クライアント証明書 ✕

 

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. idP / IDaaS 連携によるSSO(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 SSO

 

【 FUJITSU Hybrid IT Service FJcloud-O上で運用時のメリット】

  • 国産クラウド環境
  • OpenStack準拠
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 回線費用は無償(ベストエフォート)
  • Firewallは無償
  • Ansible対応

 

 

【お問合せ】

 

 

ご質問やご相談など

 

 

]]> Keycloakアプライアンスを国産クラウドFUJITSU Hybrid IT Service FJcloud-Oに構築運用 / SSL認証や生体認証からLGWANや閉域網での運用にも対応 https://www.mubit.co.jp/pb-blog/?p=15713 Tue, 22 Feb 2022 11:21:25 +0000 https://www.mubit.co.jp/pb-blog/?p=15713 富士通が運用するOpenStackベースの国内基盤でのクラウドサービスであるFUJITSU Hybrid IT Service FJcloud-O 上にID管理や認証機能を持つOSSのidP / Keycloak Quarkus対応版を構築運用する構成例です。

 

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

  • OpenStack準拠のクラウドサービス
  • API / Ansible / OpenStack Horizon からコントロール可能
  • 回線費用は無償(ベストエフォート)
  • Firewall無償
  • リモートコンソールでの管理画面へのアクセス
  • 単一ゾーンでのSLA 99.99%
  • フェイルオーバー機能 -  標準装備
  • アンチ・アフィニティをサポート
  • 国内リージョン2か所(東日本・西日本)
  • ISMAPに対応

などです。

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fujitsu-login-1-1.png

 

 

【Keycloak アプライアンス】

サーバーやKeycloakの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能などを有したKeycloakのアプライアンス

 「Powered BLUE idP for Keycloak

をFJCloud-O上で運用します。

 

 

 

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

  • リージョン East3 / West3

「FUJITSU Hybrid IT Service FJcloud-O」 でインスタンスを作成します。

  • サーバー名指定
  • サーバータイプ選択
  • イメージ選択
  • HDD サイズ指定  例 30GB

 

 

【Powered BLUE サーバーの設定】

FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする 例

セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。

 

 

【Keycloakの構成やDB設定】

GUIから

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 )
  • リバースプロキシ連携機能
  • SSLサーバー証明書の登録
  • アクティブモニタ(サービス監視・再起動・管理者への通知)

などに対応しておりコマンドラインからのプログラムのインストールや設定は不要

 

( 画面のイメージをクリックで拡大表示 )

 

 

【Keycloakのバックアップ】

  • バックアップやリストア

 

 

 

【Keycloakのバージョンアップ】

  • ver 18.0.1 から ver 19.0.1 へ 変更 (例)

 

 

 

 

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

 

1) リバースプロキシ経由でKeycloakへアクセス  ( リバースプロキシ+Keycloak 1台で運用 )

  • Client  ⇒  「 443 / リバースプロキシ  ⇒  80 / Keycloak 」

 

2) ダイレクトにKeycloak へアクセス(https/443)

  • Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール)

 

 

 

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

  • 自己証明のSSL証明書の作成機能
  • パブリックなSSL証明書や中間証明書のインポート機能

 

 

 

【サーバーの自己監視機能】

  • サーバーのモニタリングやサービスの自動再起動
  • パッチの自動適用機能
  • 管理者への通知機能

 

 

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

 

 

 

【idPとSPの構成】

  •  idP – SP の構成 例1

SP機能のWebアプライアンス  Powered BLUE Web for SSO / IDaaS

 

・idP – SP の構成 例2

SP機能のリバースプロキシ・アプライアンス  Powered BLUE Reverse-Proxy for SSO / IDaaS

 

【SSOのステップ】

① ターゲットWebやリバースプロキシ(SP)へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWebサイトの表示

 

 

 

【HAの構成】

  • Keycloakのクラスター構成

GUIからDBやクラスタの設定が出来ます

 

FJcloud-O 標準のロードバランサーでのクラスター構成

 

 

【閉域網での構築&運用に対応】

  • 仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
  • サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能
  • LGWANなどでの運用に対応

 

 

 

【SSLクライアント認証で運用する】

Keycloakへの認証を

  • IDパスワード+SSLクライアント認証

の多要素認証にする(Private-CAとの連携)

 

SSLクライアント証明書の発行及びSSLクライアント認証局として

Powered BLUE プライベートCA

を利用します。

 

【失効リストの入手&自動同期】

Private-CAの失効リストをKeycloak側で入手&自動同期する設定をします

 

【Keycloakの認証設定】

Keycloakを運用するサーバーのURL

  • 例 https://auth.powered.blue/

 

このサーバーの keycloakの ログイン dir  /auth 以下にSSLクライアント認証を設定の場合

  • https://auth.powered.blue/auth

 

 

【SSLクライアント証明書が有効の場合】

1)ターゲットWeb(SP)にアクセス
2)idP / Keycloakの認証
(シングルサインオン・SSLクライアント認証
3)認証の成功後 ターゲットWeb(SP)を表示

 

 

 

【FIDO2/生体認証での運用に対応】

指紋認証器の特徴

  • 10本の指が登録でき、どの指でも認証ができる
  • 認証精度が安定している
  • 認証器が豊富
  • USBタイプはPCへの接続が簡単
  • 汎用のPCで利用できる
  • Windows10 / 11 の標準機能で指紋登録ができる

 

指紋認証器の構成例

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

【指紋登録方法】

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

 

アカウントを選択

 

 

サインインオプション&セキュリティキーを選択

 

 

セキュリティキー(指紋認証器)にタッチ

 

 

 

「セキュリティキーの指紋」のセットアップを選択

 

 

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

「指紋認証器」へ指紋の登録

 

 

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

他の指も登録できます(合計10本まで)

 

 

 

【生体認証でWebへアクセス】

 

パスワードレス認証で運用のケース

(「認証器の所持認証」+「生体認証」の2要素認証 )

 

1)生体認証対応Webへアクセス(IDのみ入力 / パスワードレス
2)セキュリティキーにタッチ(指紋認証
3)認証後にターゲットのWebサイトが表示されます

 

 

 

 

【こんな場合に】

  • iDaaSなどは社内規定で利用が出来ない
  • ユーザー数が多いので費用の抑えられるOSSのidPを利用したい
  • 自社管理でidPを運用したい
  • メンテナンスの簡単なアプライアンスで‘運用したい
  • 国内法が適用されるクラウド基盤で運用したい
  • LGWANやクローズドネットワークで運用したい
  • SSLクライアント認証や生体認証で運用したい

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください

 

 

 

]]> 各種の認証対応のリバースプロキシをFUJITSU Hybrid IT Service FJcloud-Oに構築する https://www.mubit.co.jp/pb-blog/?p=14801 Fri, 14 Jan 2022 02:59:40 +0000 https://www.mubit.co.jp/pb-blog/?p=14801 富士通が運用するOpenStackのクラウド基盤「FUJITSU Hybrid IT Service FJcloud-O」上で、SAML認証-ワンタイムパスワ―ド認証-AD認証-SSLクライアント認証-生体認証-パスワードレス認証などの各種の認証に対応のリバースプロキシを運用する場合の構成例です。ロードバランサを利用してのHAなどでも運用できます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fujitsu-login-1-1.png

 

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

  • 回線費用は無償(ベストエフォート)
  • オブジェクトストレージからのダウンロードも無償(ベストエフォート)
  • Firewall無償
  • リモートコンソールでの管理画面へのアクセス
  • OpenStack準拠
  • API / Ansible / OpenStack Horizon からコントロール可能
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 国内基盤で運用

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

 

Powered BLUE リバースプロキシ / Reverse Proxyは、

  1. リバースプロキシ & ワンタイムパスワード認証
  2. リバースプロキシ & SSLクライアント認証
  3. リバースプロキシ & ワンタイムパスワード認証& SSLクライアント認証
  4. リバースプロキシ & SAML/OIDC認証( idP連携  )
  5. リバースプロキシ & SAML/OIDC認証&SSLクライアント認証
  6. リバースプロキシ & Active Directory認証
  7. リバースプロキシ & Active Directory&SSLクライアント認証
  8. リバースプロキシ & 生体認証対応( FIDO2 / WebAuthn )
  9. リバースプロキシ & HAやGSLB対応

に対応の認証機能付きリバースプロキシ・アプライアンスです。

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-2.png

リバースプロキシ経由での社内LAN側などのWebサーバーへのアクセスに際して、既存の社内Web側は変更することなく、リバースプロキシ上に各種の認証を設定しての運用に対応しています。

リバースプロキシと認証機能を1台で運用出来ます。仮想アプライアンスで提供しており、FUJITSU Hybrid IT Service FJcloud-O環境で認証機能付きのリバースプロキシの導入&運用が可能です。

 

【構築方法】

「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

  • サーバー名指定
  • サーバータイプ選択
  • パブリックイメージ選択 例 CentOS 7.9
  • HDD サイズ指定 例 30GB

 FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応インターネットサーバー Powered BLUEをセットアップする

 

 

 

【1】リバースプロキシ & ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●Microsoft Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

 

簡単登録

QRコードを読み込むだけの簡単登録

 

ワンタイムパスワード認証のアクセス手順

  • ワンタイムパスワードを表示
  • リバースプロキシへアクセス(ワンタイムパスワード認証)
  • 認証後にリダイレクト先のWebサイトが表示(例 SharePoint)

 

 

【2】リバースプロキシ & SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Private CA & Reverse Proxy

 

Private-CA機能&SSLクライアント認証

  • Private-CA 機能によりSSLクライアント証明書を発行します
  • Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

 

特徴

  • リバースプロキシへのアクセス時にパスワードの入力不要
  • 日時などでのリバースプロキシへのアクセスコントロールが可能

 

アクセスコントロール 例

  • 組織や部門でのアクセス制限
  • 曜日や時間帯でのアクセス制限
  • 特定ユーザーでのアクセス制限
  • 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

証明書 〇         証明書 ✖

 

【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Web Station

 

特徴

  • 多要素認証によりリバースプロキシの認証の強度が上がります

 

認証のステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 (リバースプロキシ)
3)ワンタイムパスワードを入力 (リバースプロキシ)
4)認証後にリバースプロキシ先のWebが表示

 

 

 

【4】リバースプロキシ & SAMLやOIDC認証

リバースプロキシへのアクセス時にSAMLやOIDC認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP / OIDC-RP

Powered BLUE リバースプロキシは、SAML認証やOIDC認証に対応のSP(サービスプロバイダ)として動作します

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-10.png

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

 

特徴

  • シングルサインオン/SAML認証やOIDC認証に対応のリバースプロキシとして運用が出来ます

 

認証のステップ

1) ID認識型リバースプロキシへアクセス
2) 初回のみ idP へアクセス ( シングルサインオン )
3) idPの認証後にリバースプロキシ先のWebサイトの表示

 

 

【5】リバースプロキシ & SAMLやOIDC認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証やOIDC認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

特徴

  • リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

 

【6】リバースプロキシ & AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

特徴

  • リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

AD認証時の手順

1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

 

【7】リバースプロキシ & SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

特徴

  • リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

 

SSLクライアント認証&AD認証時の手順

1)リバースプロキシへアクセス
2)SSLクライアント認証
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

【8】生体認証対応(FIDO2 / WebAuthn)

FIDO2の生体認証(指紋認証)機能により、「なりすまし防止」でのアクセスが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

特徴

  • 生体情報は覚える必要がない
  • パスワードレス認証に対応
  •  生体情報は偽造しにくい

 

生体認証器

利用者はUSBタイプのセキュリティキー「指紋認証器」をPCへ接続

     

指紋を登録

構成

 

 

 

 

 

 

 

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif https://www.mubit.co.jp/sub/products/blue/b870-sso-rev.html

 

指紋認証時のWebアクセス手順

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証  生体認証 )
③ 認証後にターゲットWebへリダイレクト

 

 

【9】HA & マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン(シングルAZ)のロードバランサー配下に設置・運用

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

  • リージョンA 東日本データセンター
  • リージョンB 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

【10】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

 

 

【11ひとり情シス対応

  • サーバーの自己監視
  • サービスの自動再起動
  • パッチのスケジュールアップデート

などの機能を装備。ひとり情シスでの運用に対応しています。

 

 

 

【12】ログの保存

  • シスログの保存 ( 任意期間の保存 )
  • シスログの転送 ( 同時に3カ所への送信 )
  • シスログのトラップ

などに対応 (オプション)

任意キーワードでのトラップ &  アラートメールの送信先の指定 例

 

 

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

 

]]> AD/LDAP認証とSSLクライアント認証の対応のリバースプロキシをFUJITSU Hybrid IT Service FJcloud-OのHAで運用 https://www.mubit.co.jp/pb-blog/?p=13818 Fri, 01 Oct 2021 10:02:25 +0000 https://www.mubit.co.jp/pb-blog/?p=13818 Active DirectoryのLDAP認証やSSLクライアント認証に対応のリバースプロキシを富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築&運用します。全通信経路でSSL通信を行う運用が出来ます。

 

◉ AD認証に対応のリバースプロキシ

Active Directroy認証に対応の https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

機能

  • リバースプロキシ機能
  • リバースプロキシのAD認証
  • リバースプロキシのSSLクライアント認証
  • リバースプロキシのHA対応
  • ポータルサイト機能

GUIからすべての設定ができます。

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

運用構成

  • LAN側に設置のWebへのアクセス
  • 全通信経路でSSL通信を行うことが可能(リバースプロキシ&LDAP)

 

運用先

FUJITSU Hybrid IT Service FJcloud-Oの特徴は

  • OpenStack準拠
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 回線費用は無償(ベストエフォート)
  • オブジェクトストレージからのダウンロード費用は無償(ベストエフォート)
  • Firewallは無償
  • Ansible対応
  • OpenStackの標準GUI Horizon対応

などです。

OpenStack準拠

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

 

「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

  • サーバー名指定
  • サーバータイプ選択
  • パブリックイメージ選択 例 CentOS 7.9
  • HDD サイズ指定 例 30GB

Fujitsu Cloud Service for OSS(4OSS)上にCentOS7のインスタンス構築設定 例

 

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

セットアップウイザード開始

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示されます(例 英語)

 

基本設定

  • サーバー名(Host名 Domain名を指定)
  • DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています)
  • 管理者のパスワード
  • 言語の表示切り替え設定 ( 例 Language で Japaneseを選択 )
  • タイムゾーン

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

 

Powere BLUE へログインをします

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

LDAPサーバー

LDAPサーバーとして

  • 389 Directory Server
  • OpenLDAP
  • Active Directory

などと連携させます。

 

リバースプロキシ側の設定 LDAP認証

  • LDAPサーバーへの接続先URLを指定( ldaps / SSL通信

 

 

SSLクライアント認証設定

リバースプロキシ側でのSSLクライアント認証 設定

  • Private-CA 機能により、SSLクライアント証明書を発行
  • SSLクライアント証明書でのSSLクライアント認証

 

SSLクライアント認証のアクセスコントロール

  • 時間帯や曜日によるアクセス制限
  • 部門によるアクセス制限

例 月曜日から金曜日 9時から18時 までの時間帯のみリバースプロキシへのアクセス許可

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

 

リバースプロキシでのリダイレクト設定

リバースプロキシ設定 リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート ( http / https / ポート番号 )を指定に対応
・終端までSSL通信での運用に対応  ( End-to-EndでのSSL通信 )
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

 

 

アクセス

SSLクライアント認証+LDAP認証でのアクセス手順

  • リバースプロキシへアクセス( SSLクライアント認証 )
  • LDAP認証( ID / Password入力 )
  • ターゲットWebへリダイレクト

 

 

 

冗長構成

冗長構成での運用
FJCloud-O 標準で提供のロードバランサーに対応。複数の認証機能対応&自動同期のリバースプロキシで処理を行い冗長構成での運用が可能です。

 

 

 

デモサイト

Powered BLUE 870 のデモサイト

 

 

]]> FUJITSU Hybrid IT Service FJcloud-Oにプライベート認証局(CA)を構築 & SSLクライアント認証をする https://www.mubit.co.jp/pb-blog/?p=13335 Thu, 08 Jul 2021 01:32:33 +0000 https://www.mubit.co.jp/pb-blog/?p=13335 富士通の運用する OpenStack ベースの FUJITSU Hybrid IT Service FJcloud-O で構築運用上にプライベートCAを構築して、Webページへのアクセス時にSSLクライアント認証をします。また既存のWebサービスへの認証には、リバースプロキシ/Reverse Proxy 経由で認証&リダイレクトでの運用を行ないます。一般的なOpenStackで同様の構成でのPrivate CAの運用も可能です。

例  Web / WordPress  / Roundcube / Mattermost などのWebページへのSSLアクセス認証

 

Private CA 機能の他に、SSLクライアント認証やリバースプロキシ-機能を持つPowered BLUE Private CA を利用します。サーバーの設定は全てGUIからの操作に対応しており、証明書の発行、失効なども簡単に自社管理での運用が出来ます。Let’s Encryptにも対応しており、WebサイトのSSLサーバー証明書の自動更新での運用も可能です。

Powered BLUE Private CA の 機能

  • プライベート CA (プライベート認証局)
  • SSLクライアント認証
  • Mail / Web / DNS  サーバー
  • Webサイト
  • WordPress
  • Mattermost / ビジネスチャット(拡張機能)
  • Roundcube / Webmail
  • Let’s Encrypt 対応
  • リバースプロキシー

などを1台のPowered BLUE Private CAで同時に運用出来ます。

運用例

仮想サイト A.co.jp  で以下のWeb サービスを同時に運用。既存環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワークの実現をサポート。

  • Let’s Encrypt でサイトのSSLサーバー証明書を利用
  • WordPressで一般向けWebを運用 (SSLクライアント認証なし)
  • WordPressで社員用Webを複数運用 (SSLクライアント認証)
  • Mattermost を運用 (SSLクライアント認証)
  • Roundcube を運用 (SSLクライアント認証)
  • リバースプロキシを運用 (SSLクライアント認証)

など

 

CA/リバースプロキシを分離での運用にも対応

別サーバーで運用のCAとの連携も出来ます

 

Fujitsu Cloud Service for OSS (4OSS)」の特徴は

  • OpenStack準拠
  • Ansible/Horizonからコントロール可能
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • オブジェクトストレージからのダウンロードにも費用がかからない
  • 回線費用は無償(ベストエフォート)

などです。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/06/fujitsu-11.png

 

 

FUJITSU Hybrid IT Service FJcloud-O上へのPowered BLUEのセットアップは以下も参照のこと

 「Fujitsu Cloud Service for OSS(4OSS)」上にCentOS 7のインスタンス構築設定

 「FUJITSU Hybrid IT Service FJcloud-O」上へのPowered BLUEのセットアップ

 

 

Powered BLUE Private CAの設定

サーバー起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは http 81 / 444 番です firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス 例 http://54.65.17.7:444

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-wizard11.png

管理サーバー名などを入力します

DNS などはEnterprise Cloudのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUIの表示は日本語となります。

Time-Zoneなどを適宜選択します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-wizard32.png

ウイザードの終了後に、サーバーへ再ログインします。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-pb-login11.png

管理サイト サーバー名等を設定します。

aws-pb-login2

NTPサーバーを指定します

aws-pb-login22

プライベートCAの構築

プライベートCAを運用する仮想サイトを設定します

ca-test3

CA証明書の作成

  • CA証明書の有効期限を設定
  • CAのパスワードを設定

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2017/05/ca-test2.png

以上でCAの構築は終了

 

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。

SSLクライアント証明書をダウンロードします

ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。

SSLクライアント証明書のブラウザへのインストール(IEの場合)

ツール - インターネットオプション - コンテンツ - 証明書 を選択

https://www.mubit.co.jp/products/blue/imgs/image.jpg

個人のタグを選択

個人の証明書ストアへインポートします

 

 

 

 

 

 

 

 

SSLクライアント認証の設定

Private CAとWebサーバーを同一の仮想サイトで運用の場合

  • 例 ca-test.mubit.jp で運用の場合

SSLサーバー証明書の登録

  • Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
  • 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応 で作成します。

自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)

  • 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
  • 自己署名によるSSLのサーバー証明書が登録されます。

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

  •  ドメイン認証証明書(DV:Domain Validation)
  •  組織認証証明書(OV:Organization Validation)
  •  EV証明書(EV:Extended Validation)

が登録出来ます

  • 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します

 

SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します

  • 中間証明書のインポートにも対応しています
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)

 

SSLクライアント認証を有効

https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にしますca-test4

 

Web Page  https://ca-test.mubit.jp へのアクセス

SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます

ca-test6

グループウエアへのアクセス例
SSLクライアント証明書が有効の場合

https://www.mubit.co.jp/sub/products/ca/img2/desknets0.png

SSLクライアント認証が無効の場合

 

Private CAとWebサーバーを異なるサイトで運用の場合

Webサービス用の仮想サイトを構築します

例 test-web.mubit.jp

ca-test7

test-web.mubi.jp サイトからPrivate-CA の運用サイト http://ca-test.mubit,.jp  とのcrl (失効リスト)の同期設定を行ないます

Webサーバーを運用するサイトには、SSLのサーバー証明書をインストールします

 

 

リバースプロキシ連携の場合

 

別サーバーで運用中のWebサーバーへのアクセス時にSSLクライアント認証

desknets / サイボウズ へのリバースプロキシの設定例

既存で運用中のWebサーバー(デスクネッツ/ サイボウズ)側の変更は不要です

 

既存のWebサービスとの連携

リバースプロキシによるSSLクライアント認証と既存のWebサービスとの連携の例 /多要素認証

  • MosP勤怠管理/MosP人事管理/MosP給与計算
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog
  • Mattermost

https://www.mubit.co.jp/sub/products/ca/img2/reverse-01.png

リバースプロキシ設定&有効化

Private-CA を運用のサイトでリバースプロキシも運用します

プライベート認証局のこの仮想サイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。

例 https://PrivateCAのサイト/demo/   -> http://www.zyx.co.jp/demo/

SSLクライアント認証でCA&デスクネッツへのアクセス - 承認された場合

有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例 (Firefox)

https://ca-test.mubit.jp/dneo/dneo.cgi

SSLクライアント認証後のMosP勤怠管理のログイン画面

2要素認証 —  MosPの認証画面

MosPへログイン後の画面

SSLクライアント認証後のdesknet’s NEOのログイン画面

2要素認証 —  デスクネッツネオの認証画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

desknet’s NEOへログイン後の画面desknets-neo-proxy2

SSLクライアント認証後のサイボウズのログイン画面

2要素認証 —  サイボウズの認証画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

サイボウズへログイン後の画面

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-21.png

 

SSLクライアント認証 / NTTデータイントラマートへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/intra-mart-login1.png

イントラマートへログイン後の画面intra-mart-login2

 

SSLクライアント認証 / X-pointのへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/xpoint-login-1.png

X-pointのへのログイン後の画面xpoint-login-2

 

SSLクライアント認証 / Active Mail のへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-1.png

Active Mailへログイン後の画面https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-2.png

 

SSLクライアント認証 / 楽々ワークフローII へのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/rakuraku-login-11.png

楽々ワークフローII へのログイン後の画面rakuraku-login-2

 

SSLクライアント認証 / eValue NSへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-1.png

eValue NS へのログイン後の画面https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-2.png

 

SSLクライアント認証 / FileBlogへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/fileblog-login-1.png

FileBlog へのログイン後の画面fileblog-login-2

 

SSLクライアント認証 / roundcubeのへのログインhttps://www.mubit.co.jp/plugin/roundcube/images/login.png

roundcube へのログイン後の画面

 

SSLクライアント認証 / ownCloudへのログインhttps://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/06/owncloud-ext-10-768x623.png

ownCloud へのログイン後の画面

 

SSLクライアント認証 /MosP人事管理へのログイン

MosP人事管理 へのログイン後の画面

SSLクライアント認証 /MosP給与計算へのログイン

MosP給与計算へのログイン後の画面

Mattermostへのログイン

 

LB / ロードバランサ / SSLクライアント認証 / リバースプロキシ-連携

 

 

Private CAとSSL VPNでのSSLクライアント認証連携

SSL-VPNでSSLクライアント認証後に指定のサーバーへアクセス
 SSL VPNでのSSLクライアント認証例

SSLクライアント認証を行なった上で、RDPなどでのアクセスが出来ます

 

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

  • 利用するアプリでのアクセス制限
  • 組織や部門でのアクセス制限
  • 曜日や時間帯でのアクセス制限
  • 特定ユーザーでのアクセス制限
  • 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

Powered BLUE Private CA へのフリープラグインなどのインストール

WordPressのインストール&セットアップ

Let’s Encryptのインストール&セットアップ

 Rouncubeのインストールセットアップ

ownCloudのインストール&セットアップ

php7 インストール&セットアップ

 

ワンタイムパスワード認証&SSLクライアント認証の併用

SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)及びリバースプロキシ機能までも1台のPowered BLUEサーバー上での運用も出来ます。 医療機関など、高度な安全性を求められる場面などに対応します 。

Powered BLUE ワンタイムパスワード認証アプライアンス

■アクセス手順
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示

*「OTP+任意パスワード」認証にも対応

 

 

デモサーバー

Powered BLUEの  デモサーバー

 

 

]]> SSLクライアント認証対応Mattermost / FUJITSU Hybrid IT Service FJcloud-Oに構築&運用 https://www.mubit.co.jp/pb-blog/?p=13273 Sat, 03 Jul 2021 03:22:20 +0000 https://www.mubit.co.jp/pb-blog/?p=13273 Mattermostは、手軽に運用ができるSlack互換のビジネスチャットです。MattermostはSaaS版の他にオンプレでの運用に対応しており、AWSをはじめクラウドや仮想基盤などの任意の場所で自社の管理下で運用が可能です。富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築します。一般的なOpenStackで同様の構成での運用も可能です。

コンプライアンス対応

クローズドネットワークやオンプレ環境で運用する必要のある場合のビジネスチャットとしては、Slack互換の機能を備えたMattermostは有効な選択枝の一つとなります。

コンパライアンス上、SaaSなどのチャットサービスを利用できない場合でも機密情報や個人情報を組織内に保存でき、ビジネスチャットサービスを運用することができます。

 

SSLクライアント認証でMattermostへアクセ

Mattermotstでセキュアなアクセスをさせる方法として、SSLクライアント認証でのアクセスがあります。

方法としては

  • Mattermostの運用サーバーにSSLクライアント認証を併用させる
  • SSLクラアイント認証のリバースプロキシ経由でMattermostのサーバーへアクセスさせる

2つの方法があります。

今回は、SSLクライアント認証対応のリバースプロキシでアクセスさせる方法を紹介します。

 

Mattermostの全エディションに対応

Mattermostは、無償のTem Edition / E10(AD /LDAP対応)/ E20 (SAML対応)などの各エディションがあります。SSLクライアント認証の機能については全エディションにアドオン出来ます。

 

設置場所

Mattermostの運用サーバーは、WANやLANの任意の場所に設置が出来ます。

Mattermostへは、SSLクライアント認証対応のリバースプロキシ経由でのアクセスに限定することで、リモートワーク環境でもセキュアなアクセスが可能です。重要情報を扱うビジネスシーンでもSSLクライアント認証経由でのMattermostならセキュアなアクセスが出来ます。

https://www.mubit.co.jp/img3/rev-proxy-loop-endlress-1.gif

 

SSLクライアント認証対応のリバースプロキシ

SSLクライアント認証&Mattermost機能を有しているアプライアンスとして、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE for Mattermost モデルを利用します。すべての機能を1台で運用することが出来ます。

  • リバースプロキシ機能
  • SSLクライアント認証
  • Private-CAによるSSLクライアント証明書発行
  • Mattermost機能
  • Mail/Web/DNS機能

 

Mattermostアクセス ポート

リバースプロキシ経由でMattermostへのアクセスの場合には、ユーザーはhttps ポート 443でのアクセスとなります。

  • https://xxx.yyy.zzz/

 

FUJITSU Hybrid IT Service FJcloud-O での構築

Powered BLUE for Mattermost」を富士通クラウド環境で構築する方法は

 FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応Powered BLUEをセットアップするを参照してください。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/06/fujitsu-11.png

 

「FUJITSU Hybrid IT Service FJcloud-O」はOpenStackに準拠しており、OpenStack環境のNTT communications社の「SDPF クラウド」や一般的なOpenStackで同様の構成での運用も可能です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

 

サーバーの設定

サーバー設定や運用からMattermostまでをすべてGUIから設定できます。

リバースプロキシ設定

・リバースプロキシ+SSLクライアント認証により、Mattermostへ安全にアクセスさせる運用が出来ます

ひとり情シス対応

サーバーの自己監視やパッチのアップデート機能を装備。ひとり情シス環境でも簡単に運用が出来ます、

 

SSLクライアント認証時のMattermostへのアクセス

 

ログ機能の強化

コーポレートガバナンスなど企業用途で利用の場合に必要となるMattermostのログの機能を強化することが出来ます。

運用例
・Mattermostのログを任意の期間で保存 ( 例 ログを3年間 保存 )
・任意キーワードでのトラップ設定 (例 ログインエラーの場合に通知 )
・社内のログサーバーへMattermostのログを転送

 

クローズドネットワークでの運用

閉域網でのMattermostの運用にも対応しています

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。

 

 

]]> OpenStack対応 Azure AD連携SAML認証のリバースプロキシを構築 / FUJITSU Hybrid IT Service FJcloud-Oで運用 https://www.mubit.co.jp/pb-blog/?p=13190 Sun, 27 Jun 2021 02:26:30 +0000 https://www.mubit.co.jp/pb-blog/?p=13190 富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にSAML認証のリバースプロキシを構築します。IDaaS/idPのAzure ADを利用して、テレワークで社内LAN側に設置のWebサーバーにSAML2.0対応のSP機能を持つリバースプロキシ/Reverse Proxy経由でアクセスする場合の構成です。Azure AD アプリケーションプロキシは使用しません。

SP/リバースプロキシの冗長化による負荷分散やマルチリージョン(マルチAZ)での運用も可能です。

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

FUJITSU Hybrid IT Service FJcloud-O での構築

Powered BLUE Reverse Proxy for SSO/IDaaS」を富士通クラウド環境で構築する方法は

 FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応Powered BLUEをセットアップするを参照してください。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/06/fujitsu-11.png

 

FUJITSU Hybrid IT Service FJcloud-OはOpenStackに準拠しており、一般的なOpenStackで同様の構成での運用も可能です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

Azure AD アプリケーションプロキシは未利用

Azure AD のSAML認証機能とSAML認証に対応のリバースプロキシのみを利用します。Azure AD アプリケーションプロキシは使用しないため、Windows環境に依存しない汎用的なWebサーバーへのアクセスをターゲットとした構成が組めます。またAzure ADの認証とは別にSP/リバースプロキシ上でSSLクライアント認証などの独自の認証を設定することができます。

  • idP / Azure AD
  • SP / SAML対応リバースプロキシ

 

ゼロトラスト対応

SAML認証対応のリバースプロキシは、「ID認識型リバースプロキシ」として動作します

idPと連携するゼロトラストでの運用となります

ID管理や端末のアクセス設定などのゼロトラスト関連の事項は、すべてidP/Azure AD側で設定をします

Azure AD アプリケーションプロキシとは異なり

  • エージェントは不要
  • ターゲットネットワーク側のプロキシコネクタは不要

のため、「idP」と「ID認識型リバースプロキシ」のみで導入が出来ます。またエージェントなどが不要のためリバース先のWebサイトのOSなどに制約はありません(任意のOSに対応)

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

 

リモートワーク&ブラウザ

リモートワーク時の社内Webへのアクセスに際して、モバイル用の閉域網やVPN、専用のエージェントなどは不要です。ユーザーはブラウザのみで利用できます。

https://www.mubit.co.jp/sub/products/blue/img2/burauza-1.png

 

idP(アイデンティティ・プロバイダ)

https://i2.wp.com/techlife.tokyo/wp-content/uploads/2018/07/AzureAD.png?resize=768%2C311&ssl=1

idPとしてはSAML2.0に対応した Azure ADの他、TrustLogin、G suiteやCloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

 

ID認識型リバースプロキシ

SPとしては、SAML2.0に対応した「ID認識型リバースプロキシ」機能を持つPowered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

この製品は

  • SAML2.0対応のWeb&リバースプロキシ機能
  • Web/Mail/DNS/ftp(インターネットサーバー機能)
  • Let’s Encrypt (フリープラグインで提供)
  • 仮想アプライアンス
  • SSLクライアント認証
  • ワンタイムパスワード認証
  • ひとり情シスでの運用に対応

のリバースプロキシ・アプライアンスです。CentOSやRedHatに対応しておりAzure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

自社で運用出来るリバースプロキシでは、idPの認証の他にリバースプロキシ独自で、SSLクライアント認証やワンタイムパスワード認証を設定することが可能です。社内LAN側へのアクセスに際して自社のポリシーを個別に適用したい場合などには有効です。

 

ユーザーアカウント不要

SP側のリバースプロキシサーバーにはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、内部のWebサーバーへ中継させることが出来ます。またグループアクセスでのコントロールに対応しています。

グループアクセスコントロール 例

  • 営業部・開発部・支店のみにアクセスを許可
  • 管理職のみにアクセスを許可
  • 社員・会員・代理店のみにアクセスを許可

SP側のリバースプロキシにはユーザーアカウントがないため、SP側のリバースプロキシからのアカウント漏洩の心配はありません。またアカウントがないので運用が簡単です。

 

SP(サービス・プロバイダ)

「Powered BLUE Reverse Proxy for SSO/IDaaS」をSAML2.0のSP(サービスプロバイダ)として設定します

 

SAML2.0の設定例

http://wp-sam.mubit.jp/ 以下の指定ディレクトリにSAML2.0の認証を設定する例です

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

 

構成例

ID認識型リバースプロキシでの設定例です

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

SAML/SP リバースプロキシのWebサイト

例 https://wp-sam.mubit.jp

  • リバースプロキシ上でSAML2.0の認証を行います
  • SAML認証後に、リバースプロキシにより指定のサイトへリダイレクトさせます

例 社内のSharePointへアクセス

https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

例 社内のWeb Mailへアクセス

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

ネットワーク構成

ブログのサイトへリレイ

idPSP (Reverse Proxy )https://wp-sam.mubit.jp/blog ⇒ https://sni-1.mubit.jp/blog/

 

Webメールのサイトへリレイ

idPSP (Reverse Proxy )https://wp2-sam.mubit.jp/webmail/ ⇒ https://sni-1.mubit.jp/webmail/

 

設定構成

以下のようなリバースプロキシ構成での設定例です

例 User ⇒ https://wp-sam.mubit.jp/blog ⇒ https://sni-1.mubit.jp/blog/

例 User ⇒ https://wp2-sam.mubit.jp/webmail/ ⇒ https://sni-1.mubit.jp/webmail/

 

SP側の設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例 http://wp-sam.mubit.jp

 

Webサーバの有効化

Webサーバーを有効にする にチェックを入れます

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。

SSLのサーバー証明書としては

  • サイトのSSL自己証明
  • パブリックなSSLサーバー証明書
  • Let’s EncryptでのSSLサーバー証明書

に対応しています。

 

WebサイトのSSL自己証明の場合

SSLを有効にする にチェックを入れます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/B870-saml-2.png

 

パブリックなSSLサーバー証明書の場合

必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/csr-1.png

  • 「署名リクエストの作成」でファイルを保存
  • 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

signing-req-1

  • 公的機関で発行された、サーバー証明書を 「インポート」 します
  • 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/ssl-import-1.png

 

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

「インストール」 ボタンをクリック

 

Let’s Encryptインストール後に 「有効にする」 にチェックを入れます

 

リバースプロキシ

作成した仮想サイトにリバースプロキシを設定します

例 https://wp-sam.mubit.jp/blog/  ⇒ https://sni-1.mubit.jp/blog/

例  https://wp2-sam.mubit.jp/webmail/⇒ http://sni-1.mubit.jp/webmail/

 

 

SAML2.0設定

SAMLのエンドポイントを指定します  例 /

idP側のxmlのメタデータをSPへインポートします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

idP側で作成のメタデータ(xml)をアップロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-14.png

SAML2.0の認証をかけたいdirを指定します

例 /blog

https://wp-sam.mubt.jp/blog/   にSAML認証が適用されます

グループアクセスでのコントロールが不要の場合には、SP側はここまでの設定です。

 

 

attributeの指定

グループでのリバースプロキシへのアクセスコントロールを行なう場合に、attributeを追加で設定します

それぞれのパスに対して、idP側で設定の attribute-value もしくは ロール の指定が出来ます

部門毎やグループ毎などにリバースプロキシへのアクセスコントロールを行ないたい場合には、便利な機能です。

  • 例 営業部・開発部・総務部はidPでリバースプロキシへのアクセスを許可する
  • 例 特定の役職以上はリバースプロキシへのアクセスを許可する

attribute=”groups”    value=”  mbt”  でのアクセスを許可の場合の設定例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-17.png

 

samlの有効化

設定のSAMLを有効にします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-15.png

 

 

idPの設定

idP/IDaaSでSAML2.0をサポートしていれば、Powered BLUE Web for SSO/IDaaSと接続が出来ます。

今回はidPとしてAzure ADを利用します

 

Azure AD の前提条件

  • Azure AD Premium

 

エンタープライズ アプリケーションブレード

自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。

  • お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Azure Active Directory ポータルにサインインします。
  • Azure Active Directory を選択
  • [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  • (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
  • [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。

  1. 新しいアプリケーションの表示名を入力します。
  2. [追加] を選択します。

この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。

 

SAMLを選択

① 基本的なSAML構成を選択

idp側のxmlを読み込み

メタデータファイルをクリック

idPに読み込むメタデータファイルの指定(SP側のxmlファイル)

もしくは、以下の項目をxmlの内容に沿って記述します

Azure AD SAML の設定例

SAMLの項目

SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。

エンティティID

https://wp-sam.mubit.jp/endpoint/metadata

 

応答URL (Assertion Consumer Service URL )

https://wp-sam.mubit.jp/endpoint/postResponse

 

サインオンURL

https://wp-sam.mubit.jp/develop-dep/

 

リレー状態

空欄でも可能

 

ログアウトURL

空欄でも可能

② ユーザー属性とクレーム

必要に応じて設定

③ SAML署名

idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します

グループアクセスコントロールが不要の場合には、ここまでの設定となります

Validate

idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。

例 現在のユーザーとしてサインイン

エラーが表示される場合には、メッセージをコピーします

エラーが表示される場合には、メッセージをクリップボードに貼り付けると修正方法が、サジェスチョンされます

エラーを適宜修正して、正常にアクセス出来ればセットアップは終了です。

SAMLアプリケーションにユーザーとグループのアサイン

作成したSAMLアプリケーションを利用出来る、ユーザーやグループを割り当てます

  • アプリケーションのサイドバーで、 [ユーザーとグループ] を選択します。 [<アプリケーション名> – ユーザーとグループ] ページが表示され、割り当てられたユーザーとグループの現在の一覧が示されます。
  • [ユーザーの追加] を選択します。 [割り当ての追加] ページが表示されます。
  • [ユーザーとグループ] (選択した <数>) を選択します。 [ユーザーとグループ] ページが表示され、使用可能なユーザーとグループの一覧が示されます。
  • 一覧から割り当てるユーザーまたはグループを入力するか、スクロールして見つけます。
  • 追加する各ユーザーまたはグループを選択し、 [選択] ボタンを選択します。 [ユーザーとグループ] ページは表示されなくなります。
  • [割り当ての追加] ページで [割り当て] を選択します。 [ – ユーザーとグループ] ページが表示され、追加ユーザーが一覧に示されます。

https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/media/configure-single-sign-on-non-gallery-applications/application-users-and-groups.png

 

シングルサインオンでの認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/11/idp-sso-1.png

* SP initiated SAML および idP initiated SAMLに対応

 

アクセス

https://wp-sam.mubit.jp/develop-dep/

 

初回

シングルサインオンでは、一度  idP/Azure AD  へのログイン

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ターゲットのwebページ

SAML認証後に設定のターゲットのWebページが表示されます

share point

https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

wordpress

 

IIS / Web

 

 

web mail

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/roundcube-0.png

 

サイボウズ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

SSO/SAML認証対応のアプリ

SAML認証対応の各種アプリとシングルサインオンでアクセスができます。

 

多要素認証

idP側の認証とは別に、「Powered BLUE Web for SSO / IDaaS」のSP上で単独で

  • SSLクライアント認証
  • ワンタイムパスワード認証

を設定して運用する事が出来ます

社内Webサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた認証を別途設定したい場合には有効です。

 

SSLクライアント認証

SP上でPrivate CAを運用 SSLクライアント証明書を発行してSSLクライアント認証によるアクセスコントロールが出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-11.png

 

OTP/ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-12.png

 

SP/リバースプロキシの冗長構成

SP側のリバースプロキシを2重化して、シングルサインオン/SAML認証でのアクセスを分散させる冗長構成にも対応しています。

 

HA構成

FJCloud-Oの ロードバランサーでの負荷分散

 

シングルAZ + ロードバランサーhttps://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-3.png

 

マルチAZでの運用構成

GSLBやRoute53などを利用してのマルチAZでの運用に対応

異なるアベイラビリティゾーンでの運用により耐障害性の向上

  • リージョンA / 東日本データセンター
  • リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/blue/img2/lb-sso-rev-2.png

 

クラウドやWAN側に設置のWebの認証を強化

認証対応のリバースプロキシ経由でのみWebへアクセスおよび End-to-End でのSSL通信を行う運用で、セキュリティを確保します

クライアント (https)  ⇒ リバースプロキシ (https) ⇒ ターゲットWeb  (https)

リバースプロキシの冗長化の場合も含めて、途中でSSL通信をターミネートすることなく、全通信経路でのSSL通信に対応しています。ターゲットWebがWAN側に設置の場合でもセキュアなアクセスが出来ます。

 

 

 

idPの費用を抑えたい場合

IdPの費用を抑えてSAML認証で運用したい場合には、Azure ADと同様の機能を持ち、idPの基本機能は無料で利用出来るGMOグローバルサイン社のIDaaSサービス「TrustLogin」や 自社管理で運用できるidP「Keycloakアプライアンス」をFJcloud-O環境で運用することも出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif TrustLoginを利用 / SAML対応のリバースプロキシで社内webへ安全にアクセス

 

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif KeycloakとAD認証やLDAP連携でSAML認証対応リバースプロキシ経由でWebへアクセス

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。

 

]]> OTP-ワンタイムパスワード認証付属のリバースプロキシを構築 / FUJITSU Hybrid IT Service FJcloud-Oで運用 https://www.mubit.co.jp/pb-blog/?p=13163 Sat, 26 Jun 2021 05:15:14 +0000 https://www.mubit.co.jp/pb-blog/?p=13163 OTP / ワンタイムパスワード認証対応のWebポータルサイトの構築・運用例です。ポータルサイトには、リバースプロキシ機能を付加することによりワンタイムパスワードの認証後に任意のWebサイトへリダイレクトさせる運用が出来ます。

既存で運用のWebサイト側の変更は不要です。ワンタイムパスワード認証に対応のリバースプロキシを設置するだけで簡単にワンタイムパスワード認証システムの導入が出来ます。

富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築します。一般的なOpenStackで同様の構成での運用も可能です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

 

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

  • ワンタイムパスワード認証
  • ID/パスワード認証
  • リバースプロキシによるリダイレクト

までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。

 

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

 

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例

Google Authenticator のインストール & セットアップ方法
Microsoft Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

 

FUJITSU Hybrid IT Service FJcloud-O での構築

Powered BLUE 870/OTP-Rev」を富士通クラウド環境で構築する方法は

 FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応Powered BLUEをセットアップするを参照してください

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/06/fujitsu-11.png

 

Powered BLUE 870/OTP-Revの設定

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

  • 仮想サイト & 認証のディレクトリ(例 トップdir /  にワンタイムパスワード認証設定の場合 )

 

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例 鈴木 二郎 へワンタイムパスワード認証を有効に設定

 

QRコードの表示

  • ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
  • QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
  • QRコードは、ユーザー毎に異なります

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

QRコードの登録&表示

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

 

リバースプロキシの設定画面

ワンタイムパスワード認証&リバースプロキシ

https://xxx.yyy.com/   ⇒  https://www.powered.blue/

*複数のリバース先を指定できます

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

リバースプロキシ先のWebアプリなど

SharePointへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/share-point-1.png

 

サイボウズへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

WordPressへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

 

HA / 冗長化

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

 

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

https://www.powered.blue/sub/products/img2/single-az-rev-2.png

 

 

ロードバランサー配下での構成

  • シングルAZ + ロードバランサー

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-2.png

 

マルチAZでの構成

  • マルチAZ + GSLB or Route53
  • リージョンA 東日本データセンター
  • リージョンB 西日本データセンター

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-3.png

 

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

  • Webサイト構築・管理機能
  • SSLクライアント認証&ワンタイムパスワード認証に対応
  • リバースプロキシ
  • インターネットサーバー機能

までを1台で運用できる https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。

 

SSLクライアント認証でのアクセスコントロール

  • SSLクライアント認証の有効化

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、 FUJITSU Hybrid IT Service FJcloud-O の他にも

  • VMware / Hyper-V
  • AWS/EC2 (AMI対応)
  • Azure
  • Enterprise Cloud / NTT communications
  • スマートコネクトVPS / NTTスマートコネクト
  • WebARENA / NTTPC コミュニケーションズ
  • ALTUS (アルタス)/ GMOクラウド
  • VPS

などでも運用が可能です。

 

終わりに

ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。

 

]]> FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応インターネットサーバー Powered BLUEをセットアップする https://www.mubit.co.jp/pb-blog/?p=13119 Wed, 23 Jun 2021 04:23:28 +0000 https://www.mubit.co.jp/pb-blog/?p=13119 富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上にオールインワンのWebサーバーアプライアンス「Powered BLUE 870 インターネットサーバー」をセットアップする手順です。一般的なOpenStackで同様の構成での運用も可能です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/pb-log-600x600.png

 

FUJITSU Hybrid IT Service FJcloud-Oの特徴は

  • OpenStack準拠
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • 回線費用は無償(ベストエフォート)
  • オブジェクトストレージからのダウンロード費用は無償(ベストエフォート)
  • Firewallは無償
  • Ansible対応
  • OpenStackの標準GUI Horizon対応

などです。

OpenStack準拠

FUJITSU Hybrid IT Service FJcloud-Oはアベイラビリティゾーンとして、OpenStackに準拠のjp-east3 / jp-west3 が選択出来ます。

jp-east3 / jp-west3ではansibleからの操作やOpenStack標準のGUIコンソールHorizonなどからも使用可能です。ansibleでのネットワーク構築からサーバー構築や設定までを一気通関で行なうことが出来ます。

また単一ゾーン構成でのSLA 99.99%をサポートしています。HA構成時に特定の仮想マシンが常に違うホストで実行されるアンチ・アフィニティ機能もサポート。特に支障が無ければ、アベイラビリティゾーンとして jp-east3 / jp-west3 での運用を推奨します。

 

オブジェクトストレージからのダウンロードに課金されない

FUJITSU Hybrid IT Service FJcloud-Oのネットワークの通信費用は、ベストエフォートの固定料金です。Firewallも標準で付属しており使用に際して、別途の費用は不要です。

またオブジェクトストレージのデータアップロード&ダウンロードにも費用はかかりません ( AWSや他社のクラウドサービスでは、オブジェクトストレージからのダウンロードに課金されます)。

インターネット側の回線もベストエフォートを選択することで、固定の通信費用での運用が出来ます(従量課金ではありません)。

 

インターネットサーバー

Powered BLUE 870 サーバーは、Mail / Web / DNS などのインターネットサーバー機能を「FUJITSU Hybrid IT Service FJcloud-O」上に構築の1台のPowered BLUE で運用することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 サーバー

基本機能 Web / Mail / DNS / ftp
フリープラグイン Web mail (Roundcube) / php7.x  / Let’s Encrypt / WordPress
オプション プライベート CA / SSLクライアント認証

ワンタイムパスワード認証

SAML認証

AD認証

生体認証( FIDO2 / WebAuthn )

リバースプロキシ

フォワードプロキシ
 サードパーティソフト desknet’s  /  サイボウズ /  監視ソフト /  Mattermost  /  他

「FUJITSU Hybrid IT Service FJcloud-O」のCentOS 7.x  などのオフィシャルテンプレートから作成したインスタンスに、Powered BLUE 870のモジュールを組み込んだサーバーを提供します。( RedHat 7.xも選択可能 )

 Powered BLUE 870 Server Spec   内容
  OS   CentOS 7.x  /  RedHat OS 7.x
  CPU / memory / HDD / Ethernet   1-vCPU (Min)  / 1024MB(Min) / 30GB(Min) / Ether x 1 (Min)

 

尚Powered BLUEのインストールに際して「FUJITSU Hybrid IT Service FJcloud-O」の基盤側では、以下のrouter,network,firewall,dhcp関連の事前設定が必要です。(通常はdhcp関連の項目は設定済です)

 router / network / firewall   インストール時にはポート 22 / 81 / 444 にアクセス出来ること
 dhcp   dhcp 有効
 IPアドレス割り当てプール   dhcpで自動払い出し対象とするIPv4アドレスのレンジを設定
 ゲートウェイIP   dhcp機能で自動で払い出す、デフォルトゲートウェイのIPv4アドレスを設定
 DNSサーバー   dhcp機能で自動で払い出す、DNSサーバーのIPv4アドレスを設定

またインストール時には

  • WAN側にアクセス出来ること
  • DNSはインターネット側の名前を解決出来ること
  • Firewall などはポート 22 / 81 / 444 にアクセス出来ること

などが必要です。

 

 

上記の設定後に、「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

  • サーバー名指定
  • サーバータイプ選択
  • パブリックイメージ選択 例 CentOS 7.9
  • HDD サイズ指定 例 30GB

Fujitsu Cloud Service for OSS(4OSS)上にCentOS7のインスタンス構築設定 例

 

ご利用者側では、セットアップウィザードからPowered BLUE サーバーの設定を行ないます。

セットアップウイザード開始

http://xxx.yyy.zzz.xyz:444/

クラウド基盤のインスタンスのデフォルトの言語で表示(FJcloud-O は英語がデフォルト

 

基本設定

  • サーバー名(Host名 Domain名を指定)
  • DNS (デフォルトでは、クラウド基盤からアサインされたIPが入っています)
  • 管理者のパスワード
  • 言語の表示切り替え設定 ( 例 Language で Japaneseを選択
  • タイムゾーン(日本時間を選択

などを設定

プライマリインターフェースのIPアドレスやgatewayは、クラウド基盤側からアサインされたものを変更せずにそのまま利用します

DNSなどは適宜変更可能です。

GUI表示を英語版から日本語へ切り替えます

ウイザードの終了後に、サーバーへ再ログインします

 

Powere BLUE へログインをします

admin のパスワードは、セットアップウイザードで指定したパスワードを入力します

 

NTPサーバーの指定

 

パッチのアップデート

  • リストアップされたパッチを「アップデート実行」ボタンを押して適用します
  • kernel などをアップデートした場合には、アップデートの終了後にサーバーを再起動してください

 

パッチの自動更新方法

  • パッチアップデートの自動更新での運用に対応(毎時・毎日・毎週など)
  • 再起動の必要なモジュールを除外してのパッチアップデートでの運用を指定

例 毎日 0時12分に自動アップデート

例 kernel*   glib* 関連のパッケージはアップデートしない指定

 

仮想サイトの作成

  • 追加ボタンを押します

 

仮想サイトの設定

  • IPアドレス
  • ホスト名 ドメイン名
  • 各種パラメータ

を設定します

 

Webサイトを公開

  • 仮想サイトのWebを公開する場合、Webサーバーを有効にするにチェックを入れます

 

セキュリティの指定

運用するWebサイトのバージョン情報の非公開やWebサイトのTLSレベルなどを指定できます

  • バージョン情報を公開しない
  • PHPヘッダの応答をしない
  • Traceメソッドの無効化
  • TLSレベルの指定

 

 

仮想サイトのWebページへアクセス

  • デフォルトのWebページが表示されます
  • Webページは、フリープラグンのWordPressなどでの管理も出来ます
  • Let’s Encrypt でのWebページのSSLサーバー証明書のインストール&自動更新に対応

 

2nd Ethernetの設定

Powered BLUE はデフォルトでは プライマリインターフェース / eth0 のみで動作します。LANからのアクセスの為に2個目以降のインターフェース / eth1を追加することに対応しており、管理GUIへは、LANからのみのアクセスでの運用などが可能です。

 

 

 

ログの長期保存やトラップ(オプション)

syslog サーバーとしても運用が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/05/syslog-5.png

  • シスログ送信・中継・受信の3モードでの同時運用に対応
  • 拠点間のログの安全な送受信
  • port指定に対応 ( UDP / TCP / RELP / TLS )
  • TLS認証に対応
  • 送信キューに対応

 

  • 複数サーバーのログ受信および保存

 

ログの保存期間 (設定例)

  • 受信ログは毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年

 

 

 

Powered BLUE サーバー設定

  • FJCloud-O への Powered BLUE サーバー設定後の引き渡しにも対応
  • 社内監査対応など

 

 

 

Powered BLUE 870 へのフリープラグインなどのインストール

WordPressのインストール&セットアップ(Webページ作成ツール)

Let’s Encryptのインストール&セットアップ(Webサイトの常時SSL化)

 Rouncubeのインストールセットアップ(Web Mail)

ownCloudのインストール&セットアップ (オンラインストレージ:オブジェクトストレージと連携出来ます)

php7 インストール&セットアップ

 

Powered BLUE のカスタムモデル(オプション機能)

プライベートCA / SSLクライアント認証アプライアンス

ワンタイムパスワード認証アプライアンス

リバースプロキシアプライアンス

 

デモサイト

Powered BLUE 870 のデモサイト

 

富士通マーケットプレース

FUJITSU Hybrid IT Service FJcloud-O

FUJITSU Hybrid IT Service FJcloud-Oのマーケットプレイス

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください

 

 

]]> Fujitsu Cloud Service for OSS(4OSS)上にSSLクライアント認証やワンタイムパスワード認証とリバースプロキシ機能を持つWebサイトの構築と運用 https://www.mubit.co.jp/pb-blog/?p=6515 Wed, 30 Jan 2019 11:56:08 +0000 https://www.mubit.co.jp/pb-blog/?p=6515 富士通が運用するOpenStackのクラウド基盤 Fujitsu Cloud Service for OSS(4OSS) 上にWebアクセス時の多要素認証サーバーを構築します。

一般的なOpenStackでも、同様の構成でSSLクライアント認証&ワンタイムパスワード認証およびリバースプロキシ機能付きのWebサーバーの構築&運用が出来ます。

 

Webアクセス時の多要素認証

働き方改革によりテレワークやリモートワークで社内のWebサーバーにアクセスする際に、利用者が多要素認証やセキュリティを確保した上でブラウザから簡単にアクセスが出来るWeb サーバーです。

https://www.mubit.co.jp/sub/products/blue/img2/pc-mobile-web-1.png

ブラウザでのリモートアクセス

https://www.mubit.co.jp/sub/products/blue/img2/brauza-1.png

Webサイトへのアクセス時の認証としては、多要素認証(SSLクライアント認証やワンタイムパスワード認証 / Multi Factor Authentication )を併用出来ます。PCやスマフォ、モバイル端末とブラウザのみで利用が可能です。VPNや閉域網などは使用しません。

また既存のWebサイトへのアクセスについては、多要素認証後にリバースプロキシ機能により既存のWebサーバーへリダイレクトさせます。既存のWebサイト側は変更することなく多要素認証機能の導入が可能です。ID/パスワードとSSLクライアント認証もしくはワンタイムパスワード認証などの2要素認証での運用も出来ます。

 

パスワードの流出時も安心

いつも使っている使いまわしのパスワードが流出した場合でも安心です。ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。またSSLクライアント認証ではSSLクライアント証明書のないユーザーはアクセスが出来ません。いつも使っている「使いまわしのパスワード」と「ワンタイムパスワード認証」や「SSLクライアント認証」などにより、出先から安全にアクセスさせることが出来ます。

 

利用する機器

多要素認証(SSLクライアント認証やワンタイムパスワード認証)を持つWebサーバーを簡単に構築&運用が出来る機能とリバースプロキシ機能までを備えたオールインワンのWebアプライアンス  「Powered BLUE Web Station」 を利用します。

このアプライアンスサーバーは、自社独自の多要素認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。

Webサイトに多要素認証を設定したり、特定のディレクトリ以下に多要素認証を設定するなどの多彩な形態で運用ができます。

またリバースプロキシ機能も有しており、既存のWebサイトへのアクセス連携にも対応しています。

Powered BLUE Web Station

 

Powered BLUE Web Stationの機能

機能 有無
Web サーバー機能
SSLクライアント認証
ワンタイムパスワード認証
リバースプロキシ
インターネットサーバー機能 / Mail / DNS / ftp
Let’s Encrypt & 自動更新
WordPress (CMS)
Roundcube (WebMail)
ownCloud (オンラインストレージ)
php 7.x 対応
サードパーティソフト 対応
CentOS / RedHat 7.x 対応

 

使用するもの

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/openstack-1.jpg

 

Powered BLUE Web Stationでの運用

ウェブステーション上に仮想Webサイトを1サイト作成して、サイト内に

●WordPress を設定 (Web)
●WebサイトにLet’s Encryptを設定 (SSLのサーバー証明書 / 自動更新対応)
●ownCloud を設定 (オンラインストレージ)
●Roundcube を設定(Web Mail)
●グループウエアを設定 ( サイボウズ / デスクネッツ)
●WebサイトにSSLクライアント認証を設定
●Webサイトにワンタイムパスワード(OTP)認証を設定
●WebサイトにSSLクライアント認証&ワンタイムパスワード認証を設定(多要素認証)
●リバースプロキシを設定
●DNSを設定
●メール送受信を設定

などを1台で運用することが出来ます。

 

Powered BLUEの構築&設定

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Fujitsu Cloud Service for OSS(4OSS)にCentOS/RedHat対応のPowered Blueをセットアップする

に沿って、「Powered BLUE 870」サーバーの設定します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/09/k5-21.png

 

仮想サイトを作成

Webサイトを運用する仮想サイトを作成します

例 test-opt.mubit.com

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-site-1-1-624x328.png

 

ワンタイムパスワードの認証設定

仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する

  • 仮想サイト&ディレクトリを指定
  • 例 サイトのトップdir /  に 認証設定の場合
  • SSL接続強制の有無

などを指定します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-1-1-624x249.png

共有鍵の表示

  • ユーザーアカウントの作成
  • OTP認証設定を有効にします
  • ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
  • QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-5-3-2.png

 

ソフトウエア・トークン

ユーザー側で利用するワンタイムパスワードを生成するトークンは、無償のソフトウエアトークンなどが利用できます
●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

 

利用端末の設定

ユーザーが利用する端末へのソフトウエアトークンのインストールは

を参照下さい

OTP認証機能

  • ワンタイムパスワード認証対応のWeb サイトを構築&運用
  • ワンタイムパスワード認証のユーザー管理機能

 

認証のステップ

1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示

 

プライベートCAの構築

プライベートCAを運用する仮想サイトを設定します。同一の仮想サイトに対して、SSLクライアント認証とワンタイムパスワード認証の併用(多要素認証)の設定での運用も出来ます。

ca-test3

CA証明書の作成

  • CA証明書の有効期限を設定
  • CAのパスワードを設定

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2017/05/ca-test2.png

以上でCAの構築は終了

 

SSLクライアント証明書の発行

プライベートCAでSSLクライアント証明書を発行。クライアント証明書は、会社や部門全体での一括発行や、1ユーザーごとの個別の発行が出来ます。

SSLクライアント証明書を個別発行の場合(1枚発行の場合)

例 suzuki@mubit.com ユーザーのクライアント証明書を作成

有効期限などを指定して発行します

有効期間やポリシーを設定して、「部門や全社員の一括発行」なども対応しています。

SSLクライアント証明書をダウンロードします

ユーザーが個別に、発行されたSSLクライアント証明書をURL通知でダウンロードさせることも出来ます。

SSLクライアント証明書のブラウザへのインストール(IEの場合)

ツール - インターネットオプション - コンテンツ - 証明書 を選択

https://www.mubit.co.jp/products/blue/imgs/image.jpg

個人のタグを選択

個人の証明書ストアへインポートします

 

 

 

 

 

 

 

 

SSLクライアント認証の設定

Private CAとWebサーバーを同一の仮想サイトで運用の場合

  • 例 ca-test.mubit.jp で運用の場合

SSLサーバー証明書の登録

  • Webサーバーを運用するサイトへSSLのサーバー証明書を登録します
  • 「自己署名デジタル証明書の作成」 または 「署名リクエストの作成」または https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応 で作成します。

自己署名デジタル証明書の作成の場合 (プライベートSSLサーバー証明書の場合)

  • 「自己署名デジタル証明書の作成」から必要事項を記入して、SSLを有効にします
  • 自己署名によるSSLのサーバー証明書が登録されます。

署名リクエスト / CSR で作成の場合 (パブリックSSLサーバー証明書の場合)

公的なSSLサーバー証明書を登録の場合には、ブラウザへの警告メッセージ

「このWebサイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではありません」

を抑制することが出来ます

SSLのサーバー証明書は

  •  ドメイン認証証明書(DV:Domain Validation)
  •  組織認証証明書(OV:Organization Validation)
  •  EV証明書(EV:Extended Validation)

が登録出来ます

  • 必要事項を記入して、 「署名リクエストの作成」 ボタンを押します

 

SSLサーバー証明書のインポート公的機関で発行された、サーバー証明書を 「インポート」 します

  • 中間証明書のインポートにも対応しています
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Let’s Encrypt対応(Let’s EncryptのSSLサーバー証明書も組み 込めます
  • https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  SNI対応 (IPアドレス1個で複数のWebサイトのSSL化)

 

SSLクライアント認証を有効

https://ca-test.mubit.jp へアクセス時のSSLサイトのクライアント認証を有効にしますca-test4

 

SSLクライアント認証の構成

  • SSLクライアント認証対応のWebサイトを構築&運用
  • SSLクライアント証明書の発行・失効やSSLクライアント認証の機能

 

SSLクライアント 認証例

Web Page  https://ca-test.mubit.jp へのアクセス

SSLクライアント認証が有効の場合 / Web ページへアクセスが出来ます

SSLクライアント証明書 〇 SSLクライアント証明書 ✕

 

SSLクライアント 認証&ワンタイムパスワード認証の併用

ワンタイムパスワードを表示させる

Web Page  https://test-otp.mubit.com へのアクセス

SSLクライアント認証が有効の場合 / ワンタイムパスワード認証 ページへアクセスが出来ます

ワンタイムパスワードの認証後にターゲットのWebページが表示されます

SSL VPN & SSLクライアント認証

SSL VPN機器と連携して、ブラウザからSSLクライアント認証を利用してセキュアにアクセスさせることが出来ます。

運用例

  • SSL-VPNへアクセス時のSSLクライアント端末認証
  • SSL-VPN経由で社内の RDP Sever へアクセス
  • SSL-VPN経由で社内の Web Server へアクセス
  • SSL-VPN経由で社内の File Server へアクセス

https://www.mubit.co.jp/sub/products/blue/img2/Sonic-SSL-VPN-3.png

 

 

多要素認証 & Reverse Proxy

1)多要素認証 (SSLクライアント認証やワンタイムパスワード認証 )
2)認証後にリバースプロキシでリダイレクト
3)ターゲットのWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

 

リバースプロキシの設定例

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

 

既存Webサイトの認証強化

Powered BLUE Web Stationは、仮想サイト上でのリバースプロキシの同時運用にも対応しており、認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。

多要素認証&リバースプロキシ連携 例

  • MosP勤怠管理 / MosP人事管理 / MosP給与計算
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog
  • 社内Web

 

MosP勤怠管理への認証例

 

サイボウへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

Active! Mailへの認証例

activegate-1

 

Roundcubeへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/06/roundcube-10-624x342.png

 

NTTデータイントラマートへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/intra-mart-login1.png

 

X-pointへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/xpoint-login-1.png

 

楽々ワークフローIIへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/rakuraku-login-11.png

 

eValue NSへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-1.png

 

FileBlogへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/fileblog-login-1.png

 

Aipoへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/04/aipo-1.png

 

Power eggへの認証例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/powere-egg-1.png

 

デモサイト

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

Fujitsu Cloud Service for OSS (4OSS) の設定&構築

4OSS  GUIからの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する

4OSS  リモートコンソールの利用設定

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSS上のサーバーへパスワードログインをする

4OSS  Ansibleでの操作

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Ansibleで4OSSのNetWork構築やサーバー設定を行なう

4OSS  メモリスワップの追加

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSのLinuxサーバーにmemory swap を設定する

4OSS  Webサーバーを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870 の構築

4OSS  SSLクライアント認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE Private CA の構築

4OSS  ワンタイムパスワード認証Webを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif Powered BLUE 870/OTPの構築

4OSS  Webをロードバランスする

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでWeb/https (443) をロードバランスする

4OSS  SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでクライアント認証後に既存Webへリバースプロキシ転送する

4OSS  ロードバランサ&SSLクライアント認証&リバースプロキシ

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する

4OSS 多要素認証&リバースプロキシ対応のWebを構築

https://www.mubit.co.jp/sub/products/ca/img2/arrow-finger.gif 多要素認証&リバースプロキシ対応のWebサーバーを構築

 

富士通マーケットプレース

Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)

Fujitsu Cloud Service for OSSのマーケットプレイス

 

]]>