既存で運用中のWebサイトに認証機能が「ない」場合や、ID/パスワード認証のみで「認証機能が脆弱」な場合、セキュリティ部門などから認証機能を追加して多要素認証での運用や認証機能の強化を求められる場合があります。

【Webの改修は困難】

運用中のWebを改修して、認証機能を追加するには

• ターゲットのWebサーバーの台数が多い
• プログラム的に改修が難しい
• 改修のコストがかかりすぎる

などで、ターゲットのWebサイトを改修して認証機能の強化をしにくいケースがあります。

【Webの改修不要で認証を強化】

Web認証対応のリバースプロキシを中継することにより

• ターゲットのWebを改修不要
• Web認証機能を追加

することが出来ます

導入前

導入後

【認証機能対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種のWeb認証に対応の

• Powered BLUE リバースプロキシ・アプライアンス

を利用できます。

リバースプロキシのWeb認証としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しています。

【OTP認証機能対応のリバースプロキシ】

ワンタイムパスワード認証のリバースプロキシのモデルは

　Powered BLUE Reverse-Proxy / OTP

毎回、使い捨てのワンタイムパスワードで認証を行います。

【登録方法】

登録は簡単

• スマートフォンユーザーは「QRコード」をスキャン
• PCユーザーは「文字列コード」を登録

【アクセス手順】

① ワンタイムパスワードの表示
② リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
③ 2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

【Q＆A】

Q　利用できる無償のソフトウエアトークンは?
A　Google Authenticator / WinAuth  / Authy  / IIJ SmartKey / Microsoft Authenticatorなど

Q　複数のWebサーバーへのリダイレクトは設定できますか？
A　複数のWebサーバーへのリバースプロキシの設定に対応しています

Q　Powered BLUE リバースプロキシ・アプライアンスの提供形態は?
A　RockyLinuxやRedHatに対応のアプライアンスでの提供となります

Q　Powered BLUE リバースプロキシ・アプライアンスの稼働環境は?
A　AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro  他

Q　運用に際して、サードパーティの監視ソフトは必要ですか？
A　自己監視機能を有しており監視ソフトは不要で、ひとり情シスでの運用に対応しています

Q　ロードバランサー配下でも運用できますか?
A　冗長構成での運用にも対応しています

Q　自社管理で運用したいのですが?
A　Powered BLUE は自社管理で運用できるオールインワンのアプライアンスです

• 既存で運用のデスクネッツやサイボウズなど社内Web側の変更不要
• ターゲットWebは、WANやLAN側のどちらに設置の場合でもアクセス可能

こんな場合に有効

• Azure ADを利用している
• Azure ADで既存Webへのアクセス認証を強化したい
• 既存Webの改修はしたくない

Azure ADの認証方式

ID・パスワード認証に加えて、多要素認証での運用が可能です。

Azure ADで利用できる主な認証方式

*1　SIMスワップ攻撃に注意  / Salesforce ではSMS認証は禁止   / Google ではSMS 認証は非推奨に変更

ワンタイムパスワード認証

Azure ADへワンタイムパスワード認証でログインします。ソフトウエア・トークンなどを利用して、ワンタイムパスワードを表示させます。

無償で利用できるソフトウエア・トークンや対応の端末

製品名	iOS / Android	Windows	Mac	Linux
Google Authenticator
Microsoft Authenticator
IIJ SmartKey
Authy
WinAuth

ユーザーのQRコードの読み取り＆ワンタイムパスワードの表示

SSLクライアント認証

ユーザーに配布のSSLクライアント証明書でAzure ADへのアクセス認証を行います。

SSLクライアント証明書の発行＆SSLクライアント認証ができる製品としては、

　Powered BLUE Private CA

などが利用できます。

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器のセキュリティ

• Azure ADとの認証には、公開鍵暗号方式を利用
• 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとリバースプロキシはSAML認証連携
• ユーザーはリバースプロキシ経由でターゲットWebへアクセス

SAML認証に対応のリバースプロキシ

Azure AD（idP)と連携するリバースプロキシ（SP）としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のリバースプロキシ機能（SP・サービスプロバイダ）
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• 仮想アプライアンス
• ひとり情シスでの運用に対応

のアプライアンスです。

「Powered BLUE ReverseProxy for SSO / IDaaS 」はAzure AD側の「各種の認証方式」で認証連携できるリバースプロキシとして動作します。

Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

• WAN側やLAN側など任意の場所に設置可能
• リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

デスクネッツ		サイボウズ		SharePoint

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	ワンタイムパスワード認証 ソフトウエア・トークン
	SSLクライアント認証 SSLクライアント証明書
	生体認証 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応リバースプロキシ
運用先	VMware / Hyper-V / AWS

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　https://wp-sam.mubit.jp

Webサーバの有効化

Webサーバーを有効にする　にチェックを入れます

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

例　https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

idP側で作成のメタデータ（xml）をアップロードします

SAMLの認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

HA構成

　シングルAZ + ロードバランサー

マルチリージョンでリバースプロキシの冗長構成での運用

• リージョンA / 東日本データセンタ
• リージョンB / 西日本データセンタ

◆運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS

◆携帯端末の生体認証

アンドロイドやiPhone / iPad の指紋認証や顔認証に対応のリバースプロキシ

　携帯の生体認証に対応のリバースプロキシ

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

Web認証の種類

ID・パスワード認証の他には、Web認証として

• ワンタイムパスワード認証
• SSLクライアント認証
• AD / LDAP 認証
• SAML認証 / OIDC認証
• 生体認証（ FIDO2 / WebAuthn )

などがあります。

認証方式の特徴など

◆idP連携のWeb認証機能に対応のアプライアンス

idPと連携のWeb・アプライアンスとしては、

　Powered BLUE Web for SSO / IDaaS

を利用すると、簡単に多要素認証のWebを構築・運用ができます。

Webアプライアンスの機能としては

• Webサイトの構築・運用
• idP連携のWebサイトの認証
• インターネットサーバー機能 ( Mail / Web / DNS )

を1台で運用することが出来ます。

Webサイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

◆対応の認証方式

【１】 Web & ワンタイムパスワード認証
【２】 Web & Private-CA + SSLクライアント認証
【３】 Web & ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】 Web & AD / LADP 認証 ( Active Directory連携 )
【５】 Web & SSLクライアント認証＋AD / LDAP 認証
【６】 Web & SAML認証 / OIDC認証 ( idP連携 ）
【７】 Web & パスワードレス生体認証（ FIDO2 / WebAuthn )

◆ワンタイムパスワード認証

ワンタイムパスワード認証対応のWebサイト構築・運用からユーザー管理・認証とインターネットサーバー機能を持つアプライアンス

ソフトエアトークン対応

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

構成

Webサイトアクセス時の手順

対応のモデルは
　Powered BLUE Web / OTP Auth

◆Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とWebまでを1台で運用

構成

SSLクライアント認証例

対応のモデルは
　Powered BLUE Private CA /

◆OTP/ワンタイムパスワード認証 ＋ SSLクライアント認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）ワンタイムパスワード認証

までを1台で運用

構成

Webへのアクセス時の手順

対応のモデルは
　Powered BLUE Web / Multi Auth

◆AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

Webへのアクセス時の手順

対応のモデルは
　　Powered BLUE Web for AD / LDAP Auth

◆SSLクライアント認証＋AD / LDAP 認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）AD認証連携

までを1台で運用

構成

Webへのアクセス時の手順

１）Webへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD / LDAP 認証
４）AD / LDAPの認証後にWebページを表示

対応のモデルは
　Powered BLUE Web / AD-LDAP Auth

◆SAML認証 / OIDC認証（idP連携）

iDaaS/idPと連携

Azure ADやiDaaS、idPと認証連携をして、SAML認証に対応のWeb（SP）として動作 します。シングルサインオン（SSO）での運用に対応しています。

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

シングルサインオン

G Suite / Salesforce / Office 365 …. などのアプリとシングルサインオンでアクセスが出来ます。

Webへのアクセス時の手順

①   SAML認証対応Webへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Web for SSO / IDaaS

◆パスワードレス生体認証（ FIDO2 / WebAuthn )

FIDO2対応のWebとして動作

生体認証器

生体認証としては、FIDO2やWebAuthnに対応の指紋認証や顔認証　などの「生体認証器」を利用します。

• AndroidやiPhone / iPad では、スマートフォンに内蔵の「指紋認証や顔認証」を利用

• PCでは、USBタイプの「指紋認証器」などを利用

指紋を登録（PCの場合）

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

Webへのアクセス時の手順（PCの場合）

① 生体認証対応のWebへアクセス（IDのみ入力）
② 指紋認証（セキュリティキーへタッチ）
③ 認証後にターゲットWebの表示

Webへのアクセス時の手順（スマートフォンの場合）

① 生体認証対応のWebへアクセス（IDのみ入力）
② 生体認証（ スマートフォンの顔認証や指紋認証を利用 ）
③ 認証後にターゲットWebの表示

対応のモデルは
　Powered BLUE Web for SSO / IDaaS

◆運用先

認証対応Webの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

◉リバースプロキシとは

既存で運用のWebサーバーの前段に「リバースプロキシ」を設置します。リバースプロキシ経由で既存のWebサイトへのアクセス構成にします。

リバースプロキシには、各種のWeb認証機能を持たせることが出来ます

• ワンタイムパスワード認証
• SSLクライアント認証
• AD / LDAP 認証
• SAML認証
• OIDC認証
• FIDO2生体認証

認証機能対応のリバースプロキシ経由で、既存のWebへアクセスさせることにより多要素認証での運用が構成できます。リバースプロキシ先としては、LAN内に設置のWebサーバーへのアクセスも設定できます。

リバースプロキシは、導入に際して

• リダイレクト先の既存Webを隠蔽
• リダイレクト先の既存Webの改修は不要

◉認証機能に対応のリバースプロキシ

各種の認証機能に対応のリバースプロキシ・アプライアンスとしては、

　Powered BLUE Reverse-Proxy

を利用すると、簡単に多要素認証での構成を簡単に構築できます。

WAN側に設置のWebへのアクセスに際しても、認証対応のリバースプロキシ経由で運用することが可能です。

◉リバースプロキシの設定

• 複数のリバース先を設定可能
• リバース先のポート (80 / 443 / 任意のポート番号） を指定
• ターゲットのWebまでSSL通信での運用が可能
• リバースプロキシーに Let’s Encrypt も利用可能

◉対応の認証方式

【１】 リバースプロキシ & OTP / ワンタイムパスワード認証
【２】 リバースプロキシ & Private-CA + SSLクライアント認証
【３】 リバースプロキシ & OTP / ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】 リバースプロキシ & AD / LADP 認証 ( Active Directory連携 )
【５】 リバースプロキシ & SSLクライアント認証＋AD / LDAP 認証
【６】 リバースプロキシ & SAML認証 やOIDC認証( idP連携 ）
【７】 リバースプロキシ & パスワードレス生体認証（ FIDO2 / WebAuthn )

◉OTP / ワンタイムパスワード認証

ソフトウエアトークン

Google Authenticator / Microsoft Authenticator などの無償のソフトウエア・トークンに対応

構成

リバースプロキシへのアクセス時の手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
3）2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy / OTP

◉Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とリバースプロキシまでを1台で運用

構成

SSLクライアント認証例

対応のモデルは
　Powered BLUE Private CA / Reverse-Proxy

◉OTP/ワンタイムパスワード認証 ＋ SSLクライアント認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）ワンタイムパスワード認証
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

対応のモデルは
　Powered BLUE WebStation

◉AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

リバースプロキシへのアクセス時の手順

対応のモデルは
　　Powered BLUE Reverse-Proxy for AD / LDAP Auth

◉SSLクライアント認証＋AD / LDAP 認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）AD認証連携
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD / LDAP 認証
４）AD / LDAPの認証後にリバース先のWebページを表示

対応のモデルは
　Powered BLUE Reverse-Proxy for AD Auth

◉SAML認証やOIDC認証（idP連携）

iDaaS/idPと連携

Azure ADやiDaaSなどのidPと認証連携をして、SAML認証やOIDC認証に対応のリバースプロキシとして動作 します。

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

リバースプロキシへのアクセス時の手順

①   SAML認証対応リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy for SSO / IDaaS

◉パスワードレス生体認証（ FIDO2 / WebAuthn )

FIDO2対応のリバースプロキシとして動作

生体認証器

生体認証としては、FIDO2 / WebAuthn に対応の指紋認証や顔認証などの「生体認証器」を利用します。

Android / iPhone / iPad では、スマートフォンに内蔵の「生体認証」機能を利用

アンドロイド携帯		iPhone / iPad

PCでは、USBタイプの「指紋認証器」などを利用

指紋を登録（PCの場合）

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

リバースプロキシへのアクセス時の手順（PCの場合）

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 指紋認証（セキュリティキーへタッチ）
③ 認証後にターゲットWebへリダイレクト

リバースプロキシへのアクセス時の手順（スマートフォンの場合）

アンドロイド携帯		iPhone / iPad

例　生体認証を利用したパスワードレス認証
（「スマートフォン の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 生体認証（ スマートフォンの顔認証や指紋認証を利用 ）
③ 認証後にターゲットWebへリダイレクト

対応のモデルは
　　Powered BLUE ReverseProxy for SSO / IDaaS

◉冗長構成

リバースプロキシで同期を行いHA運用にも対応

◉運用先

認証対応のリバースプロキシの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◉ターゲットWebアプリなど

リバースプロキシ先のWebアプリなど

サイボウズ

DeskNet’s

X-point

File-Blog

イントラマート

Active mail

Sharepoint

楽々Workflow

Poweregg

eValueNS

NIコラボスマート

Roundcube

WordPress

デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

サイボウズ

デスクネッツ

使い捨てパスワード

ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

• ワンタイムパスワード認証
• ID/パスワード認証
• リバースプロキシによるリダイレクト

までを1台で構築＆運用出来るアプライアンスです。HA機能なども有しています。

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる「無償のソフトウエアトークン」の設定例

Google Authenticator 　インストール & セットアップ方法
WinAuth 　インストール & セットアップ方法
Authy 　インストール & セットアップ方法
IIJ SmartKey 　インストール & セットアップ方法
Microsoft Authenticator 　 インストール＆セットアップ方法

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例　鈴木　二郎 へワンタイムパスワード認証を有効に設定

QRコード（共有鍵）の表示

• ソフトウエア・トークンを起動して、ユーザーごとのQRコード（2次元バーコード）をスマフォで読み撮り登録します
• QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
• QRコードは、ユーザー毎に異なります

QRコードの登録＆表示

リバースプロキシの設定画面

ワンタイムパスワード認証＆リバースプロキシ

https://xxx.yyy.com/ 　 —-> https://www.powered.blue/

＊複数のリバース先を指定できます

認証ステップ

１）ワンタイムパスワードを表示させる
２）リバースプロキシにアクセス（アカウントやワンタイムパスワードを入力）
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

HA / 冗長化

「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

ロードバランサー配下での構成

• シングルAZ + ロードバランサー

マルチAZでの構成

• マルチAZ + GSLB or Route53
• リージョンA　日本データセンター
• リージョンB　米国データセンター

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用（多要素認証）での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

• Webサイト構築・管理機能
• SSLクライアント認証＆ワンタイムパスワード認証に対応
• リバースプロキシ
• インターネットサーバー機能

までを1台で運用できる　　Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用（多要素認証）およびリバースプロキシも同時に運用が出来ます。

SSLクライアント認証でのアクセスコントロール

• SSLクライアント認証の有効化

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

認証ステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

　Powered BLUE 870 のデモサイト

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

• VMware / Hyper-V
• AWS/EC2 （AMI対応）
• Azure
• FUJITSU Hybrid IT Service FJcloud-O / 富士通
• Enterprise Cloud / NTT communications

などでも運用が可能です。

終わりに

ワンタイムパスワードやSSLクライアント認証でＷebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。また多要素認証やマルチAZのHA構成での運用にも対応しています。

VPNアクセスに比べてリバースプロキシでのアクセスは負荷が低いので、VPNでのアクセスのようなアクセス集中による「レスポンスが遅い」「つながらない」などのトラブルから解放されます。

AWS-EC2でのリバースプロキシ構成例

認証対応のリバースプロキシ

AWS / EC2上では、各種のWeb認証機能に対応のリバースプロキシとして

「Powered BLUE リバースプロキシ」アプライアンスを利用します。

リバースプロキシ・アプライアンスの機能として

• Private-CA / SSLクラアント認証
• ワンタイムパスワード認証
• Active DIrectory認証
• idP連携SAML認証
• Mail/Web/DNS機能
• マルチドメイン・マルチサイト機能

等を有しており、GUIからすべての設定や運用ができます。

運用先

「Powered BLUE リバースプロキシ」は、AWSのAMIに対応。

• クラウド環境（ AWS / Azure / 他）

対応しているリバースプロキシのWeb認証方式

【１】リバースプロキシ & OTP/ワンタイムパスワード認証
【２】リバースプロキシ & SSLクライアント認証
【３】リバースプロキシ & ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】リバースプロキシ & AD認証 ( Active Directory連携 )
【５】リバースプロキシ & AD認証 +  SSLクライアント認証
【６】リバースプロキシ & SAML認証（ ゼロトラスト対応 ）
【７】リバースプロキシ & SAML認証＋ SSLクライアント認証

*複数の認証による多要素認証での運用にも対応しています

*マルチドメイン・マルチテナントに対応しており、複数の仮想サイトの運用および仮想サイトごとの異なるリバースプロキシの認証設定にも対応

【１】リバースプロキシ ＆ ワンタイムパスワード認証

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

簡単登録

QRコードを読み込むだけの簡単登録

ワンタイムパスワード認証のアクセス手順

• ワンタイムパスワードを表示
• リバースプロキシへアクセス（ワンタイムパスワード認証）
• 認証後にリダイレクト先のWebサイトが表示（例　SharePoint)

【２】リバースプロキシ ＆ SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

対応のモデル
Powered BLUE Private CA & Reverse Proxy

Private-CA機能＆SSLクライアント認証

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

特徴

• リバースプロキシへのアクセス時にパスワードの入力不要
• 日時などでのリバースプロキシへのアクセスコントロールが可能

アクセスコントロール　例

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

証明書　〇　　　　　　　　　証明書　

【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

対応のモデル
Powered BLUE Web Station

特徴

• 多要素認証によりリバースプロキシの認証の強度が上がります

認証のステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証 (リバースプロキシ）
３）ワンタイムパスワードを入力 (リバースプロキシ）
４）認証後にリバースプロキシ先のWebが表示（例　RocketChat)

【４】リバースプロキシ ＆ AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

AD認証時の手順

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（AD認証）
３）ADの認証後にリバース先のWebを表示

【５】リバースプロキシ ＆ SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

SSLクライアント認証＆AD認証時の手順

１）リバースプロキシへアクセス
２）SSLクライアント認証
３）アカウントやパスワードを入力（AD認証）
４）ADの認証後にリバース先のWebを表示

【６】リバースプロキシ ＆ SAML認証

リバースプロキシへのアクセス時にSAML認証を行います

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP

Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ）として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

特徴

• シングルサインオン対応のID認識型リバースプロキシとして運用が出来ます

idP側の設定

• idPへアカウントを作成
• SAML認証を有効
• アクセスポリシーを設定

ID認識型Webサイト側の設定

リバースプロキシを設定して、idPとの認証を設定します。

• リバースプロキシの認証を設定したいディレクトリのSAML認証を有効

シングルサインオンでの認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にリバースプロキシ先のWebサイトの表示

【７】リバースプロキシ ＆ SAML認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

特徴

• リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

【８】HA ＆ マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン（シングルAZ）のロードバランサー配下に設置・運用

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

• リージョンA　東日本データセンター
• リージョンB　西日本データセンター

【９】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

デモサイト

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• Active Directory認証
• OTP認証
• SSLクライアント認証
• SAML認証  ( ゼロトラスト対応 )
• LDAP認証
• 指紋認証や顔認証（ FIDO2 / WebAuthn ）

などが利用できます。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。複数の認証を組み合わせて多要素認証での運用や冗長構成（HA）での運用にも対応しています。

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

ターゲットWebの隠蔽

リバースプロキシ先のWebサイト名を隠蔽することが出来ます。

VPNとリバースプロキシの比較

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Proxy  アプライアンス」　を利用します。

リバースプロキシの運用先

「Powered BLUE Reversse Proxy  アプライアンス」は

仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

• 仮想環境 ( VMware / Hyper-V )

• クラウド環境（ AWS / Azure / VPS 他）

【１】AD認証のリバースプロキシ構成

対応の認証方式

• Active Directory認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• Basic認証
• LDAP認証
• Kerberos認証

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（AD認証）

１）リバースプロキシへアクセス
２）AD認証（アカウントやパスワードを入力）
３）ADの認証後にリダイレクト先のWebページを表示

【2】AD認証＋SSLクライアント認証

対応の認証方式

• Active Directroy認証
• SSLクライアント認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• LDAP認証
• Kerberos認証

リバースプロキシ側でのSSLクライアント認証 設定

• Private-CA 機能により、SSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【3】ワンタイムパスワード認証のリバースプロキシ構成

対応の認証方式

• OTP認証
• QRコード対応
• 「OTP＋任意のパスワード」の組み合わせに対応
•  TOTP / HOTP  対応

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

• Google Authenticator
• WinAuth
• Authy
• IIJ SmartKey
• Microsoft Authenticator
• 他

リバースプロキシのワンタイムパスワード設定

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

認証のステップ（ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リダイレクト先のWebサイトの表示

【4】SSLクライアント認証のリバースプロキシ構成

SSLクライアント認証の有効化

• リバースプロキシのSSLクライアント認証を有効にします
• *Private-CA 機能により、SSLクライアント証明書を発行します

SSLクライアント認証のアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 部門によるアクセス制限

例　月曜日から金曜日　9時から18時　までの時間帯のみリバースプロキシへのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証）

１）リバースプロキシにアクセス
２）SSLクライアント認証
３）認証後にリダイレクト先のWebを表示

SSLクライアント証明書が無効の場合

【5】ワンタイムパスワード認証＋SSLクライアント認証のWeb構成

ワンタイムパスワードの設定

SSLクライアント認証の有効化

• Webサーバー側のSSLクライアント認証を有効にします

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　まで時間帯のみのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にリバースプロキシにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　リダイレクト先のWebサイトの表示

【6】SAML認証のリバースプロキシ構成

• ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

対応の認証方式

• SAML認証

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側でSAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

認証のステップ（SAML認証）

1）リバースプロキシへアクセス
2）初回のみ idP へアクセス ( シングルサインオン ）
3）idPの認証後にリバースプロキシ先のWebにリダイレクト

* SP initiated SAML および idP initiated SAMLに対応

【７】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• SSLクライアント認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）リバーススプロキシへアクセス（SSLクライアント認証）
２)   idPへアクセス ( シングルサインオン / 初回のみ ）
３）idPの認証後にリダイレクト先のWebサイトにアクセス

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• ワンタイムパスワード認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• Webサーバー側でSAML認証を有効にします
• Webサーバー側にユーザーアカウントは不要です

リバースプロキシ側　ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）OTP表示
２)   リバースプロキシへアクセス ( ワンタイムパスワード認証 ）
３）idPのSAML認証後にWebサイトの表示（シングルサインオン / 初回のみ）

【9】指紋認証や顔認証（FIDO2 / WebAuthn）

FIDO2 / 生体認証を利用したリバースプロキシで社内Webへアクセス

リバースプロキシへのアクセス時の生体認証により「なりすまし」を防止します

 iPhone / iPad  / アンドロイド ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「スマートフォンの所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ スマートフォンの顔認証や指紋認証の機能を利用 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 　指紋認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【10】冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチAZ構成

異なるアベイラビリティゾーン（AZ)を利用して認証対応のリバースプロキシにより耐障害性の向上

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

idP連携でのロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

idP連携でのマルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

【11】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

リバースプロキシの認証機能としては、FIDO2の生体認証、Active Directory認証、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/ゼロトラスト対応のSAML認証など、各種認証の組み合わせによる多要素認証などで社内LAN側のWebへアクセスさせることが出来ます。セキュリティの要件や用途に合わせて、リバースプロキシに複数の認証機能を組み合わせる多要素認証での運用にも対応しています。また生体認証にも対応しており、パスワードレス認証での運用も可能です。

冗長構成での運用にも対応しており、HAやマルチリージョンでの運用が出来ます（Route53やGSLBによるマルチAZ環境）

ブラウザのみで利用

社内Webへのアクセスに際してリバースプロキシを利用する場合、リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。

VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。VPNの代替として利用ができます。ゼロトラストシステムのような大掛かりな構成は必要なく、リバースプロキシ単体のみでの導入が可能です。

リバースプロキシの構成

シンプルな構成では、リバースプロキシ1台で運用します。冗長化や負荷分散の場合には、ロードバランサ配下で運用します。

リバースプロキシとしては、各種の認証に対応のリバースプロキシ・アプライアンス　「Powered BLUE Reverse Proxy」を利用します。

製品の特徴としては

• 認証対応のリバースプロキシ
• インターネットサーバー機能（Mail / Web / DNS )
• Let’s Encrypt などに対応
• ひとり情シスでの運用に対応

などの機能を有したリバースプロキシ・アプライアンスです。

製品の形態

仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。

仮想対応

VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。

クラウド対応

AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、Fujitsu Hybrid IT Service ( 富士通 ）、Enterprise Cloud ( NTT communications )、VPS他

Powered BLUE リバースプロキシの各種認証

Powered BLUE のリバースプロキシは、以下のパターンでの認証＆運用に対応しています

【１】基本　Powered BLUE Reverse Proxy でのリバースプロキシ設定

• 複数のリバース先の設定に対応
• リバース先のポート( http/https/ポート番号 ）の指定に対応
• 終端までSSL通信での運用に対応
• リバースプロキシー運用のWebサイトにLet’s EncryptによるSSL化にも対応

リバースプロキシサイトのSSLのサーバー証明書

SSLのサーバー証明書としては

• サイトのSSL自己証明
• パブリックなSSLサーバー証明書
• Let’s EncryptでのSSLサーバー証明書

に対応しています。

Let’s EncryptによるSSL化　例

【２】ワンタイムパスワード認証対応のリバースプロキシ

リバースプロキシへのアクセスに、ID/パスワードとワンタイムパスワード(OTP)による2要素認証での運用が出来ます。 Powered BLUE 870/OTPのリバースプロキシ付属モデルを利用します。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

トークン

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

• Google Authenticator　( iOS / Android対応 ）
• WinAuth ( Windows対応 ）
• Authy ( iOS / Android / Windows / Mac / Linux対応 ）
• IIJ SmartKey ( iOS / Android対応 ）
• Microsoft Authenticator ( iOS / Android対応 ）

ユーザーやコードの管理

利用するユーザーに、スマフォ端末などのカメラから各自のQRコードをトークンに読み込ませます。カメラのないPCなど端末から利用の場合のコードの発行にも対応。

スマフォへの登録方法

アクセス手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リバースプロキシ先のWebサイトの表示

【３】SSLクライアント認証対応のリバースプロキシ

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。 Powered BLUE 870 Private CAのリバースプロキシ付属モデルを利用します。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用することが出来ます。

SSLクライアント認証　例

グループウエアへのアクセス例
SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

ロードバランサ対応

Powered BLUE では、Private-CAとSSLクライアント認証＆リバースプロキシを分離しての運用に対応しています。ロードバランサでは、SSL通信をスル―させてリバースプロキシ側でSSLクライアント認証を行います。SSLクライアント認証後に、リバースプロキシによりターゲットのWebへリダイレクトさせます。

• Private-CA    (Powered BLUE Private CA)
• SSLクライアント認証＆リバースプロキシ     (Powered BLUE Reverse Proxy/SSLクライアント認証機能付属モデル）

Private CAの設定ポイント

ロードバランサー配下で運用の場合、Private CAからCRLの提供を許可するクライアントのリバースプロキシサーバーを指定します　（ CRLの提供を許可するリバースプロキシのIPアドレス ）

• 負荷分散先のリバースプロキシ / CRL サーバー　No1 = 192.168.100.58
• 負荷分散先のリバースプロキシ / CRL サーバー　No2 = 192.168.100.73

リバースプロキシ＆SSLクライアント認証サーバー側の設定のポイント

• CAからCRLを自動入手出来る設定 ( 取得先CA 　http://ca-server.mubit.com )
• crlの同期スケジュールを指定（更新間隔）

【４】Active Directory認証対応のリバースプロキシ

リバースプロキシへのアクセスに、AD認証での運用が出来ます。  Powered BLUE Reverse Proxy for AD を利用します。

AD / LDAPS認証設定例

AD認証では、リバースプロキシにはユーザーアカウントが不要なため、ひとり情シス環境でも簡単に運用ができます。

認証のステップ（AD認証）

2要素認証

「AD認証＋SSLクライアント認証」などの２要素認証での運用にも対応しています。

認証のステップ（SSLクライアント認証＋AD認証）

【５】ゼロトラスト対応SAML/OIDC認証のID認識型リバースプロキシ

Powered BLUEのリバースプロキシは、SAML認証やOIDC認証に対応のID認識型リバースプロキシとして動作します。IDaaSなどのidPと連携して、社内のWebサイトへSAML2.0に対応のSP機能を持つ、ID認識型リバースプロキシでアクセスさせます。

社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML2.0対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

ユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。また部門や社員、会員ごとにリバースプロキシへのアクセスコントロールの設定・運用が可能です。リバースプロキシには、ユーザーアカウントがないため、SPとなるリバースプロキシ側からアカウント漏洩の心配はありません。

SP(サービス・プロバイダ）

SPとしては、SAML/OIDC認証に対応したSSOのリバースプロキシ機能を持つ「Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

idP(アイデンティティ・プロバイダ）

idPとしてはSAML/OIDC認証に対応した　G suite、Azure ADやTrustLogin、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

SAML2.0の設定例

各社idPとSPでSAML2.0の認証を設定する例です

• idP  「TrustLogin」でのリバースプロキシの設定例
• idP  「CloudGate UNO」でのリバースプロキシの設定例
• SP   「Powered BLUE Reverse Proxy for SSO/IDaaS」でのリバースプロキシの設定例

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

シングルサインオンでのSAML認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にリバースプロキシ先のWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

設定構成

以下のようなリバースプロキシ構成での設定例です

社内チャットへのリレイ

例　User —> https://wp-sam0.mubit.jp/ —-> http://sni-0.mubit.jp/

一般のWebページへのリレイ

例　User —> https://wp-sam1.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

Web Mailへのリレイ

例　User —> https://wp-sam2.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/

【６】ID/パスワードの代理認証でのSSO

社内LAN側にあるID/パスワード入力の必要なWebシステムへ、リバースプロキシからターゲットのWebサーバーへプリセットされたID/パスワードの自動入力でのシングルサインオンでの運用にも対応しています。

idP連携のOIDC/SAML認証のリバースプロキシからWebへ代理入力＆SSO

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

idPなど

SAMLやOIDC認証のidP

• Azure AD
• TrustLogin
• CloudGate UNO
• onelogin
• okta
• Keycloak

などがあります。これらのidPと  「Powered BLUE Reverse Proxy for SSO/IDaaS を組み合わせて構築します。

代理入力

OIDC / SAML認証に対応のリバースプロキシからWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーからターゲットWebへの「ID / パスワード」の入力不要
2. ターゲットWebをSSOのメンバーとして構成

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス
3. idP の認証後にリバースプロキシからWebへユーザー情報を代理入力
4. Webへ自動ログイン

【７】多要素認証

Powered BLUE Reverse Proxy で

• SSLクライアント認証
• ワンタイムパスワード認証

を併用して運用する事が出来ます

アクセス手順

1）ワンタイムパスワードの表示
2）SSLクライアント認証
3)  リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
4）認証の成功後　リバースプロキシ先のWebサイトの表示

SAML/SPでの多要素認証

社内LAN側に設置のWebサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた独自の認証を設定したい場合には有効です。

SAML SP&SSLクライアント認証

SP上でPrivate CAを運用　SSLクライアント証明書を発行して、SP/リバースプロキシ上でSSLクライアント認証を実行

SAML SP&ワンタイムパスワード認証

SP/リバースプロキシ上でワンタイムパスワード認証を運用

AD認証＋SSLクライアント認証

Powered BLUE Reverse Proxy で

• AD認証
• SSLクライアント認証

を併用して運用する事が出来ます

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【８】FIDO2/パスワードレス認証

FIDO2 / WebAuthn 対応のリバースプロキシの生体認証で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。生体認証を行うことで「パスワードレス認証」での運用が可能です。

idPとして　「Powered BLUE for idP 」

SPとして　「Powered BLUE ReverseProxy for SSO / IDaaS 」を組み合わせて構築します。

生体認証での構成

アクセス手順

スマートフォン・ユーザーの場合（iPhone / iPad / Android )

1）生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）
2）生体認証（スマートフォン内の指紋認証・顔認証を利用）
3)   認証後にリバースプロキシからID/パスワードを代理入力＆ターゲットのWebへログイン

PCユーザーの場合

1）生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）
2）セキュリティキーにタッチ（指紋認証）
3)   認証後にリバースプロキシからID/パスワードを代理入力＆ターゲットのWebへログイン

【９】HA対応

ワンタイムパスワード認証・SAML認証・SSLクライアント認証機能のリバースプロキシは、自動同期機能により冗長構成での運用に対応しています。またRoute53やGSLBによるマルチAZ環境でも運用もできます。

ロードバランサー配下での構成

• シングルリージョン（シングルAZ）＋ ロードバランサー構成

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチリージョン（マルチAZ）での構成

回線やデータセンターが異なるために、耐障害性が向上します

• リージョンA （東日本データセンター）
• リージョンB （西日本データセンター）

デモサイト

Powered BLUE のデモサイトを用意しています

サーバーの操作や認証設定、各種の認証に対応のリバースプロキシなどの動作を確認することが出来ます

デモサイト

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

「Google Authenticator 」の特徴は

• iOS/Androidに対応（PCには非対応）
• オープンソース

です。

Google Authenticatorは、時間ベースのワンタイムパスワード（TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています

時間ベースのワンタイムパスワード（TOTP) のサービスとしては

• Amazon Web Services（AWS Multi-Factor Authentication）
• Dropbox
• Evernote
• Facebook
• GitHub
• Googleアカウント
• Google Apps for Work
• IIJ Omnibusサービス
• IIJセキュアMXサービス
• Microsoftアカウント
• Slack
• 仮想通貨のサイト
• 銀行/金融機関のサイト
• Powered BLUE 870/OTP  (TOTPモード及びHOTPに対応）

などです。Google Authenticatorはこれらのサービスでのワンタイムパスワードの認証に利用できます。

設定のフローは

１）Google Authenticatorのインストール設定

２）Webサーバー側のQRコードの読み取り

  Powered BLUE OTP  でパスワード認証機能付属のWebサイトを自社運用する際に、Google Authenticator を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。

Powered BLUE OTPには事前に、ワンタイムパスワードのご利用ユーザーのアカウントを作成しておく必要があります

3) Webサーバーへのアクセス

  Powered BLUE OTP は2要素認証のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。

Google AuthenticatorをiOSへインストール

App Store からGoogle Authenticatorを選択してインストール

設定開始

コードの登録

• バーコードのスキャン(QRコードの読み取り）
• 手動での入力

から選択出来ます

QRコードの読み取りの場合

ターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス

• 例　test-opt.mubit.com
• アカウント　suzuki

ターゲットのWebサイトのQRコードをカメラで読み取ります

QRコードはユーザー毎に異なります

もしくは手動でのコードの入力

Powered BLUE 870/OTP 上の Webサイトへアクセス

• 例　test-opt.mubit.com
• アカウント　suzuki

共有鍵のキーコードを手動で入力します

例　LIXD ……  FZDB

以上で登録の完了

ワンタイムパスワードの表示

• 例　test-opt.mubit.com
• アカウント　suzuki

ワンタイムパスワードは、一定時間（例　30秒）毎に変わります

右側の　　をクリックするとワンタイムパスワードの値がクリップボードにコピーされます

入力の際に、値をペーストします

Webサイトへアクセス / 2要素認証

Powered BLUE OTP 上の Webサイト

• 例　test-opt.mubit.com　へアクセス

2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力

認証成功

Webサイトへの2要素認証が通った場合、Webページが表示されます

Powered BLUE OTP のターゲットサイトのWebページは、適宜変更できます

• 任意のWeb作成ツールで作成のWebページ
• WordPress対応のWebページ
• 指定のWebページへのリダイレクト
• リバースプロキシで指定Webサイトへのリダイレクト

などに対応しています

Google Authenticatorでの注意点

Google Authenticatorでは、安全の為に登録したコード（共有鍵）のエクスポートが出来ません。

例えばスマフォなどを買い換えた場合や故障の場合には、旧機種から新機種への共有鍵の移し替えが出来ません。これを防ぐ方法としては以下の方法でのバックアップなどを行ないます。

共有鍵のバックアップ方法

• 登録時にQRコードのスナップショットで保存しておく
• 登録時に手動で入力するコードをスナップショットで保存しておく

ことにより、機器の買い替えなどの場合に新機種に「以前に発行した共有鍵」を登録することが出来ます。

時間を合わせる

なお利用時には、スマフォとサーバーの時間を正確に合わせておく必要があります。

Webサーバーとスマフォの時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来なくなります。

◉ 新規のWebサイトへのワンタイムパスワード認証設定

ワンタイムパスワード認証に対応のWebサイトを新規に構築＆運用の場合

Powered BLUE OTP のを利用することで、簡単にワンタイムパスワード認証に対応のWebを運用ができます

◉ 既存のWebサイトへのワンタイムパスワード認証経由でアクセス

また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。

• ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト

Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます

◉ 既存のWebサイトへのワンタイムパスワード＆SSLクライアント認証経由でアクセス

Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシまでの機能を有するサーバーです。ワンタイムパスワード＆SSLクライアント認証の併用時のWebサイトの構築・運用を行なうことが出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。

• OTP & SSLクライアント認証の併用リバースプロキシの構築&運用

◉ WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内WebサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

◉ Microsoft Authenticatorの場合

無償で利用できるマイクロソフト社のソフトウエア・トークンです

　Microsoft Authenticatorの設定例

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作やワンタイムパスワード認証、SSLクライアント認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます

デモサイト

終わりに

ワンタイムパスワード認証でＷebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。