リバースプロキシ構成

テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

Let’s Encrypt 対応

Powered BLUE Reverse Proxyでは、SSLサーバー証明書としてLet’s Encryptにも対応しています。リバースプロキシのサイトに、Let’s Encryptを適用して自動更新での運用が出来ます。

Nutanixでのリバースプロキシ構成例

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Prox  アプライアンス」　を利用します。

リバースプロキシの運用先

「Powered BLUE Reversse Prox  アプライアンス」は

Nutanix上で運用します

Powered BLUE Reverse Proxyアプライアンスは、「ユーザーVM」として動作します

【１】AD認証のリバースプロキシ構成

対応の認証方式

• Active Directory認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• Basic認証
• LDAP認証
• Kerberos認証

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（AD認証）

１）リバースプロキシへアクセス
２）AD認証（アカウントやパスワードを入力）
３）ADの認証後にリダイレクト先のWebページを表示

【2】AD認証＋SSLクライアント認証

対応の認証方式

• Active Directroy認証
• SSLクライアント認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• LDAP認証
• Kerberos認証

リバースプロキシ側でのSSLクライアント認証 設定

• Private-CA 機能により、SSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【3】ワンタイムパスワード認証のリバースプロキシ構成

対応の認証方式

• OTP認証
• QRコード対応
• 「OTP＋任意のパスワード」の組み合わせに対応
•  TOTP / HOTP  対応

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

• Google Authenticator
• WinAuth
• Authy
• IIJ SmartKey
• Microsoft Authenticator
• 他

リバースプロキシのワンタイムパスワード設定

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

認証のステップ（ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リダイレクト先のWebサイトの表示

【4】SSLクライアント認証のリバースプロキシ構成

SSLクライアント認証の有効化

• リバースプロキシのSSLクライアント認証を有効にします
• *Private-CA 機能により、SSLクライアント証明書を発行します

SSLクライアント認証のアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 部門によるアクセス制限

例　月曜日から金曜日　9時から18時　までの時間帯のみリバースプロキシへのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証）

１）リバースプロキシにアクセス
２）SSLクライアント認証
３）認証後にリダイレクト先のWebを表示

SSLクライアント証明書が無効の場合

【5】ワンタイムパスワード認証＋SSLクライアント認証のWeb構成

ワンタイムパスワードの設定

SSLクライアント認証の有効化

• Webサーバー側のSSLクライアント認証を有効にします

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　まで時間帯のみのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にリバースプロキシにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　リダイレクト先のWebサイトの表示

【6】SAML認証のリバースプロキシ構成

• ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

対応の認証方式

• SAML認証

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側でSAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

認証のステップ（SAML認証）

1）リバースプロキシへアクセス
2）初回のみ idP へアクセス ( シングルサインオン ）
3）idPの認証後にリバースプロキシ先のWebにリダイレクト

【７】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• SSLクライアント認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）リバーススプロキシへアクセス（SSLクライアント認証）
２)   idPへアクセス ( シングルサインオン / 初回のみ ）
３）idPの認証後にリダイレクト先のWebサイトにアクセス

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• ワンタイムパスワード認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• Webサーバー側でSAML認証を有効にします
• Webサーバー側にユーザーアカウントは不要です

リバースプロキシ側　ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）OTP表示
２)   リバースプロキシへアクセス ( ワンタイムパスワード認証 ）
３）idPのSAML認証後にWebサイトの表示（シングルサインオン / 初回のみ）

【10】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

導入の敷居が高そうなゼロ・トラストを簡単に自社Webシステムへのアクセスに利用する方法です。VPNの代替としても導入ができます。

VPNの問題点

VPNを使ったセキュリティモデルは「境界防御モデル」と呼ばれ、一度VPN経由で境界内に入った場合には、境界内の各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

また、VPNでのアクセスはネットワークや機器にかかる負荷が高いため、在宅社員がリモートワークで一斉にアクセスすると、「遅い」とか「つながらない」などの状況に陥ります。

ゼロトラスト・モデル

IDとデバイスに対する認証を行い、認証を受けたユーザーや機器のみがターゲットのアプリにアクセスができるモデルが、ゼロトラストのセキュリティの考え方です。

ID管理 ( idP ) と ID認識型プロキシ ( IAP )

ユーザーやアクセス端末などの管理は、idP（identity Provider)で行います。

ゼロトラスト・モデルでは、ユーザー管理のidPとクライアントとターゲットのサーバーとの通信はD認識型プロキシ（ IAP : Identity Aware Proxy ）で中継します。

ID認識型プロキシはVPNでのアクセスに比べ高い負荷はかかりません。VPNのようなネットワーク全体へのアクセスではなく、許可されたユーザーと端末のみを指定のサーバーへアクセスさせるセキュアな運用ができます。

 Microsoftをはじめ、各社から様々なZero-Trustのサービスや製品が提供されています。Zero-Trustモデルでは

１）idP ： Identity Provider

ID管理 / ユーザーIDや利用端末および認証のアクセス管理機能

( IAM : Identity and Access Management と呼ばれることもあります )

２）ID認識型プロキシ /  IAP : Identity Aware Proxy

クライアントとターゲットサーバーとの中継機能

の2つのモジュールが必要です。

ID認識型プロキシ（ IAP : Identity Aware Proxy ) には、「透過型プロキシ」と「リバースプロキシ型」の2つの方式があります。利用する「ID認識型プロキシ」のタイプにより、導入時の構成やコストが大きく変わります。

透過型プロキシでの構成

• idP ユーザー管理・アクセス許可
• WAN側　ID認識型透過プロキシ　1台
• LAN側　プロキシコネクタ　1台
• エージェントやプログラムのインストールが必要

リバースプロキシでの構成

• idP ユーザー管理・アクセス許可
• WAN側　ID認識型リバースプロキシ　1台
• エージェントやプログラムのインストールは不要

WANから社内LAN側のサーバーへアクセスさせる際の比較

透過プロキシタイプの場合は、社内のFirewallのポリシーは通常の通りにWeb ( http / https )は外向きのポリシーのままで利用ができます。ただしプロキシとプロキシコネクタはWAN側とLAN側にそれぞれ1台の合計2台が必要です。またエージェントや専用プログラムのインストールが必要のため、導入時の構成が大掛かりとなります。透過プロキシタイプの製品やサービスによっては利用するidPやターゲットサーバーのOSが限定されるケースもあり、ベンダーロックインが生じる場合もあります。

リバースプロキシの場合は、社内のFirewallのポリシーはターゲットのWeb ( http / https ) はLANへの内向きのポリシーを設定します。ターゲットのWebへのエージェントのインストールは不要のため、WAN側へのリバースプロキシ1台のみで手軽に導入が出来ます。利用するidPなども広く選択できることやターゲットWebのOSの制約もないので、ベンダーロックインなども発生しません。

ゼロトラストの簡単導入

ターゲットのサービスをWebに限定することで、ID認識型リバースプロキシが利用でき

• エージェントや専用プログラムのインストール不要
• ターゲットのWebサーバーやOSの制限無し
• ターゲットのWebサーバー側の変更不要
• ターゲットのWebサーバーの設置場所は任意（ LAN / WAN )
• ID認識型プロキシはWAN側に1台のみ設置

などのシンプル構成でゼロトラスト導入や運用が可能です。

社内Webサーバーへのアクセスに際して、簡単にゼロトラスト・セキュリティを導入するために

１） idP / 認証サーバーとして「SAML認証対応のidP」

２） IAP / ID認識型プロキシとして「SAML認証対応のSP＆ID認識型リバースプロキシ」

で構成をします。

• SAML形式のプロキシは、SP ( Service Provider )という名称になります

必要な機器

• idP  ( Identity Provider )
  

SAML認証に対応のidPであればどれでも利用ができます

Azure AD / G Suite / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G SuiteなどのiDaaSや自社で運用の Keycloak / OpenAM 他など

• ID認識型リバースプロキシ（ IAP : Identity Aware Proxy )

「SAML認証に対応のSP機能とリバースプロキシ」を1台で運用出来る「ID認識型リバースプロキシ」アプライアンス　 Powered BLUE Reverse Proxy for SSO / IDaaS を利用します。

Zero Trust モデルの構成＆アクセス

社内Webサーバーへのアクセス 例

設定の手順

idP側の設定

• idPへアカウントを作成
• SAML認証を有効
• アクセスポリシーを設定

ID認識型リバースプロキシ側の設定

• リバースプロキシのSAML認証を有効
• リバースプロキシからのリダイレクト先Web-URLを指定
• リバースプロキシにはユーザーアカウントの作成不要

ゼロトラストでの認証のステップ

①   ID認識型リバースプロキシへアクセス
②　初回のみidPへアクセス ( シングルサインオン ）
③　idPの認証後にリバースプロキシ先のWebにリダイレクト

* SP initiated SAML および idP initiated SAMLに対応

WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、ID認識型リバースプロキシ経由でアクセスさせることができます。Webの「認証が弱い」もしくは「認証がない」場合にも、ID認識型リバースプロキシ経由でのアクセスに限定することにより、ゼロ・トラスト・セキュリティの構成に組み込んでセキュアなWebアクセスでの運用ができます。

冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

マルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

終わりに

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください。

• Active Directory認証
• OTP認証
• SSLクライアント認証
• SAML認証  ( ゼロトラスト対応 )
• LDAP認証
• 指紋認証や顔認証（ FIDO2 / WebAuthn ）

などが利用できます。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。複数の認証を組み合わせて多要素認証での運用や冗長構成（HA）での運用にも対応しています。

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

ターゲットWebの隠蔽

リバースプロキシ先のWebサイト名を隠蔽することが出来ます。

VPNとリバースプロキシの比較

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Proxy  アプライアンス」　を利用します。

リバースプロキシの運用先

「Powered BLUE Reversse Proxy  アプライアンス」は

仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

• 仮想環境 ( VMware / Hyper-V )

• クラウド環境（ AWS / Azure / VPS 他）

【１】AD認証のリバースプロキシ構成

対応の認証方式

• Active Directory認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• Basic認証
• LDAP認証
• Kerberos認証

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（AD認証）

１）リバースプロキシへアクセス
２）AD認証（アカウントやパスワードを入力）
３）ADの認証後にリダイレクト先のWebページを表示

【2】AD認証＋SSLクライアント認証

対応の認証方式

• Active Directroy認証
• SSLクライアント認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• LDAP認証
• Kerberos認証

リバースプロキシ側でのSSLクライアント認証 設定

• Private-CA 機能により、SSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【3】ワンタイムパスワード認証のリバースプロキシ構成

対応の認証方式

• OTP認証
• QRコード対応
• 「OTP＋任意のパスワード」の組み合わせに対応
•  TOTP / HOTP  対応

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

• Google Authenticator
• WinAuth
• Authy
• IIJ SmartKey
• Microsoft Authenticator
• 他

リバースプロキシのワンタイムパスワード設定

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

認証のステップ（ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リダイレクト先のWebサイトの表示

【4】SSLクライアント認証のリバースプロキシ構成

SSLクライアント認証の有効化

• リバースプロキシのSSLクライアント認証を有効にします
• *Private-CA 機能により、SSLクライアント証明書を発行します

SSLクライアント認証のアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 部門によるアクセス制限

例　月曜日から金曜日　9時から18時　までの時間帯のみリバースプロキシへのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証）

１）リバースプロキシにアクセス
２）SSLクライアント認証
３）認証後にリダイレクト先のWebを表示

SSLクライアント証明書が無効の場合

【5】ワンタイムパスワード認証＋SSLクライアント認証のWeb構成

ワンタイムパスワードの設定

SSLクライアント認証の有効化

• Webサーバー側のSSLクライアント認証を有効にします

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　まで時間帯のみのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にリバースプロキシにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　リダイレクト先のWebサイトの表示

【6】SAML認証のリバースプロキシ構成

• ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

対応の認証方式

• SAML認証

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側でSAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

認証のステップ（SAML認証）

1）リバースプロキシへアクセス
2）初回のみ idP へアクセス ( シングルサインオン ）
3）idPの認証後にリバースプロキシ先のWebにリダイレクト

* SP initiated SAML および idP initiated SAMLに対応

【７】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• SSLクライアント認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）リバーススプロキシへアクセス（SSLクライアント認証）
２)   idPへアクセス ( シングルサインオン / 初回のみ ）
３）idPの認証後にリダイレクト先のWebサイトにアクセス

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• ワンタイムパスワード認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• Webサーバー側でSAML認証を有効にします
• Webサーバー側にユーザーアカウントは不要です

リバースプロキシ側　ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）OTP表示
２)   リバースプロキシへアクセス ( ワンタイムパスワード認証 ）
３）idPのSAML認証後にWebサイトの表示（シングルサインオン / 初回のみ）

【9】指紋認証や顔認証（FIDO2 / WebAuthn）

FIDO2 / 生体認証を利用したリバースプロキシで社内Webへアクセス

リバースプロキシへのアクセス時の生体認証により「なりすまし」を防止します

 iPhone / iPad  / アンドロイド ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「スマートフォンの所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ スマートフォンの顔認証や指紋認証の機能を利用 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 　指紋認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【10】冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチAZ構成

異なるアベイラビリティゾーン（AZ)を利用して認証対応のリバースプロキシにより耐障害性の向上

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

idP連携でのロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

idP連携でのマルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

【11】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

◉ AD認証に対応のリバースプロキシ

Active Directroy認証に対応の　「Powered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。

機能

• リバースプロキシ機能
• リバースプロキシのAD認証
• リバースプロキシのSSLクライアント認証
• リバースプロキシのHA対応
• ポータルサイト機能

運用構成

• LAN側に設置のWebへのアクセス

運用先

「Powered BLUE Reverse Proxy for AD」の運用先

• 仮想環境 ( VMware / Hyper-V / Nutanix )

＊仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

• クラウド環境（ AWS / Azure / VPS 他）

Active Directroy サーバー

Windows Serever 上にADサーバーを構築＆設定します

Powered BLUE アプライアンス

VMware / Hyper-V 環境の場合、Powered BLUE Reverse Proxy for AD アプライアンスのサーバーイメージを仮想環境にインポート＆認証方式やリバースプロキシのリダイレクト先を指定します。

対応の認証方式

Active Directroyとの

• AD認証
• Kerberos認証
• LDAP認証

など

利用する認証を選択

Active DirectoryとLDAP認証で連携の場合

リバースプロキシの設定

リバースプロキシのリダイレクト先を指定します（複数のリバース先を設定できます）

認証のステップ

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（ADとLDAP認証）
３）認証後にリバース先のWebを表示

ポータルサイト機能

リバースプロキシの機能に加えて、ポータルサイトの機能も有しています。

1. ポータルサイトにアクセス後に指定のバックエンドへのリダイレクト
2. 複数の異なるリダイレクト先の設定

などの運用が出来ます。

 プロキシID

バックエンドのWebサーバー側へプロキシIDを渡すことが出来ます

• リバースプロキシのプロキシIDをhttpヘッダーに追加
• バックエンド側では、連携のリバースプロキシを限定できます

◉ 多要素認証での運用にも対応

 SSLクライアント認証 +  ADとLDAP認証

ADとのLDAP認証連携に加えてPrivate-CA機能やSSLクラアント認証機能も有しており、リバースプロキシへアクセス時の多要素認証での運用にも対応

• リバースプロキシの認証 = SSLクライアント認証 +  ADとLDAP認証

SSLクライアント認証の有効化

SSLクライアント認証でのアクセス制限

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　までの時間帯のみのアクセス許可

認証のステップ（SSLクライアント認証＋ADとLDAP認証）

１）SSLクライアント認証
２）リバースプロキシへアクセス
３）アカウントやパスワードを入力（ADとLDAP認証）
４）認証後にリバース先のWebを表示

SSLクライアント証明書の無い場合

HTTPヘッダーへのCNなどの情報追加

SSLクライアント認証時に証明書の各種情報をHTTPヘッダーに追加して、バックエンドのWebへ送信。バックエンドのWeb側ではユーザー認証に利用が可能です。

CN　      例　ichiro-ohtani@xyz.com
　部門名    例　Sales
　会社名    例　XYZ Co. Ltd.

emailAddress=ichiro-ohtani@xyz.com,CN=ichiro-ohtani@xyz.com,OU=Powered
BLUE Client (1),OU=Sales,O=XYZ Co. Ltd.,L=Kita-ku,ST=Tokyo,C=JP

◉ 冗長運用

リバースプロキシのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応（Active-Activeでの運用に対応）

ロードバラアンサー配下での運用構成

クラウド環境と自社環境のミックス構成

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により耐障害性の向上

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

◉ WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

◉ VPNとリバースプロキシの比較

VPNの場合

アクセス集中により、VPN速度の低下などが発生

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。またAzure AD アプリケーション プロキシのような面倒な設定は不要です

ターゲットサーバーの隠蔽

ユーザーから見えるのはリバースプロキシまでです。リバース先のターゲットのサーバー・ドメイン名を隠蔽します。

• リバースプロキシ　  https://rev-proxy.xxx.com/
• ターゲット              https://target.yyy.co.jp/zzz
• リダイレクト設定　  https://rev-proxy.xxx.com/　－－＞ https://target.yyy.co.jp/zzz
• ユーザーブラウザへの表示　https://rev-proxy.xxx.com/zzz

デモ

Powered BLUE   　デモサーバー

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• VPN
• リバースプロキシ
• ゼロトラスト

などの方法があります。

リバースプロキシはWebでのアクセスとなるために、VPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくターゲットのWebへのアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。リバースプロキシに各種の認証を設定することにより、安全にターゲットのWebへアクセスすることが可能です。

例　LAN内のSharePointへのアクセス

例　LAN内のWebMail / Roundcubeへのアクセス

例　LAN内のMattermost / ビジネスチャットへのアクセス

VPNとリバースプロキシの比較

VPNへのアクセス集中による遅延など

VPNは仕様上、利用する機器や回線に大きな負荷がかかるために大人数での同時アクセスを処理する用途には向いておりません。

VPNへアクセスする際のセキュリティレベルが低い場合があるので注意（ 例  ID/パスワードのみでVPNの利用が可能など )

VPNでネットワークに接続してしまうと、全てのサーバーにアクセスできてしまい、セキュリティリスクが高い。

リバースプロキシの場合

VPNと異なり、リバースプロキシではユーザーはブラウザのみで利用ができます。また基本的にはWebでのアクセスなので、機器や回線に負荷をかけずに利用できます。VPNのようなネットワーク全体へのアクセスではなく、指定のサーバーのみにアクセスを許可させます。またリバースプロキシ先のサーバー名・ドメイン名を隠蔽することが可能。

ターゲットサーバーの隠蔽

• リバースプロキシ　  https://rev-proxy.xxx.com/
• ターゲット              https://target.yyy.co.jp/zzz
• リダイレクト設定　  https://rev-proxy.xxx.com/　－－－＞ https://target.yyy.co.jp/zzz
• ユーザーブラウザへの表示　https://rev-proxy.xxx.com/zzz

＊リバースプロキシ先のサーバーとして他社サーバーのサービスを利用の場合でも、ユーザーに見えるのはリバースプロキシサーバーまでです。

リバースプロキシの各種認証

リバースプロキシへアクセス時に各種の認証が適用できます。これにより社内側のWebサーバーへも安全なアクセスが可能です。リバースプロキシに複数の認証を組み合わせての多要素認証での運用もできます。

リバースプロキシ先のWebサーバーの「認証機能が弱い」　もしくは　「認証がない」場合でも認証対応のリバースプロキシ経由でセキュアなアクセスが可能です

【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & OTP/ワンタイムパスワード認証＋SSLクライアント認証
【4】リバースプロキシ & AD認証
【5】リバースプロキシ & AD認証＋SSLクライアント認証
【6】リバースプロキシ & ゼロトラスト対応SAML認証  (IAP : Identity Aware Proxy)
【7】リバースプロキシ & SAML認証＋SSLクライアント認証
【8】リバースプロキシ & パスワードレス生体認証（ FIDO2 / WebAuthn )

認証対応のリバースプロキシ

各種の認証機能付属のリバースプロキシとしては

　Powered BLUE Reverse-Proxy

が対応しています

◉ リバースプロキシ＆「ワンタイムパスワード認証」後に社内のSharepointへアクセス

認証のステップ

◉ リバースプロキシ＆「SSLクライアント認証」後に社内のWebへアクセス

認証のステップ

有効なSSLクライアント証明書の無い場合

◉ リバースプロキシ＆「SSLクライアント認証+ワンタイムパスワード認証」後に社内のWebへアクセス

認証のステップ

◉ リバースプロキシ＆「AD認証」後に社内Webへアクセス

認証のステップ

◉ リバースプロキシ＆「SSLクライアント認証＋AD認証」後に社内Webへアクセス

認証のステップ

 ◉ リバースプロキシ＆ゼロトラスト対応「SAML認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

リバースプロキシは、「ID認識型リバースプロキシ」として「SAML認証」で動作します

任意のidPと連携して、ゼロトラスト構成での運用が出来ます

認証のステップ

① リバースプロキシへアクセス
② 初回のみ idP へアクセス ( シングルサインオン ）
③ idPの認証後にリダイレクト先のWebサイトの表示

 ◉ リバースプロキシ＆「SAML認証+SSLクライアント認証」後に社内Webへアクセス

iDaaSやidPとの連携

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / などのiDaaSやidP のKeycloak / OpenAM 他との連携

idP側の認証とは別に、リバースプロキシで自社LAN内にアクセス時のSSLクライアント認証を設定して運用をします

認証のステップ

◉ リバースプロキシの生体認証

ユーザー側の生体認証を元にパスワードレスでリバースプロキシへのアクセスコントロールを行い、ターゲットのWebシステムへリダイレクトさせる運用が出来ます。

スマートフォンやタブレットのユーザーは、自身で保有の端末の指紋認証や顔認証の機能を使用します。パソコンユーザーは、USB接続のFIDO2対応の生体認証器を使用してリバースプロキシのアクセス認証を行うことが出来ます。

Android / iPhone / iPad  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「スマートフォンの所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ スマートフォンの顔認証や指紋認証の機能を利用 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 　指紋認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

◉ リバースプロキシの冗長化や負荷分散

ロードバランサーを使用。リバースプロキシの自動同期モードと組み合わせて、冗長構成で運用します。

ロードバランサーはクラウド環境側のリソースを利用する構成

マルチAZ構成

Route53やGSLBを使い、広域負荷分散を行います。

・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

◉ WAN側に設置のWebアクセスの認証強化

リバースプロキシ経由のみで指定のWebへアクセスする運用でセキュリティを確保できます。WAN側に設置のサーバーへもセキュアにアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

リバースプロキシの認証機能としては、FIDO2の生体認証、Active Directory認証、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/ゼロトラスト対応のSAML認証など、各種認証の組み合わせによる多要素認証などで社内LAN側のWebへアクセスさせることが出来ます。セキュリティの要件や用途に合わせて、リバースプロキシに複数の認証機能を組み合わせる多要素認証での運用にも対応しています。また生体認証にも対応しており、パスワードレス認証での運用も可能です。

冗長構成での運用にも対応しており、HAやマルチリージョンでの運用が出来ます（Route53やGSLBによるマルチAZ環境）

ブラウザのみで利用

社内Webへのアクセスに際してリバースプロキシを利用する場合、リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。

VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。VPNの代替として利用ができます。ゼロトラストシステムのような大掛かりな構成は必要なく、リバースプロキシ単体のみでの導入が可能です。

リバースプロキシの構成

シンプルな構成では、リバースプロキシ1台で運用します。冗長化や負荷分散の場合には、ロードバランサ配下で運用します。

リバースプロキシとしては、各種の認証に対応のリバースプロキシ・アプライアンス　「Powered BLUE Reverse Proxy」を利用します。

製品の特徴としては

• 認証対応のリバースプロキシ
• インターネットサーバー機能（Mail / Web / DNS )
• Let’s Encrypt などに対応
• ひとり情シスでの運用に対応

などの機能を有したリバースプロキシ・アプライアンスです。

製品の形態

仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。

仮想対応

VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。

クラウド対応

AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、Fujitsu Hybrid IT Service ( 富士通 ）、Enterprise Cloud ( NTT communications )、VPS他

Powered BLUE リバースプロキシの各種認証

Powered BLUE のリバースプロキシは、以下のパターンでの認証＆運用に対応しています

【１】基本　Powered BLUE Reverse Proxy でのリバースプロキシ設定

• 複数のリバース先の設定に対応
• リバース先のポート( http/https/ポート番号 ）の指定に対応
• 終端までSSL通信での運用に対応
• リバースプロキシー運用のWebサイトにLet’s EncryptによるSSL化にも対応

リバースプロキシサイトのSSLのサーバー証明書

SSLのサーバー証明書としては

• サイトのSSL自己証明
• パブリックなSSLサーバー証明書
• Let’s EncryptでのSSLサーバー証明書

に対応しています。

Let’s EncryptによるSSL化　例

【２】ワンタイムパスワード認証対応のリバースプロキシ

リバースプロキシへのアクセスに、ID/パスワードとワンタイムパスワード(OTP)による2要素認証での運用が出来ます。 Powered BLUE 870/OTPのリバースプロキシ付属モデルを利用します。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

トークン

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

• Google Authenticator　( iOS / Android対応 ）
• WinAuth ( Windows対応 ）
• Authy ( iOS / Android / Windows / Mac / Linux対応 ）
• IIJ SmartKey ( iOS / Android対応 ）
• Microsoft Authenticator ( iOS / Android対応 ）

ユーザーやコードの管理

利用するユーザーに、スマフォ端末などのカメラから各自のQRコードをトークンに読み込ませます。カメラのないPCなど端末から利用の場合のコードの発行にも対応。

スマフォへの登録方法

アクセス手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リバースプロキシ先のWebサイトの表示

【３】SSLクライアント認証対応のリバースプロキシ

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。 Powered BLUE 870 Private CAのリバースプロキシ付属モデルを利用します。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用することが出来ます。

SSLクライアント認証　例

グループウエアへのアクセス例
SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

ロードバランサ対応

Powered BLUE では、Private-CAとSSLクライアント認証＆リバースプロキシを分離しての運用に対応しています。ロードバランサでは、SSL通信をスル―させてリバースプロキシ側でSSLクライアント認証を行います。SSLクライアント認証後に、リバースプロキシによりターゲットのWebへリダイレクトさせます。

• Private-CA    (Powered BLUE Private CA)
• SSLクライアント認証＆リバースプロキシ     (Powered BLUE Reverse Proxy/SSLクライアント認証機能付属モデル）

Private CAの設定ポイント

ロードバランサー配下で運用の場合、Private CAからCRLの提供を許可するクライアントのリバースプロキシサーバーを指定します　（ CRLの提供を許可するリバースプロキシのIPアドレス ）

• 負荷分散先のリバースプロキシ / CRL サーバー　No1 = 192.168.100.58
• 負荷分散先のリバースプロキシ / CRL サーバー　No2 = 192.168.100.73

リバースプロキシ＆SSLクライアント認証サーバー側の設定のポイント

• CAからCRLを自動入手出来る設定 ( 取得先CA 　http://ca-server.mubit.com )
• crlの同期スケジュールを指定（更新間隔）

【４】Active Directory認証対応のリバースプロキシ

リバースプロキシへのアクセスに、AD認証での運用が出来ます。  Powered BLUE Reverse Proxy for AD を利用します。

AD / LDAPS認証設定例

AD認証では、リバースプロキシにはユーザーアカウントが不要なため、ひとり情シス環境でも簡単に運用ができます。

認証のステップ（AD認証）

2要素認証

「AD認証＋SSLクライアント認証」などの２要素認証での運用にも対応しています。

認証のステップ（SSLクライアント認証＋AD認証）

【５】ゼロトラスト対応SAML/OIDC認証のID認識型リバースプロキシ

Powered BLUEのリバースプロキシは、SAML認証やOIDC認証に対応のID認識型リバースプロキシとして動作します。IDaaSなどのidPと連携して、社内のWebサイトへSAML2.0に対応のSP機能を持つ、ID認識型リバースプロキシでアクセスさせます。

社内LAN側に設置のシングルサインオンに未対応のWebサーバーに、SAML2.0対応のID認識型リバースプロキシ/Reverse Proxy経由でアクセスする場合の構成例です。

ユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。また部門や社員、会員ごとにリバースプロキシへのアクセスコントロールの設定・運用が可能です。リバースプロキシには、ユーザーアカウントがないため、SPとなるリバースプロキシ側からアカウント漏洩の心配はありません。

SP(サービス・プロバイダ）

SPとしては、SAML/OIDC認証に対応したSSOのリバースプロキシ機能を持つ「Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

idP(アイデンティティ・プロバイダ）

idPとしてはSAML/OIDC認証に対応した　G suite、Azure ADやTrustLogin、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSなどや、OpenAM、Keycloakなどと連携が出来ます。

SAML2.0の設定例

各社idPとSPでSAML2.0の認証を設定する例です

• idP  「TrustLogin」でのリバースプロキシの設定例
• idP  「CloudGate UNO」でのリバースプロキシの設定例
• SP   「Powered BLUE Reverse Proxy for SSO/IDaaS」でのリバースプロキシの設定例

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

シングルサインオンでのSAML認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にリバースプロキシ先のWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

設定構成

以下のようなリバースプロキシ構成での設定例です

社内チャットへのリレイ

例　User —> https://wp-sam0.mubit.jp/ —-> http://sni-0.mubit.jp/

一般のWebページへのリレイ

例　User —> https://wp-sam1.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

Web Mailへのリレイ

例　User —> https://wp-sam2.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/

【６】ID/パスワードの代理認証でのSSO

社内LAN側にあるID/パスワード入力の必要なWebシステムへ、リバースプロキシからターゲットのWebサーバーへプリセットされたID/パスワードの自動入力でのシングルサインオンでの運用にも対応しています。

idP連携のOIDC/SAML認証のリバースプロキシからWebへ代理入力＆SSO

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

idPなど

SAMLやOIDC認証のidP

• Azure AD
• TrustLogin
• CloudGate UNO
• onelogin
• okta
• Keycloak

などがあります。これらのidPと  「Powered BLUE Reverse Proxy for SSO/IDaaS を組み合わせて構築します。

代理入力

OIDC / SAML認証に対応のリバースプロキシからWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーからターゲットWebへの「ID / パスワード」の入力不要
2. ターゲットWebをSSOのメンバーとして構成

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス
3. idP の認証後にリバースプロキシからWebへユーザー情報を代理入力
4. Webへ自動ログイン

【７】多要素認証

Powered BLUE Reverse Proxy で

• SSLクライアント認証
• ワンタイムパスワード認証

を併用して運用する事が出来ます

アクセス手順

1）ワンタイムパスワードの表示
2）SSLクライアント認証
3)  リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
4）認証の成功後　リバースプロキシ先のWebサイトの表示

SAML/SPでの多要素認証

社内LAN側に設置のWebサイトへのアクセスに際して、IDaaS側の認証に加えて自社で運用出来るリバースプロキシに自社のポリシーに準じた独自の認証を設定したい場合には有効です。

SAML SP&SSLクライアント認証

SP上でPrivate CAを運用　SSLクライアント証明書を発行して、SP/リバースプロキシ上でSSLクライアント認証を実行

SAML SP&ワンタイムパスワード認証

SP/リバースプロキシ上でワンタイムパスワード認証を運用

AD認証＋SSLクライアント認証

Powered BLUE Reverse Proxy で

• AD認証
• SSLクライアント認証

を併用して運用する事が出来ます

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【８】FIDO2/パスワードレス認証

FIDO2 / WebAuthn 対応のリバースプロキシの生体認証で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。生体認証を行うことで「パスワードレス認証」での運用が可能です。

idPとして　「Powered BLUE for idP 」

SPとして　「Powered BLUE ReverseProxy for SSO / IDaaS 」を組み合わせて構築します。

生体認証での構成

アクセス手順

スマートフォン・ユーザーの場合（iPhone / iPad / Android )

1）生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）
2）生体認証（スマートフォン内の指紋認証・顔認証を利用）
3)   認証後にリバースプロキシからID/パスワードを代理入力＆ターゲットのWebへログイン

PCユーザーの場合

1）生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）
2）セキュリティキーにタッチ（指紋認証）
3)   認証後にリバースプロキシからID/パスワードを代理入力＆ターゲットのWebへログイン

【９】HA対応

ワンタイムパスワード認証・SAML認証・SSLクライアント認証機能のリバースプロキシは、自動同期機能により冗長構成での運用に対応しています。またRoute53やGSLBによるマルチAZ環境でも運用もできます。

ロードバランサー配下での構成

• シングルリージョン（シングルAZ）＋ ロードバランサー構成

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチリージョン（マルチAZ）での構成

回線やデータセンターが異なるために、耐障害性が向上します

• リージョンA （東日本データセンター）
• リージョンB （西日本データセンター）

デモサイト

Powered BLUE のデモサイトを用意しています

サーバーの操作や認証設定、各種の認証に対応のリバースプロキシなどの動作を確認することが出来ます

デモサイト

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。