AD認証対応のWeb

自社WebをAD認証で運用できます

任意のディレクトリに認証を設定

運用例

• トップディレクトリ　ワールドワイドに公開
• 特定のディレクトリ　社員・会員のみアクセス許可

AD認証に対応のWebサーバー

Linuxで動作するActive Directroy認証に対応の　「Powered BLUE Web for AD アプライアンス」　を利用します

機能

• Web/Mail/DNS機能
• Web認証機能（AD認証）
• SSLクライアント認証（多様素認証）

運用先

• 仮想環境 ( VMware / Hyper-V )
• クラウド環境（ AWS / Azure 他 ）

＊仮想アプライアンスのイメージでの提供・インポートするだけですぐに運用できます

対応の認証方式

• ADとのKerberos認証やLDAP認証、Basic認証など

＊クライアントからWebおよび、ADまでの全経路での暗号化通信に対応

Active Directroy サーバー

Windows Serever 上にADサーバーを構築＆設定します

Powered BLUE アプライアンス

VMware/Hyper-V 環境の場合、Powered BLUE Web アプライアンスのサーバーイメージを仮想環境にインポートを行い、Webページ作成＆AD認証を選択します。

• LDAP認証
• Kerberos認証
• Basic認証

認証のステップ（AD認証）

１）Webアクセス＆アカウントやパスワードを入力
２）AD認証
３）Webサイト表示

多要素認証

Webアクセス時のSSLクライアント認証による2要素認証にも対応

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

• Webアクセス認証 = SSLクライアント認証 +  AD認証

SSLクライアント認証の設定とアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 組織や部門でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

認証のステップ（SSLクライアント認証＋AD認証）

１）Webアクセス＆SSLクライアント認証
２）アカウントやパスワードを入力
３）AD認証
４）Webサイト表示

冗長運用

サーバーのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応（Active-Activeの自動同期での運用に対応）

ロードバラアンサー配下での運用構成

マルチAZでの運用構成

異なるアベイラビリティゾーン / マルチAZでの運用に対応

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

AD認証に対応のApache Webサーバー

Active Directroy認証に対応の　「Powered BLUE Web for AD アプライアンス」　を利用します

機能

• Web/Mail/DNS機能
• Web認証（AD認証連携）
• SSLクライアント認証
• サーバーのHA対応

構成

運用先

• 仮想環境 ( VMware / Hyper-V )
• クラウド環境（ AWS / Azure 他 ）

＊仮想アプライアンスのイメージでの提供・インポートするだけですぐに運用できます

対応の認証方式

• ADとのKerberos認証やLDAP認証、Basic認証など

Active Directroy サーバー

Windows Serever 上にADサーバーを構築＆設定します

Powered BLUE アプライアンス

VMware/Hyper-V 環境の場合、Powered BLUE Web  アプライアンスのサーバーイメージを仮想環境にインポートを行い、WebデータやAD認証を設定します。

AD認証設定

Webサイトの運用例

• Webページの作成
• トップページはワールドワイドに公開
• 特定のWebページは、社員・会員のみに公開（AD認証）

＊任意のWebページにAD認証を設定できます

認証のステップ（AD認証）

１）Webアクセス＆アカウントやパスワードを入力
２）AD認証
３）Webサイト表示

多要素認証

Webアクセス時のSSLクライアント認証による多要素認証にも対応

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

• Webアクセス認証 = SSLクライアント認証 +  AD認証

SSLクライアント認証の有効化

• 時間帯や曜日によるアクセスコントロール
• 例　月ー金　9：00－18：00　の時間帯のみアクセスを許可

認証のステップ（SSLクライアント認証＋AD認証）

１）Webアクセス＆SSLクライアント認証
２）アカウントやパスワードを入力
３）AD認証
４）Webサイト表示

冗長運用

サーバーのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応（Active-Activeでの運用に対応）

ロードバラアンサー配下での運用構成

マルチAZでの運用構成

異なるアベイラビリティゾーン（マルチAZ)での運用に対応

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

既存で運用のバックエンドのWebサイト側の変更は不要です。HA対応のワンタイムパスワード認証機能付きリバースプロキシを設置するだけの簡単導入に対応しています。リバースプロキシの運用先もAWSやクラウド、仮想環境など任意の場所で運用が可能です。

リバースプロキシ/Reverse Proxy

一般的なリバースプロキシは

今回は、HA＆ワンタイムパスワード認証対応の

を構築＆運用します

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

• ワンタイムパスワード認証
• ID/パスワード認証
• リバースプロキシによるリダイレクト
• Active-ActiveのHA（Master-Slave)での動作に対応

までを構築＆運用出来るアプライアンスです。

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例

Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

クラウドや仮想対応

AWS/Azureなどのクラウド環境や、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。

ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。

AWSでの構築

　Powered BLUE のAWSでの構築＆設定例

ワンタイムパスワード認証の設定（1台目：マスター）

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

• 仮想サイト & 認証のディレクトリ（例 トップdir /  にワンタイムパスワード認証設定の場合 ）

ユーザー認証設定（1台目：マスター）

ユーザーへワンタイムパスワード認証を許可します

例　鈴木　二郎 へワンタイムパスワード認証を有効に設定

秘密鍵の共有フロー

QRコード（共有鍵）の表示

• ソフトウエア・トークンを起動して、QRコード（2次元バーコード）をスマフォで読み撮り登録します
• QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
• QRコードは、ユーザー毎に異なります

リバースプロキシの設定画面（1台目：マスター）

ワンタイムパスワード認証＆リバースプロキシ

https://xxx.yyy.com/ 　 —-> https://www.powered.blue/

冗長構成

「Powered BLUE 870/OTP」はマスター＆スレーブの冗長構成での運用に対応しています。

HAでは1台目のマスター側の設定情報を2台目以降のスレーブ側と同期します。

HA運用に際して

管理者は、マスター側のサーバーのリバースプロキシやSSLサーバー証明書、およびユーザーアカウントをメンテするだけでスレーブ側は自動で同期するため、冗長構成時の運用でも管理者の負担を増やしません。

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

シングルAZ + ロードバランサー

マルチAZでの運用

• リージョンA / 東日本データセンター
• リージョンB / 西日本データセンター

認証ステップ

１）ワンタイムパスワードを表示させる
２）リバースプロキシにアカウントやワンタイムパスワードを入力
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

リバースプロキシ先のWebアプリなど

SharePointへ

Roundcubeへ（Webmail)

RocketChatへ

サイボウズへ

デスクネッツへ

WordPressへ

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

　Powered BLUE 870 のデモサイト

終わりに

ワンタイムパスワードやSSLクライアント認証でＷebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

ワンタイムパスワード認証のWebサーバーの負荷分散を行いたい、2重化で運用したい場合などでも、簡単に構築運用が出来ます

ワンタイムパスワード認証機能付属のWebサーバー

ワンタイムパスワード認証機能を持つWebサーバー   「Powered BLUE 870/OTP」を使います。このアプライアンスサーバーは、自社専用のワンタイムパスワード認証機能付属のWebサーバーを自社で簡単に構築＆運用することが出来ます。

ビジネスポータルのWebサイトにワンタイムパスワード認証を設定する。また特定のディレクトリ以下にワンタイムパスワード認証を設定するなどの多彩な運用形態が取れます。リバースプロキシ機能も有しており、既存で運用のWebサイトへの認証連携にも対応しています。

運用先

アプライアンスで提供されるので、運用先の環境ですぐに利用が出来ます

• AWSやVPSなどのクラウド環境
• VMware ESXiやHyper-Vなどの仮想環境

AWSにも対応

　Powered BLUE のAWSでの構築＆設定例

対応のトークンなど

ユーザー側では、Google Authenticatorのフォーマットに対応の無償のソフトウエア・トークンを利用できます

• Google Authenticator
• Authy
• IIJ SmartKey
• WinAuth
• 他

ユーザーは、ソフトウエアトークンで自身のQRコードを映すだけで簡単にOTP認証に対応のWebサイトの登録が出来ます

仮想サイトを作成(１台目：マスター）

例　test-opt.mubit.com

Webページ(１台目：マスター）

作成した仮想サイトには、デフォルトでindex.htmlが自動作成されています。このindex.htmlファルを適宜変更して、Webページを作成できます。

デフォルトのindex.html

ワンタイムパスワード認証の設定(１台目：マスター）

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

• 仮想サイト & 認証のディレクトリ（例 トップdir /  にワンタイムパスワード認証設定の場合 ）

ユーザー認証設定(１台目：マスター）

ユーザーへワンタイムパスワード認証を許可します

例　鈴木　二郎 へワンタイムパスワード認証を有効に設定

冗長構成(２台目：スレーブ）

「Powered BLUE 870/OTP」はマスター＆スレーブの冗長構成での運用に対応しています。

同期するデータは、仮想サイト毎に

• Webサイトの情報（静的なWebページデータやWebスクリプト属性)
• WebサイトのSSLサーバー証明書
• 設定情報

など自動で同期します

HA運用に際して

管理者は、マスター側のサーバーの設定を行うだけです。スレーブ側は自動で同期するため、冗長構成時の運用でも管理者の負担を増やしません。

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています

ロードバランサー配下での運用

マルチAZ構成での運用

Webサイトへのアクセス手順

1）ワンタイムパスワードの表示
2）Webサイトにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　ターゲットのWebサイトの表示

デモサイト

デモサイトではWebサイトアクセス時のワンタイムパスワード認証などの操作や設定などの確認が出来ます

　Powered BLUE 870 のデモサイト

終わりに

ワンタイムパスワードやSSLクライアント認証でＷebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください

シスログの拠点間での安全な送受信（盗聴防止・改ざん防止・機器の認証）やログの冗長化対応による複数個所へのログ送信。ログ送受信時のログの喪失防止機能や受信したログの長期保存をする機能などが重要になります

このような機能を満たすログアプライアンス として「Powered BLUE 870 Syslog サーバー」が利用できます

Powered BLUE シスログサーバーでは、強力なsyslog機能をもっておりシスログの送信（クライアント）、中継、受信の3タイプのいずれのサーバーとしても運用出来ます。また他のサーバーからのログを受信しながら、保存用のログサーバーへのログの同時送信などでの運用が可能です。ログの送信時のキューの設定や最大3か所へのログの送信機能などを備えています。

FortigateやSonicwallなどのFirewallのログやVMwareESXi などのログの受信や保存にも対応しています。

Powered BLUE シスログサーバーの特長

• シスログの送信・中継・受信の3モードの運用に対応
• 送受信時の暗号化通信と機器認証に対応（盗聴＆なりすまし防止）
• 送信キュー（相手機器との通信途絶時などのログの喪失防止）
• 冗長構成に対応（最大3台のサーバーへの送信をサポート）
• ログの長期保存（ログローテーション回数や保存期間の任意指定による長期保存に対応）
• アプライアンス（仮想アプライアンス・クラウド・ハードウエア）

AWSやクラウド対応

AWS/Azureなどのクラウド環境や、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のログサーバーの運用が可能です。

AWSでの構築　例

　Powered BLUE のAWSでの構築＆設定例

Powered BLUE シスログサーバーでの運用例

• Fortigate / VMwareESXi / Sonicwall / 各サーバーなどのログ受信＆保存
• 受信ログは各サーバ毎にディレクトリに保存

●中継サーバーで受信のログをインターネット越しに、１）本社　２）関連会社　３）サポート会社の各ログサーバーへ転送
●ログの送受信時には、TLS認証により通信の暗号化、ログの漏洩および機器の認証を実施
●ログの送信キューを設定。回線途絶時のログの喪失を防止
●ログに指定のキーワードがあれば、管理者へ通知の設定での運用
●受信のログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年間での運用

受信ログのローテーション回数（例　5年　毎日　365ｘ5=1825）

なりすまし防止

シスログ送受信時のサーバー証明書による認証　(クライアントとサーバー間のログ送受信時の「なりすまし」を防止）

受信ログのトラップ

●アラートには任意のキーワードでトラップを設定できます
●トラップが連続した場合でも、送信メールの間隔を設定出来ます（例　900秒間隔）

ローカルファシリティの設定

syslog デモサーバー

Powered BLUEの　　syslog デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

自社管理で運用出来るワンタイムパスワード認証に対応のReverse Proxy経由で、LAN側に設置のWebサイトへアクセスさせることが出来ます。HAやマルチリージョンでの冗長化にも対応しています。

既存で運用のWebサイト側の変更は不要です。ワンタイムパスワード認証に対応のリバースプロキシを設置するだけで簡単にワンタイムパスワード認証システムの導入が出来ます。

リバースプロキシ/Reverse Proxy

一般的なリバースプロキシは

今回は、ワンタイムパスワード認証対応の

を構築＆運用します

セキュアなアクセスに対応

ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

• ワンタイムパスワード認証
• ID/パスワード認証
• リバースプロキシによるリダイレクト

までを1台で構築＆運用出来るアプライアンスです。HA機能なども有しています。

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例

Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

仮想環境やクラウド対応

VMware/Hyper-vなどの仮想環境での運用やAWS/Azureなどのクラウド環境にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。

ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。

AWSでの構築

　Powered BLUE のAWSでの構築＆設定例

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

• 仮想サイト & 認証のディレクトリ（例 トップdir /  にワンタイムパスワード認証設定の場合 ）

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例　鈴木　二郎 へワンタイムパスワード認証を有効に設定

QRコード（共有鍵）の表示

• ソフトウエア・トークンを起動して、ユーザーごとのQRコード（2次元バーコード）をスマフォで読み撮り登録します
• QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
• QRコードは、ユーザー毎に異なります

QRコードの登録＆表示

リバースプロキシの設定画面

ワンタイムパスワード認証＆リバースプロキシ

https://xxx.yyy.com/ 　 —-> https://www.powered.blue/

＊複数のリバース先を指定できます

認証ステップ

１）ワンタイムパスワードを表示させる
２）リバースプロキシにアクセス（アカウントやワンタイムパスワードを入力）
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

リバースプロキシ先のWebアプリなど

SharePointへ

RocketChatへ

サイボウズへ

デスクネッツへ

WordPressへ

HA / 冗長化

「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

ロードバランサー配下での構成

• シングルAZ + ロードバランサー

マルチAZでの構成

• マルチAZ + GSLB or Route53
• リージョンA　日本データセンター
• リージョンB　米国データセンター

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用（多要素認証）での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

• Webサイト構築・管理機能
• SSLクライアント認証＆ワンタイムパスワード認証に対応
• リバースプロキシ
• インターネットサーバー機能

までを1台で運用できる　　Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用（多要素認証）およびリバースプロキシも同時に運用が出来ます。

SSLクライアント認証でのアクセスコントロール

• SSLクライアント認証の有効化

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

認証ステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

　Powered BLUE 870 のデモサイト

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

• VMware / Hyper-V
• AWS/EC2 （AMI対応）
• Azure
• FUJITSU Hybrid IT Service FJcloud-O / 富士通
• Enterprise Cloud / NTT communications
• スマートコネクトVPS / NTTスマートコネクト
• WebARENA / NTTPC コミュニケーションズ
  
• ALTUS (アルタス）/ GMOクラウド
• VPS

などでも運用が可能です。

終わりに

ワンタイムパスワードやSSLクライアント認証でＷebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

Webサーバーの認証機能としては、認証なし、OTP/ワンタイムパスワード認証、SSLクライアント認証、SSO/シングルサインオン/SAML認証や各種認証の組み合わせによる2要素認証・多要素認証などに対応。

セキュリティの要件や用途に合わせて、Webアクセス時に各種の認証機能を組み合わせて自社管理での運用が出来ます。

Webサーバーとしては、各種の認証機能に対応のWebアプライアンス　「Powered BLUE 」を利用します。

製品の特徴としては

• OTP/ワンタイムパスワード認証
• SSLクライアント認証
• SSO/SMAL2.0認証
• インターネットサーバー機能（Mail / Web / DNS )
• WordPressに対応
• Let’s Encrypt に対応
• ひとり情シスでの運用に対応

などの機能を有したWebアプライアンスです。

製品の形態

仮想アプライアンスに加え、ハードウエア・アプライアンスにも対応しています。

仮想対応

VMware ESXi やHyper-Vに対応の仮想アプライアンスのイメージで提供。仮想アプライアンスのイメージを仮想基盤にインポートするだけですぐに運用が出来ます。

クラウド対応

AWSやAzure、ALTUS ( アルタス ) / GMOクラウド、WebARENA / NTTPC コミュニケーションズ、FUJITSU Cloud Service for OSS ( 富士通 ）、Enterprise Cloud ( NTT communications )、VPS他

AWSでの構築

　Powered BLUE のAWSでの構築＆設定例

Powered BLUE の各種認証

Powered BLUE のWebサーバーは、以下の6つのパターンでの認証＆運用に対応しています。各種の認証機能付きのWebサーバーを自社管理で運用出来ます

各種の認証製品は　…..

続きを読む

一般的な Webページ や WordPress で作成のWebサイトをSAML2.0/SSOの認証で運用します。

SAML認証

シングルサインオンのSAML認証の場合には、ユーザーアカウント管理の機能を持つ　idP（アイデンティティ・プロバイダ）とその情報を利用するSP（サービス・プロバイダ）で構成されます。

ユーザーアカウント不要

SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、ゼロトラスト対応のSAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。

SAML認証対応のWebサイト

自社Webをシングル・サインオンで運用できます

SP(サービス・プロバイダ）

今回はSPとして、ゼロトラスト＆SAML認証に対応のSSOのWebサーバー機能を持つ　「Powered BLUE Web for SSO/IDaaS」を利用します。

機能としては

• ゼロトラスト対応＆SAML認証のWebサーバー機能
• Webサーバー/SP側にユーザーアカウントを作成することなく、SAML認証&グループアクセスのコントロールでの運用に対応
• インターネットサーバー機能（Mail/Web/DNS/ftp）
• WordPress /  Let’s Encrypt 対応 / php 7.x 対応
• ひとり情シス対応

のオールインワンで運用出来るサーバーです。CentOSやRedHat 上で動作し、AWS/Azure/Fujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud 、ALTUS (アルタス) / GMOクラウドなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境で運用することが出来ます。またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用にも対応しています。

idP（アイデンティティ・プロバイダ）

idPとしてはSAMLに対応の　TrustLoginのほか、G Suite、Azure ADや、CloudGate、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSと連携が出来ます。また自社で運用のidP （OpenAM / KeyCloak）などとの連携も出来ます。

SAML2.0でのネットワーク構成例

SAMLは仕様上、idPとSPの直接の通信を行わない構成が可能です（SP-initiated SAML)

ユーザーのブラウザを経由してidPとSP間の通信を行うので、ネットワークやセキュリティ面で制約がある場合でも運用が出来ます

SP（サービスプロバイダ）は任意の場所に設置＆運用が出来ます（LAN内の設置でもWAN側のidPでの認証が可能）

SPとIdPの通信手順

1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信＆検証
8)ユーザーはSP上のWebサイトへログイン

LAN内に設置のWebサイト/spとidPの例

LAN側に設置のWeb・SP（サービスプロバイダ）へのアクセス認証をWAN側のidPやIDaaSで行う

こんな使い方が出来ます

１）LANでの運用例　SP/社内専用のWebサーバーをLAN内に設置

• 社内用のWebサーバーをLAN内に設置
• 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
• Webサーバー上には、ユーザーアカウントは不要

２）WANでの運用例　SP/公開用のWebサーバーをWAN側に設置

• Webサイトを作成
• トップページはワールドワイドに公開
• 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
• Webサーバー上には、ユーザーアカウントは不要

3）利用例

• アルバイト社員の勤怠表Webページ
• 社員向け連絡版のWebページ
• 代理店向けの製品資料の閲覧やダウンロードページ
• 会員向けの特定情報Webページ

こんなメリットがあります

• Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
• Webサーバーからのユーザーアカウント漏洩の心配は不要
• 自社のWebサイトをSAML認証でセキュアに運用

次は　SAML2.0の設定 …..

続きを読む

外部のIDaaSからLAN内のWebサーバへのアクセスには、代理入力やSAML-SP機能を有して中継できるリバースプロキシ/Reverse Proxyを利用します。

SMAL/SSOに対応していないアプリケーションにも、代理入力を利用することでシングルサインオンと同様にターゲットのWebアプリケーションにログインが出来ます。冗長化での運用もできます。

idPの認証とは別に、リバースプロキシ上でもSSLクライアント認証などを設定することが可能で社内LAN側のWebへのアクセスをセキュアにすることが出来ます。

社内Webへのアクセスに際して、VPNやモバイル端末用の閉域網は不要です。ブラウザのみでアクセスができます。

動作要件

• IDaaS/idP側では、フォームベース認証やBASIC認証の代理入力機能をサポートしていること
• リバースプロキシ側では、idPからの代理入力やSAML-SP機能を有してターゲットのWebサーバーへ中継出来ること

idPなど

フォームベース認証やBASIC認証の代理入力機能を有しているidP/IDaaSとしては

• TrustLogin
• CloudGate UNO
• onelogin
• okta
• Azure AD

などがあります。

フォームベース認証の代理入力

フォームベース認証の代理入力は、idP側に登録したID/Passwdを他システムのログインフォームに代理入力することでログインする仕組みになります。

BASIC認証の代理入力

BASIC認証の代理入力はID/PasswdをHTTPヘッダに記載しサーバーに送信することでログインする仕組みになります。

SSOや代理入力対応のリバースプロキシ

リバースプロキシとしては、ID/パスワードの代理入力の中継に加えてSAML2.0のSP機能やリバースプロキシ独自でのSSLクライアント認証やワンタイムパスワード認証をサポートしている　「Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

アプリケーション　例

Formbase認証のWebとしては、今回 Roundcube / Webmail とownCloud / オンラインストレージへアクセスします

ターゲット Web

roundcube      https:// t-own.mubit.jp/webmail

owncloud       https:// t-own.mubit.jp/owncloud

ネットワーク構成

idP －－＞＞ (Reverse Proxy ) t-ca.mubit.jp/webmail －－＞＞(Target Web) t-own.mubit.jp/webmail

idP －－＞＞ (Reverse Proxy ) t-ca.mubit.jp/owncloud －－＞＞(Target Wb) t-own.mubit.jp/owncloud

idP 

今回はフォームベース認証やBASIC認証をidP側でサポートしているTrustLoginを利用します

またフォームベース認証やBASIC認証の入力機構であるTrustLoginの拡張機能を、事前にご利用のブラウザへ組込必要があります

TrustLoginで、拡張機能に現在対応のブラウザは

• マイページ　 Chrome・Firefox・Internet Explorer 11
• 管理ページ 　Chrome

※Safari、Edgeには順次対応予定

※TrustLoginの各ブラウザへの拡張機能のインストール方法は、TrustLoginのサイトを参照のこと

リバースプロキシの設定

Powered BLUE Reveese Proxy for SSO/IDaaSの設定をします

https://t-ca.mubit.jp

仮想サイト作成

リバースプロキシを運用する仮想サイトを構築します

例　https://t-ca.mubit.jp

Webサーバの有効化

Webサーバーを有効にする　にチェックを入れます

仮想サイトのSSL化

SSLのサーバー証明書としては

• サイトのSSL自己証明
• パブリックなSSLサーバー証明書
• Let’s EncryptでのSSLサーバー証明書

に対応しています。

WebサイトのSSL自己証明の場合

SSLを有効にする　にチェックを入れます

パブリックなSSLサーバー証明書の場合

必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。

• 「署名リクエストの作成」でファイルを保存
• 作成された「署名リクエスト」　ファイル　signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

• 公的機関で発行された、サーバー証明書を　「インポート」　します
• 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

インストールボタンをクリック

Let’s Encryptインストール後に　有効にする　にチェックを入れます

リバースプロキシの設定

太字部分を設定します

https://t-ca.mubit.jp/owncloud/ ——->> https://t-own.mubit.jp/owncloud/

https://t-ca.mubit.jp/webmail/ ——->> https://t-own.mubit.jp/webmail/

TrustLogin の設定

社内WEBシステムやテンプレートにないアプリを登録する（独自アプリ登録の利用方法）
※ この機能はChrome版、Firefox版の拡張機能のみでご利用いただけます。Internet Explorer 11をお使いの場合は、Chrome、Firefoxでご対応ください。

① トラスト・ログインの管理ページの「設定 ＞ トラスト・ログイン機能制限」メニューで「独自アプリ登録」を有効化します。

管理者のみ、メンバーのみ、両方の有効化をすることができます。(上段の2個）

「編集ボタン」を押さないと、パラメータが変更できないので注意

編集終了後は「保存ボタン」を押す

② アプリ登録をするログインページをブラウザで開き、拡張機能の左上にある「＋」マークをクリックします。

　※ 管理ページでの設定が有効になると「＋」マークが表示されます。設定が無効な場合や権限がないメンバーでログインしていた場合はマークが表示されません。

③ ログインページ内の入力フォームのいずれかをクリックします。

注意　登録するWebアプリのログインページにアクセスした状態で「＋」マークを押す必要あり

例　https://t-ca.mubit.jp/webmail/　のログインページにアクセスして、ユーザー名にカーソルを合わせた状態で　ブラウザ右上のTrustLogin のマークをクリックして　「＋」をクリック

roundcube のユーザー名のログインにカーソルを合わせてクリック

次にブラウザ右上の　TrustLogin のロゴマーク　をクリック

アプリの利用範囲

自分用　もしくは　自社用

アプリ名

例　Roundcube Webmail ログイン

アカウント  test-user

パスワード  xxxxxxx

などを入力して保存する

代理入力でアクセスした際に

ユーザー名 / パスワード　 は入力されるが

リターンキーまでは入力出来ていない為に、ターゲットのWebへ自動でログインが出来ないケースがあります

修正方法は、

再度　ユーザー名 / パスワード 　を登録して保存しなおすことでリターンキーまで入力されて、ターゲットのWebへのダイレクトログインが出来ます

アクセス

roundcubeへのログイン

自動代理入力

idP/TrustLoginによる フォームベース認証のroundcube Web メールへリバースプロキシ経由でのID/パスワード の自動代理入力

自動ログイン

roundcubeへの自動ログイン

owncloudの設定

ownCloudもroundcubeと同様にテンプレートを作成して　アカウント / パスワードやアプリの表示名などを設定します

ownCloudへのアクセス

TrustLoginのownＣloudをクリック

owncloudへの自動代理入力

idP/TrustLoginによる フォームベース認証のownCloudサイトへリバースプロキシ経由でのID/パスワード の自動代理入力

ownCloudへの自動ログイン

リバースプロキシでの独自認証

idPへのアクセス認証とは別に、自社で運用するリバースプロキシ上に独自にSSLクライアント認証を設定することが出来ます。社内LAN側のサーバーへのアクセスに際して、自社独自のアクセス基準などがある場合には、idPの認証とは別に自社の管理下で運用するリバースプロキシへのアクセスコントロールを設定出来るSSLクライアント認証は有効です。

リバースプロキシでのSSLクライアント認証の構築手順＆設定 例

• Private CAを構築
• t-ca.mubit.jp のWebサイトに SSLクライアント認証を設定
• SSLクライアント認証後にリバースプロキシでターゲットのWebサイトへの転送

Private CA

リバースプロキシ上にPrivate CAを構築します

SSLクライアント証明書発行

SSLクライアント証明書を発行して、ユーザーへ配布します

SSLクライアント認証

リバースプロキシへアクセス時のSSLクライアント認証の有効化

サイト全体にSSLクライアント認証を有効に設定

https://t-ca.mubit.jp

リバースプロキシのディレクトリ毎のSSLクライアント認証のオン・オフ設定も出来ます

SSLクライアント認証を有効に設定

https://t-ca.mubit.jp/xxxx

SSLクライアント認証を無効に設定

https://t-ca.mubit.jp/yyyy

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、リバースプロキシへのアクセスコントロールを設定出来ます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

グループウエアへのアクセス例

SSLクライアント証明書 〇　　　SSLクライアント証明書 ✕

ログの出力先などの指定

SSLクライアント認証のログ出力先

冗長構成

• シングルAZ + ロードバランサー構成

マルチAZ

異なるアベイラビリティゾーンでの運用により耐障害性の向上

• ゾーンA / 東日本データセンター
• ゾーンB / 西日本データセンター

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

今回はIDaaSなどのidPと連携して、社内のWebサイトやWordPressで作成のWebサイト、Web mail、グループウエアなど、認証が弱い、もしくは認証のないWebサーバーへ、SAML対応のSP機能を持つID認識型リバースプロキシ経由でアクセスさせます。HAやマルチリージョンなどの冗長化構成での運用にも対応しています。

SAML認証対応のID認識型リバースプロキシ

WAN側のWebもセキュア・アクセス

またLAN内に設置のWebをWAN側のクラウド環境に移設の場合、認証対応のリバースプロキシ経由のみでのアクセスする運用により、WAN側に設置もWebサーバーもセキュアなアクセスで運用することが可能です。

対応のidP(アイデンティティ・プロバイダ）

idPとしてはSAML2.0に対応した　Azure ADやG suite、TrustLogin、CloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSやOpenAM、Keycloakなどと連携が出来ます。

SP/リバースプロキシにはユーザーアカウント不要

ユーザーアカウントはidP側のみに作成します。SPとなるリバースプロキシには個別ユーザーのアカウントを作成することなく、SAML認証でリバースプロキシへアクセスさせることが出来ます。

グループアクセスコントールに対応

SP対応のリバースプロキシへのアクセスをコントロールできます

運用例

• 営業部や開発部のみにアクセス許可
• 管理職のみにアクセス許可
• 社員・会員のみにアクセス許可

リバースプロキシには、ユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。

閉域網やVPN不要

社内Webへのアクセスに際して、モバイル用の閉域網やVPNなどは不要です。利用者はブラウザのみで、ストレスなくWebアクセスできます。

VPNのようなアクセス集中による遅延などもありません。

SP(サービス・プロバイダ）

SPとしては、SAML2.0に対応したSSOのID認識型リバースプロキシ機能を持つ「Powered BLUE Reverse Proxy  for SSO/IDaaS」を利用します。

この製品は

• SAML2.0対応のID認識型リバースプロキシ機能
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• SSLクライアント認証
• ワンタイムパスワード認証
• ひとり情シスでの運用に対応
• HA対応

のリバースプロキシ・アプライアンスです。CentOSやRedHatに対応しておりAWSなどのクラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンでの運用が出来ます。

独自認証

自社で運用出来るリバースプロキシでは、idPへのアクセス時のSAML認証の他に、リバースプロキシ上で独自に、SSLクライアント認証やワンタイムパスワード認証を設定することが可能です。社内LAN側のWebへのアクセスに際して、iDaaSの認証とは別に自社のポリシーを個別に適用したい場合などには有効です。

設定構成

以下のようなリバースプロキシ構成での設定例です

一般のWebページへのリレイ

例　User —> https://wp-sam.mubit.jp/blog —-> https://sni-1.mubit.jp/blog/

Web Mailへのリレイ

例　User —> https://wp-sam.mubit.jp/webmail —> http://sni-1.mubit.jp/webmail/

SP側の設定は …..

続きを読む