既存で運用中のownCloudへのアクセスを、SSLクライアント認証で運用する方法です。SSLクライアント認証により、第3者からのownCloudへの不正なアクセスを防止することが出来ます。
導入に際しては、既存で運用中のownCloud側は、基本的に変更なしでそのままでご利用出来ます。
用意する機器などは、SSLクライアント証明書を発行&認証&リバースプロキシ機能を持つ、「Powered BLUE Private CA」と運用中のownCloudサーバーです
- プライベートCA & リバースプロキシ( Powered BLUE Private CA )
- ownCloud
SSLクライアント認証導入前
- ownCloudのサーバーへの直接アクセス
SSLクライアント認証導入後
- Powered BLUE Private CA&Reverse Proxyへのアクセス
- SSLクライアント認証後に、ownCloudサーバーへリダイレクト
運用のイメージ
Powered BLUE Private CA&リバースプロキシサーバー側の設定
仮想サイトのSSL有効化
SSLクライアント証明書の作成
全社一括での発行や、グループ毎の発行も対応
SSLクライアント証明書のダウンロード
ユーザー毎に、URLからの個別ダウンロード&インストールも対応
SSLクライアント証明書は、利用するブラウザにインストールします
SSLクライアント認証の有効化
[クライアント認証を有効にする] ことで、この仮想サイトへは、有効なSSLクライアント証明書がインストールされた ブラウザのみ、httpsでPrivate CAへアクセスが出来ます。
例 https://PrivateCA の仮想サイト/xxx
リバースプロキシ設定&有効化
プライベート認証局のサイトにアクセスしたクライアントを、SSLクライアント認証後にリバースプロキシで指定したサーバーへリダイレクトさせます。
例 https://PrivateCAのサイト/ownCloud/ -> http://www.zyx.co.jp/ownCloud/
例 https://PrivateCAのサイト/tag-a/ -> https://www.zyx.com/roundcube/
例 https://PrivateCAのサイト/cybozu/ -> https://192.168.10.20/
アプリケーションに応じて、複数のリバースプロキシ先を指定出来ます
SSLクライアント認証でCAサーバーへのアクセス - 承認された場合
有効なSSLクライアント証明書がインストールされたブラウザで、初回にアクセス時のブラウザでの表示例(Firefox)
https://Private CAのサイト/ownCloud/
SSLクライアント認証 - 承認されない場合
有効なSSLクライアント証明書が無いクライアントからのアクセスの場合 ( IPhone )
https://Private CAのサイト/ownCloud/
ownCloudへのログイン
SSLクライアント認証後 - リバースプロキシ先のownCloudのログイン画面が表示されます
AWS上で Powered BLUE を運用したい場合には
デモサーバー
Powered BLUEの デモサーバー
基本操作 / リバースプロキシ / SSLクライアント認証 などのデモが出来ます
ワンタイムパスワード認証
ownCloudのWebのサイトへのアクセスに際して、OTP / ワンタイムパスワード対応のWebサイトの構築・運用例です。
多要素認証
ワンタイムパスワード認証&SSLクライアント認証の併用時のWebサイトの構築・運用例です。多要素認証でさらに高い安全性を確保したい場合に有効です
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。