Webアクセス時の多要素認証
働き方改革によりテレワークやリモートワークで社内のWebサーバーにアクセスする際に、利用者が多要素認証やセキュリティを確保した上でブラウザから簡単にアクセスが出来る、認証機能付きWeb サーバーの構築と運用方法の解説です。
ブラウザでのリモートアクセス
Webサイトへのアクセス時の認証としては、多要素認証(SSLクライアント認証やワンタイムパスワード認証 / Multi Factor Authentication )を併用出来ます。PCやスマフォ、モバイル端末とブラウザのみで利用が可能です。VPNや閉域網などは使用しません。
また既存のWebサイトへのアクセスについては、多要素認証後にリバースプロキシ機能により既存のWebサーバーへリダイレクトさせます。既存のWebサイト側は変更することなく多要素認証機能の導入が可能です。ID/パスワードとSSLクライアント認証もしくはワンタイムパスワード認証などの2要素認証での運用も出来ます。
利用する機器
多要素認証(SSLクライアント認証やワンタイムパスワード認証)を持つWebサーバーを簡単に構築&運用が出来る機能とリバースプロキシ機能までを備えたオールインワンのWebアプライアンス 「Powered BLUE Web Station」 を利用します。
このアプライアンスサーバーは、自社独自の多要素認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。Webサイトに多要素認証を設定したり、特定のディレクトリ以下に多要素認証を設定するなどの多彩な形態で運用ができます。リバースプロキシ機能も有しており、既存のWebサイトへのアクセス連携にも対応しています。
Powered BLUE Web Stationの機能
| 機能 | 有無 |
| Webサーバー機能 | 〇 |
| SSLクライアント認証 | 〇 |
| ワンタイムパスワード認証 | 〇 |
| リバースプロキシ | 〇 |
| インターネットサーバー機能 | 〇 |
| Let’s Encrypt & 自動更新 | 〇 |
| WordPress (CMS) | 〇 |
| Roundcube (WebMail) | 〇 |
| ownCloud (オンラインストレージ) | 〇 |
| php 7.x 対応 | 〇 |
| サードパーティソフト 対応 | 〇 |
| CentOS / RedHat 7.x 対応 | 〇 |
オールインワンでの運用例
ウェブステーション上に仮想Webサイトを1サイト作成して、サイト内に
●WordPress を設定 (Web)
●WebサイトにLet’s Encryptを設定 (SSLのサーバー証明書 / 自動更新対応)
●ownCloud を設定 (オンラインストレージ)
●Roundcube を設定(Web Mail)
●グループウエアを設定 ( サイボウズ / デスクネッツ)
●WebサイトにSSLクライアント認証を設定
●Webサイトにワンタイムパスワード(OTP)認証を設定
●WebサイトにSSLクライアント認証&ワンタイムパスワード認証を設定(多要素認証)
●リバースプロキシを設定
●DNSを設定
●メール送受信を設定
などを1台で運用することが出来ます。
SSLクライアント認証の構成
- SSLクライアント認証対応のWebサイトを構築&運用
- SSLクライアント証明書の発行・失効やSSLクライアント認証の機能
SSLクライアント 認証例
SSLクライアント証明書 〇 SSLクライアント証明書 ✕
OTP認証機能
- ワンタイムパスワード認証対応のWeb サイトを構築&運用
- ワンタイムパスワード認証のユーザー管理機能
ソフトウエア・トークン
ユーザー側で利用するワンタイムパスワードを生成するトークンは、無償のソフトウエアトークンなどが利用できます
- Google Authenticator ( iOS / Android対応 )
- WinAuth ( Windows対応 )
- Authy ( iOS / Android / Windows / Mac / Linux対応 )
- IIJ SmartKey ( iOS / Android対応 )
QRコード(共有鍵)の表示
●ソフトウエア・トークンを起動して、QRコード(2次元バーコード)をスマフォで読み撮り登録します
●QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
●QRコードは、ユーザー毎に異なります
認証のステップ
1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示
多要素認証 & Reverse Proxy
1)多要素認証 (SSLクライアント認証やワンタイムパスワード認証 )
2)リバースプロキシでターゲットのWebへリダイレクト
3)ターゲットのWebが表示
リバースプロキシの設定例
OTP&SSLクライアント認証&リバースプロキシ併用時のステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 有効
3)IDやワンタイムパスワードを入力
4)リバースプロキシで認証後にターゲットのWebへリダイレクト
既存Webサイトの認証強化
Powered BLUE Web Stationは、仮想サイト上でのリバースプロキシの同時運用にも対応しており、認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。
多要素認証&リバースプロキシ連携 例
- MosP勤怠管理 / MosP人事管理 / MosP給与計算
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
- 社内Web
- 他
MosP勤怠管理への認証例
サイボウへの認証例
デスクネッツへの認証例
Active! Mailへの認証例
Roundcubeへの認証例
NTTデータイントラマートへの認証例
X-pointへの認証例
楽々ワークフローIIへの認証例
eValue NSへの認証例
FileBlogへの認証例
Aipoへの認証例
Power eggへの認証例
デモサイト
「Powered BLUE Web Station 」の運用先としては、
- VMware / Hyper-V
- AWS/EC2 (AMI対応)
- Azure
- FUJITSU Cloud Service for OSS (4OSS) / 富士通
- ニフクラ / 富士通クラウドテクノロジーズ
- Enterprise Cloud / NTT communications
- WebARENA / NTTPC コミュニケーションズ
- ALTUS (アルタス)/ GMOクラウド
- VPS
などでも運用が可能です。
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。