OTP / ワンタイムパスワードとID/パスワードの2要素認証/多要素認証(Multi Factor Authentication ) 対応のリバースプロキシの構築・運用例です。
自社管理で運用出来るワンタイムパスワード認証に対応のReverse Proxy経由で、LAN側に設置のWebサイトへアクセスさせることが出来ます。HAやマルチリージョンでの冗長化にも対応しています。
既存で運用のWebサイト側の変更は不要です。ワンタイムパスワード認証に対応のリバースプロキシを設置するだけで簡単にワンタイムパスワード認証システムの導入が出来ます。
リバースプロキシ/Reverse Proxy
一般的なリバースプロキシは
【1】標準的なリバースプロキシ | リバースプロキシ&認証なし |
今回は、ワンタイムパスワード認証対応の
【2】OTP対応リバースプロキシ | リバースプロキシ&ワンタイムパスワード認証 |
を構築&運用します
セキュアなアクセスに対応
ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。
ワンタイムパスワード認証機能付のリバースプロキシ
今回利用する
「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に
- ワンタイムパスワード認証
- ID/パスワード認証
- リバースプロキシによるリダイレクト
までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。
ソフトウエアトークン対応
ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。
ソフトウエアトークンの設定
ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例
Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法
仮想環境やクラウド対応
VMware/Hyper-vなどの仮想環境での運用やAWS/Azureなどのクラウド環境にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。
ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。
AWSでの構築
ワンタイムパスワード認証の設定
Webアクセス時のワンタイム・パスワード認証を設定します
任意のディレクトリにワンタイムパスワード認証が設定可能です
- 仮想サイト & 認証のディレクトリ(例 トップdir / にワンタイムパスワード認証設定の場合 )
ユーザー認証設定
ユーザーへワンタイムパスワード認証を許可します
QRコード(共有鍵)の表示
- ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
- QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
- QRコードは、ユーザー毎に異なります
QRコードの登録&表示
リバースプロキシの設定画面
ワンタイムパスワード認証&リバースプロキシ
https://xxx.yyy.com/ —-> https://www.powered.blue/
*複数のリバース先を指定できます
認証ステップ
1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
リバースプロキシ先のWebアプリなど
SharePointへ
RocketChatへ
サイボウズへ
デスクネッツへ
WordPressへ
HA / 冗長化
「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。
ロードバランサー配下での構成
- シングルAZ + ロードバランサー
マルチAZでの構成
- マルチAZ + GSLB or Route53
- リージョンA 日本データセンター
- リージョンB 米国データセンター
ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ
「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。
- Webサイト構築・管理機能
- SSLクライアント認証&ワンタイムパスワード認証に対応
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。
SSLクライアント認証でのアクセスコントロール
- SSLクライアント認証の有効化
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
認証ステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
デモサイト
Powered BLUE のデモサイトを用意しています
ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます
ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、
- VMware / Hyper-V
- AWS/EC2 (AMI対応)
- Azure
- FUJITSU Hybrid IT Service FJcloud-O / 富士通
- Enterprise Cloud / NTT communications
- スマートコネクトVPS / NTTスマートコネクト
- WebARENA / NTTPC コミュニケーションズ
- ALTUS (アルタス)/ GMOクラウド
- VPS
などでも運用が可能です。
終わりに
ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。