月別アーカイブ: 2019年10月

社内Webへ外部から安全にアクセス・認証機能対応のリバースプロキシを利用・代理認証でのシングルサインオンや生体認証によるパスワードレス認証

モバイルPCやスマートデバイスのブラウザを利用して、社内LAN側のWebシステムへ社外/WANから安全にアクセスさせる方法について

インターネット側に、認証機能に対応のリバースプロキシを設置して「認証後」に社内のWebへリダイレクトさせることが出来ます。社内Web側の認証機能が「弱い」もしくは「認証がない」場合でも、運用ができます。

例 社内に設置のSharepoint へのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

例 社内のWebMailへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

リバースプロキシの特徴

  • ブラウザで利用可能
  • モバイル端末用の閉域網やVPNは不要
  • ターゲットWebの改修不要
  • リバースプロキシ先のWebサーバーを外部から隠蔽

 

 

 

 

 

 

 

 

今回は、認証機能に対応のリバースプロキシとして「Powered BLUE リバースプロキシ 」アプライアンスを利用します。

 

リバースプロキシでの認証方法

認証方式としては

      • ワンタイムパスワード認証 (OTP認証)
      • SSLクライアント認証 (証明書認証)
      • AD認証
      • SAML / OIDC認証 (シングルサインオン)
      • FIDO2 / WebAuthn(生体認証)

など

複数の認証を組み合わせての運用や、ユーザーやリバースプロキシ先のタ―ゲットのWebサイトに応じて認証方式を変更しての運用も可能です。

 

各種のリバースプロキシの認証方式の特徴・比較

認証方式 特徴
ワンタイムパスワード認証 無償のソフトウエア・トークンなどで導入費用を抑える事が可能

使い捨てパスワードの為、安全性が高い

アクセス時に毎回パスワードを入力する必要がある

SSLクライアント認証 証明書に有効期限がある

曜日や時簡帯によるアクセス制限が可能

証明書の失効などでのアクセス制限が可能

パスワードの入力は不要

AD認証 Windowsで広く使われている認証方式

LDAPなどに対応

SSLクライアント認証などとの併用も可能

SAML/OIDC認証 既にiDaaS/IdPなどを利用の場合に導入が可能

パスワードの代理入力機能によるSSO対応

HTTPヘッダ方式でのユーザー情報の転送によるSSO対応

リバースプロキシ上での独自認証の設定が可能

生体認証 FIDO2 / WebAuthn の生体認証に対応

スマートフォンやタブレット、PCの生体認証を利用

パスワードの代理入力機能によりSSOに対応

リバースプロキシでのパスワードレス認証が可能

 

Powered BLUE リバースプロキシの特徴

各種の認証に機能に対応のリバースプロキシとして、Powered BLUE リバースプロキシを利用します。

https://www.mubit.co.jp/sub/products/img2/pb-vm-3.png

  • アプライアンス(仮想 / クラウド / ハードウエアに対応)
  • 任意の場所での運用
  • 自社管理での運用
  • 電源オンですぐに運用
  • ひとり情シスでの運用

 

リバースプロキシの設定例

・複数のリバース先を設定可能
・リバース先のポート( http / https / 任意のポート番号)を指定可能
・終端までSSL通信での運用が可能 (End-to-EndのSSL通信)

https://www.mubit.co.jp/sub/products/blue/img2/reverse-proxy-1.png

 

【1】 OTP/ワンタイムパスワード 認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2/otp-3.png

google authenticatorなどの無償のソフトウエア・トークン対応

QRコード / 2次元バーコード対応

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/qr-2.png

 

ワンタイムパスワードのユーザー管理・認証とリバースプロキシを1台で運用

対応のモデルは  Powered BLUE 870 / OTP & Reverse Proxy

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-rev-1-1.png

 

【2】SSLクライアント 認証付属 リバースプロキシ

Private CA機能を有しており、SSLクライアント証明書の発行・管理・認証とリバースプロキシまでを1台で運用

対応のモデルは  Powered BLUE Private CA & Reverse Proxy

 

【3】 ワンタイムパスワード認証+SSLクライアント認証付属 リバースプロキシ (多要素認証)

Private CA機能をとSSLクライアント証明書の発行・管理・認証およびワンタイムパスワード認証とリバースプロキシまでを1台で運用

認証の併用やそれぞれの単独認証などユーザーやリバース先などで、利用の認証を変えることが可能

対応のモデルは https://www.mubit.co.jp/sub/products/img2/arrow-finger.gif  Powered BLUE Web Station

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

 

【4】 AD認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

社内のADと連携出来ます。AD認証に対応のリバースプロキシとして動作

Kerberos認証やLDAP認証に対応

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

対応のモデルは  Powered BLUE Reverse Proxy for AD

 

【5】 SSLクライアント認証+AD認証付属 リバースプロキシ

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

社内のADと連携出来ます。「SSLクライアント認証とAD認証」に対応の多要素認証のリバースプロキシとして動作

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

対応のモデルは  Powered BLUE Reverse Proxy for AD

 

 

【6】 SAML/OIDC認証対応 リバースプロキシ

 

 

 

既存のID / パスワード認証のWebを改修することなくシングルサインオンを構成します。

iDaaS/idpと連携して、SAML/OIDC認証に対応のID認識型リバースプロキシとして動作します。

リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応(ターゲットWeb側の改修は不要で構成できます)

 

 

iDaaS/idp としては、SAML やOIDC認証 に対応の Azure AD / G Suites / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE /  Keycloak 他 と連携出来ます

代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

  • ユーザー操作でのWebへの「ID / パスワード」の入力不要
  • SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

対応のモデルは  Powered BLUE Reverse Proxy for SSO / IDaaS

 

 

【7】 SAML/OIDC 認証付属 リバースプロキシ+SSLクライアント認証

 

 

 

 

iDaaS/idPのSAML/OIDC認証とは別に、自社管理で運用するリバースプロキシ上でSSLクライアント認証やワンタイムパスワード認証の設定にも対応

リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応

社内Webへのアクセスに際して、IDaaSとは異なる自社のポリシーに準じた独自の認証を設定して運用する場合には有効です

 

ID認識型リバースプロキシ+SSLクライアント認証

代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

  • ユーザー操作でのWebへの「ID / パスワード」の入力不要
  • SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

対応のモデルは  Powered BLUE Reverse Proxy for SSO / IDaaS

 

 

 

【8】 FIDO2/生体認証対応リバースプロキシ

スマートフォンやタブレット、PCなどのFIDO2 / 生体認証機能に対応のリバースプロキシとして、パスワードレス認証で運用できます。

リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応

代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

  • ユーザー操作でのWebへの「ID / パスワード」の入力不要
  • SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

対応のモデルは  Powered BLUE Reverse Proxy for SSO / IDaaS

 

 

 

【冗長化】

ロードバランサー配下での運用構成

シングルAZ + ロードバランサー

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

マルチAZでの運用構成

異なるアベイラビリティゾーン(AZ)での運用により耐障害性の向上

マルチAZ + GSLB

運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

WAN側Webへの認証強化

WAN側設置のWebへアクセスを「認証対応のリバースプロキシ経由に限定」

認証機能のない社内Webサーバーをクラウドの公開基盤側に移設して運用する場合にも、セキュリティレベルを確保できます

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

【お問合せ】

 

 

 

製品についての、ご質問やご相談など