月別アーカイブ: 2019年11月

認証機能付きReverse Proxy経由で社内のSharePointやビジネスチャットへアクセス / 冗長化対応

LAN側で運用のSharePointやチャットへ社外から安全にアクセスさせる方法です。アクセス手段としては、VPNやモバイル専用の回線等もありますが、今回はブラウザから簡単に利用出来る認証機能対応のリバースプロキシを経由して、社内のSharePointやチャットシステム/RocketChatへアクセスさせます。データ保護の観点からSharePointやチャットシステム・社内WebなどをLAN内で運用している場合のアクセスに適用できます。HAによる冗長化構成や、複数のアベイラビリティゾーン構成(マルチリージョン)での運用もできます

SharePoint

RocketChat

 

リバースプロキシ上の認証方法としては

【1】リバースプロキシ & ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用
【4】リバースプロキシ & SAML認証
【5】リバースプロキシ & SAML認証とSSLクライアント認証の併用
【6】リバースプロキシ & AD認証
【7】リバースプロキシ & AD認証とSSLクライアント認証の併用
【8】HA & マルチリージョン

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-1.png

があります

 

今回、認証機能に対応のリバースプロキシとして、各種の認証機能に対応のアプライアンス「Powered BLUE リバースプロキシ」を利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

Powered BLUE リバースプロキシは、AWSやクラウド/VMWareやHyper-Vなどの仮想環境での運用に対応の仮想アプライアンスとして提供しています。仮想環境にインポートするだけで簡単に運用が出来ます。

 

【1】リバースプロキシ & ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では

●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどが利用できます

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-3.png

特徴

  • 2段階認証
  • 毎回異なるワンタイムパスワードを入力する必要がある
  • 無償のソフトウエアトークンが利用出来る

 

 

【2】リバースプロキシ & SSLクライアント認証

リバースプロキシにアクセス時にSSLクライアント認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Private CA & Reverse Proxy

https://www.mubit.co.jp/sub/products/ca/img2/ca-rev-1.png

特徴

  • 2要素認証
  • リバースプロキシへのアクセス時にパスワードを入力する必要なし
  • 日時などでのアクセスコントロールが出来る

 

アクセスコントロール 例

  • 組織や部門でのアクセス制限
  • 曜日や時間帯でのアクセス制限
  • 特定ユーザーでのアクセス制限
  • 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

 

【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Web Station

 

特徴

  • リバースプロキシの認証の強度が上がります

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

認証のステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 (リバースプロキシ)
3)ワンタイムパスワードを入力 (リバースプロキシ)
4)認証後にリバースプロキシ先のSharePointやチャット/Webが表示

 

【4】リバースプロキシ & SAML認証

リバースプロキシにアクセス時にSAML認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどサービスを利用されている場合に利用が出来ます

SAML-SP

Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ)として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

 

特徴

  • シングルサインオン/SAML認証に対応のリバースプロキシとして運用が出来ます

 

認証のステップ

1)リバースプロキシにアクセス(SP-initiated SAML)
2)SAML認証
3)認証後にリバースプロキシ先のターゲットのチャットやWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-10.png

 

【5】リバースプロキシ & SAML認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

特徴

  • リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

 

【6】リバースプロキシ & AD認証

リバースプロキシへのアクセス時にAD認証を行い、Webへのアクセスを行わせる事が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/ad-auth-tag-1.png

 

特徴

  • リバースプロキシ上でのAD認証では、Windows Active Directory の認証に従いアクセスコントロールを行います

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

認証のステップ

1)リバースプロキシへアクセス
2)AD認証
4)認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

【7】リバースプロキシ &SSLクライアント認証+ AD認証

リバースプロキシへのアクセス時にSSLクライアント認証+AD認証を行い、Webへのアクセスを行わせる事が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

特徴

  • リバースプロキシ上で「SSLクライアント認証+AD認証」の多要素認証を行い、ターゲットのWebへのアクセスコントロールを行います

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

 

認証のステップ

1)リバースプロキシへアクセス
2)SSLクライアント認証
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

【8】HA & マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン(シングルAZ)のロードバランサー配下に設置・運用

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

  • リージョンA 東日本データセンター
  • リージョンB 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。