月別アーカイブ: 2020年1月

ワンタイムパスワード認証対応のリバースプロキシを冗長運用/Route53やGSLBでのマルチAZ対応

ワンタイムパスワード認証(OTP)に対応のリバースプロキシ経由で社内のバックエンドのWebへアクセスする場合の構成例です。リバースプロキシを冗長化(HA)で運用します。GSLBによるMulti-AZ環境での運用に対応しています。

既存で運用のバックエンドのWebサイト側の変更は不要です。HA対応のワンタイムパスワード認証機能付きリバースプロキシを設置するだけの簡単導入に対応しています。リバースプロキシの運用先もAWSやクラウド、仮想環境など任意の場所で運用が可能です。

 

リバースプロキシ/Reverse Proxy

一般的なリバースプロキシは

【1】標準的なリバースプロキシ リバースプロキシ&認証なし

https://www.mubit.co.jp/sub/products/blue/img2/nor-rev-2.png

 

今回は、HA&ワンタイムパスワード認証対応の

【2】HA&OTP対応リバースプロキシ 冗長化&リバースプロキシ&ワンタイムパスワード認証

を構築&運用します

 

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

  • ワンタイムパスワード認証
  • ID/パスワード認証
  • リバースプロキシによるリダイレクト
  • Active-ActiveのHA(Master-Slave)での動作に対応

までを構築&運用出来るアプライアンスです。

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-22.png

 

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例

Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

 

クラウドや仮想対応

AWS/Azureなどのクラウド環境や、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。

 

AWSでの構築

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE のAWSでの構築&設定例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-select02-1024x907.png

 

ワンタイムパスワード認証の設定(1台目:マスター)

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

  • 仮想サイト & 認証のディレクトリ(例 トップdir /  にワンタイムパスワード認証設定の場合 )

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-1.png

 

ユーザー認証設定(1台目:マスター)

ユーザーへワンタイムパスワード認証を許可します

例 鈴木 二郎 へワンタイムパスワード認証を有効に設定

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-2.png

 

秘密鍵の共有フロー

 

QRコード(共有鍵)の表示

  • ソフトウエア・トークンを起動して、QRコード(2次元バーコード)をスマフォで読み撮り登録します
  • QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
  • QRコードは、ユーザー毎に異なります

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

リバースプロキシの設定画面(1台目:マスター)

ワンタイムパスワード認証&リバースプロキシ

https://xxx.yyy.com/   —-> https://www.powered.blue/

 

冗長構成

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP」はマスター&スレーブの冗長構成での運用に対応しています。

HAでは1台目のマスター側の設定情報を2台目以降のスレーブ側と同期します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/12/otp-sync-2.png

 

HA運用に際して

管理者は、マスター側のサーバーのリバースプロキシやSSLサーバー証明書、およびユーザーアカウントをメンテするだけでスレーブ側は自動で同期するため、冗長構成時の運用でも管理者の負担を増やしません。

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

 

ロードバランサー配下での運用

シングルAZ + ロードバランサー

 

マルチAZでの運用

  • リージョンA / 東日本データセンター
  • リージョンB / 西日本データセンター

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)リバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

リバースプロキシ先のWebアプリなど

SharePointへ

https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png

 

Roundcubeへ(Webmail)

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-iphone-1.png

 

RocketChatへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/rocketchat-login-1.png

 

サイボウズへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

WordPressへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

終わりに

ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。