Active DirectoryのKerberos認証やLDAP認証、Basic認証に対応のCentOS / RedHatで動作するリバースプロキシを利用します。リモートワークやテレワーク時にVPNの代替としてブラウザのみで簡単に社内Webへアクセスが出来ます。冗長化構成(HA)での運用やSSLクライアント認証を付加しての運用にも対応しています。
◉ AD認証に対応のリバースプロキシ
Active Directroy認証に対応の 「Powered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。
機能
- リバースプロキシ機能
- リバースプロキシのAD認証
- リバースプロキシのSSLクライアント認証
- リバースプロキシのHA対応
- ポータルサイト機能
運用構成
- LAN側に設置のWebへのアクセス
運用先
「Powered BLUE Reverse Proxy for AD」の運用先
- 仮想環境 ( VMware / Hyper-V / Nutanix )
*仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます
- クラウド環境( AWS / Azure / VPS 他)
Active Directroy サーバー
Windows Serever 上にADサーバーを構築&設定します
Powered BLUE アプライアンス
VMware / Hyper-V 環境の場合、Powered BLUE Reverse Proxy for AD アプライアンスのサーバーイメージを仮想環境にインポート&認証方式やリバースプロキシのリダイレクト先を指定します。
対応の認証方式
Active Directroyとの
- AD認証
- Kerberos認証
- LDAP認証
など
利用する認証を選択
Active DirectoryとLDAP認証で連携の場合
リバースプロキシの設定
リバースプロキシのリダイレクト先を指定します(複数のリバース先を設定できます)
認証のステップ
1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(ADとLDAP認証)
3)認証後にリバース先のWebを表示
ポータルサイト機能
リバースプロキシの機能に加えて、ポータルサイトの機能も有しています。
- ポータルサイトにアクセス後に指定のバックエンドへのリダイレクト
- 複数の異なるリダイレクト先の設定
などの運用が出来ます。
プロキシID
バックエンドのWebサーバー側へプロキシIDを渡すことが出来ます
- リバースプロキシのプロキシIDをhttpヘッダーに追加
- バックエンド側では、連携のリバースプロキシを限定できます
◉ 多要素認証での運用にも対応
SSLクライアント認証 + ADとLDAP認証
ADとのLDAP認証連携に加えてPrivate-CA機能やSSLクラアント認証機能も有しており、リバースプロキシへアクセス時の多要素認証での運用にも対応
- リバースプロキシの認証 = SSLクライアント認証 + ADとLDAP認証
SSLクライアント認証の有効化
SSLクライアント認証でのアクセス制限
- 時間帯や曜日によるアクセスコントロール
- 例 月曜日から金曜日 9時から18時 までの時間帯のみのアクセス許可
認証のステップ(SSLクライアント認証+ADとLDAP認証)
1)SSLクライアント認証
2)リバースプロキシへアクセス
3)アカウントやパスワードを入力(ADとLDAP認証)
4)認証後にリバース先のWebを表示
SSLクライアント証明書の無い場合
HTTPヘッダーへのCNなどの情報追加
SSLクライアント認証時に証明書の各種情報をHTTPヘッダーに追加して、バックエンドのWebへ送信。バックエンドのWeb側ではユーザー認証に利用が可能です。
CN 例 ichiro-ohtani@xyz.com
部門名 例 Sales
会社名 例 XYZ Co. Ltd.
emailAddress=ichiro-ohtani@xyz.com,CN=ichiro-ohtani@xyz.com,OU=Powered
BLUE Client (1),OU=Sales,O=XYZ Co. Ltd.,L=Kita-ku,ST=Tokyo,C=JP
◉ 冗長運用
リバースプロキシのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応(Active-Activeでの運用に対応)
ロードバラアンサー配下での運用構成
クラウド環境と自社環境のミックス構成
ロードバランサーなどはクラウド環境側のリソースを利用する構成
マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により耐障害性の向上
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
◉ WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
◉ VPNとリバースプロキシの比較
VPNの場合
アクセス集中により、VPN速度の低下などが発生
一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。
リバースプロキシの場合
リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。またAzure AD アプリケーション プロキシのような面倒な設定は不要です
ターゲットサーバーの隠蔽
ユーザーから見えるのはリバースプロキシまでです。リバース先のターゲットのサーバー・ドメイン名を隠蔽します。
- リバースプロキシ https://rev-proxy.xxx.com/
- ターゲット https://target.yyy.co.jp/zzz
- リダイレクト設定 https://rev-proxy.xxx.com/ --> https://target.yyy.co.jp/zzz
- ユーザーブラウザへの表示 https://rev-proxy.xxx.com/zzz
デモ
Powered BLUE デモサーバー
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。