Active DirectoryのKerberos認証やLDAP認証、Basic認証に対応のCentOS / RedHatで動作するリバースプロキシを利用します。リモートワークやテレワーク時にVPNの代替としてブラウザのみで簡単に社内Webへアクセスが出来ます。冗長化構成（HA）での運用やSSLクライアント認証を付加しての運用にも対応しています。

 

 

◉ AD認証に対応のリバースプロキシ

Active Directroy認証に対応の　「Powered BLUE Reverse Proxy for AD」アプライアンスを利用します。AD認証とSSLクライアント認証を併用しての多要素認証での運用もできます。

 

機能

• リバースプロキシ機能
• リバースプロキシのAD認証
• リバースプロキシのSSLクライアント認証
• リバースプロキシのHA対応
• ポータルサイト機能

 

運用構成

• LAN側に設置のWebへのアクセス

 

運用先

「Powered BLUE Reverse Proxy for AD」の運用先

• 仮想環境 ( VMware / Hyper-V / Nutanix )

＊仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

 

• クラウド環境（ AWS / Azure / VPS 他）

 

 

Active Directroy サーバー

Windows Serever 上にADサーバーを構築＆設定します

 

Powered BLUE アプライアンス

VMware / Hyper-V 環境の場合、Powered BLUE Reverse Proxy for AD アプライアンスのサーバーイメージを仮想環境にインポート＆認証方式やリバースプロキシのリダイレクト先を指定します。

 

対応の認証方式

Active Directroyとの

• AD認証
• Kerberos認証
• LDAP認証

など

 

利用する認証を選択

 

 

Active DirectoryとLDAP認証で連携の場合

 

 

リバースプロキシの設定

リバースプロキシのリダイレクト先を指定します（複数のリバース先を設定できます）

 

認証のステップ

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（ADとLDAP認証）
３）認証後にリバース先のWebを表示

 

ポータルサイト機能

リバースプロキシの機能に加えて、ポータルサイトの機能も有しています。

1. ポータルサイトにアクセス後に指定のバックエンドへのリダイレクト
2. 複数の異なるリダイレクト先の設定

などの運用が出来ます。

 

 プロキシID

バックエンドのWebサーバー側へプロキシIDを渡すことが出来ます

• リバースプロキシのプロキシIDをhttpヘッダーに追加
• バックエンド側では、連携のリバースプロキシを限定できます

 

 

 

◉ 多要素認証での運用にも対応

 SSLクライアント認証 +  ADとLDAP認証

ADとのLDAP認証連携に加えてPrivate-CA機能やSSLクラアント認証機能も有しており、リバースプロキシへアクセス時の多要素認証での運用にも対応

• リバースプロキシの認証 = SSLクライアント認証 +  ADとLDAP認証

 

 

SSLクライアント認証の有効化

 

SSLクライアント認証でのアクセス制限

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　までの時間帯のみのアクセス許可

 

認証のステップ（SSLクライアント認証＋ADとLDAP認証）

１）SSLクライアント認証
２）リバースプロキシへアクセス
３）アカウントやパスワードを入力（ADとLDAP認証）
４）認証後にリバース先のWebを表示

 

SSLクライアント証明書の無い場合

HTTPヘッダーへのCNなどの情報追加

SSLクライアント認証時に証明書の各種情報をHTTPヘッダーに追加して、バックエンドのWebへ送信。バックエンドのWeb側ではユーザー認証に利用が可能です。

CN　      例　ichiro-ohtani@xyz.com
　部門名    例　Sales
　会社名    例　XYZ Co. Ltd.

emailAddress=ichiro-ohtani@xyz.com,CN=ichiro-ohtani@xyz.com,OU=Powered
BLUE Client (1),OU=Sales,O=XYZ Co. Ltd.,L=Kita-ku,ST=Tokyo,C=JP

 

 

◉ 冗長運用

リバースプロキシのHA機能により、ロードバランサーでの負荷分散やマルチAZでの運用に対応（Active-Activeでの運用に対応）

 

ロードバラアンサー配下での運用構成

 

 

クラウド環境と自社環境のミックス構成

ロードバランサーなどはクラウド環境側のリソースを利用する構成

 

 

マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により耐障害性の向上

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

 

 

◉ WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

 

◉ VPNとリバースプロキシの比較

VPNの場合

アクセス集中により、VPN速度の低下などが発生

 

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

 

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。またAzure AD アプリケーション プロキシのような面倒な設定は不要です

 

ターゲットサーバーの隠蔽

ユーザーから見えるのはリバースプロキシまでです。リバース先のターゲットのサーバー・ドメイン名を隠蔽します。

• リバースプロキシ　  https://rev-proxy.xxx.com/
• ターゲット              https://target.yyy.co.jp/zzz
• リダイレクト設定　  https://rev-proxy.xxx.com/　－－＞ https://target.yyy.co.jp/zzz
• ユーザーブラウザへの表示　https://rev-proxy.xxx.com/zzz

 

デモ

Powered BLUE   　デモサーバー

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。