各種の認証に対応のWebサイトを構築&運用する構成例です。Webアクセス時のユーザー認証としては
- Active Directory認証
- OTP認証
- SSLクライアント認証
- SAML認証 ( ゼロトラスト対応 / シングルサインオン )
- Basic認証
- Digest認証
などが利用できます。複数の認証を組み合わせて多要素認証での運用や冗長構成(HA)での運用にも対応しています。
用意および設定する機器
認証対応のWebサーバとしては、
「Powered BLUE Web アプライアンス」 を利用します。
Webサーバーの運用先
- 仮想環境 ( VMware / Hyper-V / Nutanix )
*仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます
- クラウド環境( AWS / Azure / VPS 他)
【1】AD認証のWeb構成
対応の認証方式
- Active Directroy認証
*クライアントからリダイレクト先のWebやADまでの全経路での暗号化通信に対応
ADサーバーの構築
Windows Serever 上にADサーバーを構築&設定します
AD認証設定
Webサーバー側でActive Directoryの認証方式を選択します
- LDAP認証
- Kerberos認証
認証のステップ(AD認証)
1)Webへアクセス・アカウントやパスワードを入力
2)AD認証
3)ADの認証後にWebページを表示
*任意のWeb dirにAD認証を設定できます
【2】AD認証+SSLクライアント認証
対応の認証方式
- Active Directroyとのkerberos認証
- SSLクライアント認証
Webサーバー側でのSSLクライアント認証 設定
- Private-CA 機能によりSSLクライアント証明書を発行します
- Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います
認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示
【3】ワンタイムパスワード認証のWeb構成
対応の認証方式
- OTP認証
- QRコード対応
- 「OTP+任意のパスワード」の組み合わせに対応
- TOTP / HOTP 対応
対応のソフトウエアトークン
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
認証のステップ(ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示
【4】SSLクライアント認証のWeb構成
SSLクライアント認証の有効化
- Webサーバー側のSSLクライアント認証を有効にします
- *Private-CA 機能により、SSLクライアント証明書を発行します
SSLクライアント認証のアクセスコントロール
- 時間帯や曜日によるアクセス制限
- 部門によるアクセス制限
例 月曜日から金曜日 9時から18時 までの時間帯のみWebアクセス許可
認証のステップ(SSLクライアント認証)
1)SSLクライアント認証
2)認証後にWebを表示
【5】ワンタイムパスワード認証+SSLクライアント認証のWeb構成
ワンタイムパスワードの設定
SSLクライアント認証の有効化
- Webサーバー側のSSLクライアント認証を有効にします
- 時間帯や曜日によるアクセスコントロール
- 例 月曜日から金曜日 9時から18時 まで時間帯のみのアクセス許可
認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示
【6】SAML認証のWeb構成/ゼロトラスト対応
対応の認証方式
- SAML認証
idPの設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
Webサーバー側でSAML認証の有効化
- Webサーバー側でSAML認証を有効にします
- Webサーバー側にユーザーアカウントは不要です
認証のステップ(SAML認証)
1)idPへアクセス ( シングルサインオン / 初回のみ )
2)idPの認証後にWebサイトにアクセス
【7】SAML認証+自社独自SSLクライアント認証のWeb構成
idPの認証とは別に、Webサーバー側に自社独自にSSLクライアント認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- SSLクライアント認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
Webサーバー側 SAML認証の有効化
- Webサーバー側でSAML認証を有効にします
- Webサーバー側にユーザーアカウントは不要です
SSLクライアント認証
idP側の認証とは別にWebページへのアクセス認証に、Webアクセスに際してSP上で自社独自にSSLクライアント認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)SSLクライアント認証
2) idPへアクセス ( シングルサインオン / 初回のみ )
3)idPの認証後にWebサイトにアクセス
【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成
idPの認証とは別に、Webサーバー側に自社独自にワンタイムパスワード認証を設定する運用
idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です
対応の認証方式
- SAML認証
- ワンタイムパスワード認証
idP側の設定
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します
- idPへアカウントを作成します
- SAML認証を有効にします
Webサーバー側 SAML認証の有効化
- Webサーバー側でSAML認証を有効にします
- Webサーバー側にユーザーアカウントは不要です
Webサーバー側 ワンタイムパスワード認証
idP側の認証とは別にWebページへのアクセス認証に、Webアクセスに際してSP上で自社独自にワンタイムパスワード認証を設定します
認証のステップ(自社独自のSSLクライアント認証+SAML認証)
1)OTP表示
2) Webへアクセス ( ワンタイムパスワード認証 )
3)idPのSAML認証後にWebサイトの表示(シングルサインオン / 初回のみ)
【9】冗長構成
ロードバランサー配下での運用構成
複数の認証機能対応&自動同期のWebサーバーで処理を行い高負荷にも対応
マルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのサーバーデータ同期と負荷分散を行います。
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
デモサーバー
ワンタイムパスワード認証やSAML認証をはじめ、各種の認証に対応のWebやリバースプロキシの動作や操作の確認が出来ます。
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。