Webサーバーへアクセス時の、各種のWeb認証に対応のサーバーをAWS/EC2で運用する構成例です。テレワークなどで社外から自社のWebサイトへアクセスする際にも、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアにWebアクセスが出来ます。また多要素認証でのWebアクセスやマルチAZの冗長構成での運用にも対応しています。
冗長化
認証対応のWebアプライアンス
AWS / EC2上では、各種のWeb認証に対応のWebアプライアンスとして、「Powered BLUE Webアプライアンス」 を利用します。
Web アプライアンスの機能として
- マルチサイト / マルチドメイン対応Webサーバー機能
- Private-CA / SSLクラアント認証
- ワンタイムパスワード認証
- Active DIrectory認証
- idP連携SAML認証
- DNS / Mail サーバー機能
- パッチの自動適用機能
- サーバーのモニタリング機能(ひとり情シス対応)
等を有しており、GUIからすべての設定や運用ができます。
フリープラグイン
- WordPress
- php 7.x
- Let’s Encrypt
- Web Mail ( RoundCube )
などのアプリもフリープラグインとして簡単に導入および利用ができます。
運用先
「Powered BLUE Webアプライアンス」は、AWSのAMIに対応。すぐに運用が可能です
- クラウド環境( AWS / Azure / 他)
対応のWeb認証方式
【1】Web & OTP/ワンタイムパスワード認証
【2】Web & SSLクライアント認証
【3】Web & ワンタイムパスワード認証 + SSLクライアント認証
【4】Web & AD認証 ( Active Directory連携 )
【5】Web & AD認証 + SSLクライアント認証
【6】Web & SAML認証( ゼロトラスト対応 )
【7】Web & SAML認証+ SSLクライアント認証
運用構成 例
- Webトップページは、ワールドワイドに公開
- 特定のディレクトリにWeb認証を設定
- デイレクトリごとに異なるWeb認証設定や複数のWeb認証設定
- 複数の仮想サイトに異なるWeb認証を設定(マルチドメイン・マルチサイト)
【1】 OTP/ワンタイムパスワード 認証対応 Web
ワンタイムパスワードのアカウント管理とワンタイムパスワード認証、Webを1台で運用
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
ワンタイムパスワード認証対応のWebサイト運用例
アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示
【2】 SSLクライアント 認証対応 Web
Private CA 機能/SSLクライアント証明書の発行・管理および・Webサイトの構築・SSLクライアント認証を1台で運用
Private-CA / SSLクライアント証明書発行 / SSLクライアント認証対応のWebサイト運用例
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webへのアクセスコントロールが設定出来ます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
認証のステップ(SSLクライアント認証)
1)Webにアクセス
2)SSLクライアント認証
3)認証後にWebを表示
SSLクライアント証明書が無効の場合
【3】 SSLクライアント 認証+ワンタイムパスワード認証対応 Web
SSLクライアント認証とワンタイムパスワード認証(多要素認証のWebサイト)を運用
Private-CA / SSLクライアント認証+ワンタイムパスワード認証対応のWebサイト運用例
認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示
【4】 AD認証対応 Web
ADサーバーとAD認証連携での運用
AD認証設定
AD認証対応のWebサイト運用例
認証のステップ(AD認証)
1)Webサイトへアクセス
2)AD認証後にWebサイトの表示
【5】 SSLクライアント認証+AD認証対応 Web
SSLクライアント認証とAD認証の併用での運用(多要素認証)
AD認証設定
SSLクライアント認証 設定
SSLクライアント認証+AD認証対応のWebサイト運用例
認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示
【6】 SAML認証対応 Web
idPと連携してSAML認証のWebサイトの運用(ID認識型Webサーバーとして動作)
- SSO(シングルサインオン)対応
- ゼロトラスト対応のWebサイトの構築・運用
対応のidP
SAML認証に対応のidP / iDaaS と連携できます
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他
ID認識型Webサイト運用例
idP側の設定
- idPへアカウントを作成
- SAML認証を有効
- アクセスポリシーを設定
ID認識型Webサイト側の設定
Webページを作成して、idPとの認証を設定します
- Webサイトの認証を設定したいディレクトリのSAML認証を有効
認証のステップ
① ID認識型Webサイトへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
【7】 SSLクライアント認証+SAML認証対応 Web
idPの認証とは別に、自社Webへのアクセスに自社のCA/SSLクライアント認証を併用で運用
- SSLクライアント認証(自社独自の認証)
- SSO(シングルサインオン)対応
- ゼロトラスト対応のWebサイトの構築・運用
ID認識型Webサイト運用例
idP側の設定
- idPへアカウントを作成
- SAML認証を有効
- アクセスポリシーを設定
ID認識型Webサイト側の設定
Webページを作成して、idPとの認証を設定します
- Webサイトの認証を設定したいディレクトリのSAML認証を有効
SSLクライアント認証
idP側の認証とは別にWebページへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定
認証のステップ
① ID認識型Webサイトへアクセス(SSLクライアント認証)
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
【8】HA構成
ロードバランサーでの負荷分散やGSLBやRoute53などを利用してのマルチAZでの運用に対応
認証対応Webサーバーの同期を行います(Active-Activeでの運用に対応)
ロードバランサー配下での運用構成
複数の認証機能対応のWebサーバーで処理を行い高負荷にも対応
マルチAZでの運用構成
異なるアベイラビリティゾーン(マルチAZ)での運用により、回線やデータセンターの耐障害性の向上
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
・GSLBによる広域負荷分散
終わりに
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください