月別アーカイブ: 2020年12月

SAMLやワンタイムパスワード認証対応のリバースプロキシをAWS-EC2で運用する / AMI対応

既存のWebサーバーへアクセスに際して、SAML、OTP,、SSLクライアント認証やAD認証など各種のWeb認証に対応のリバースプロキシサーバー経由でセキュアにWebアクセスさせる構成例です。認証機能に対応のリバースプロキシは、AWS–EC2上で運用します。

テレワークなどで社外から自社のWebサイトへアクセスする場合、既存のWebサイトの「認証が無い」もしくは「認証が弱い」場合でも、認証機能に対応のリバースプロキシで、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアに既存のWebアクセスさせることが出来ます。また多要素認証やマルチAZのHA構成での運用にも対応しています。

VPNアクセスに比べてリバースプロキシでのアクセスは負荷が低いので、VPNでのアクセスのようなアクセス集中による「レスポンスが遅い」「つながらない」などのトラブルから解放されます。

 

AWS-EC2でのリバースプロキシ構成例

 

認証対応のリバースプロキシ

AWS / EC2上では、各種のWeb認証機能に対応のリバースプロキシとして

https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE リバースプロキシ」アプライアンスを利用します。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

リバースプロキシ・アプライアンスの機能として

  • Private-CA / SSLクラアント認証
  • ワンタイムパスワード認証
  • Active DIrectory認証
  • idP連携SAML認証
  • Mail/Web/DNS機能
  • マルチドメイン・マルチサイト機能

等を有しており、GUIからすべての設定や運用ができます。

 

運用先

Powered BLUE リバースプロキシ」は、AWSのAMIに対応。

  • クラウド環境( AWS / Azure / 他)

 

 

 

対応しているリバースプロキシのWeb認証方式

【1】リバースプロキシ & OTP/ワンタイムパスワード認証
【2】リバースプロキシ & SSLクライアント認証
【3】リバースプロキシ & ワンタイムパスワード認証 + SSLクライアント認証
【4】リバースプロキシ & AD認証 ( Active Directory連携 )
【5】リバースプロキシ & AD認証 +  SSLクライアント認証
【6】リバースプロキシ & SAML認証( ゼロトラスト対応 )
【7】リバースプロキシ & SAML認証+ SSLクライアント認証

*複数の認証による多要素認証での運用にも対応しています

*マルチドメイン・マルチテナントに対応しており、複数の仮想サイトの運用および仮想サイトごとの異なるリバースプロキシの認証設定にも対応

 

 

【1】リバースプロキシ & ワンタイムパスワード認証

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

 

簡単登録

QRコードを読み込むだけの簡単登録

 

ワンタイムパスワード認証のアクセス手順

  • ワンタイムパスワードを表示
  • リバースプロキシへアクセス(ワンタイムパスワード認証)
  • 認証後にリダイレクト先のWebサイトが表示(例 SharePoint)

 

 

【2】リバースプロキシ & SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Private CA & Reverse Proxy

 

Private-CA機能&SSLクライアント認証

  • Private-CA 機能によりSSLクライアント証明書を発行します
  • Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

 

特徴

  • リバースプロキシへのアクセス時にパスワードの入力不要
  • 日時などでのリバースプロキシへのアクセスコントロールが可能

 

アクセスコントロール 例

  • 組織や部門でのアクセス制限
  • 曜日や時間帯でのアクセス制限
  • 特定ユーザーでのアクセス制限
  • 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

証明書 〇         証明書 ✖

 

 

【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

対応のモデル
Powered BLUE Web Station

 

特徴

  • 多要素認証によりリバースプロキシの認証の強度が上がります

 

認証のステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 (リバースプロキシ)
3)ワンタイムパスワードを入力 (リバースプロキシ)
4)認証後にリバースプロキシ先のWebが表示(例 RocketChat)

 

 

【4】リバースプロキシ & AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

 

特徴

  • リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-rev-1.png

 

AD認証時の手順

1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ad-login-1-1.png

 

 

【5】リバースプロキシ & SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Reverse Proxy for AD

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

 

特徴

  • リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-rev-2.png

 

SSLクライアント認証&AD認証時の手順

1)リバースプロキシへアクセス
2)SSLクライアント認証
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/ssl-ad-login-1-1.png

 

 

【6】リバースプロキシ & SAML認証

リバースプロキシへのアクセス時にSAML認証を行います

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

 

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

 

SAML-SP

Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ)として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

 

特徴

  • シングルサインオン対応のID認識型リバースプロキシとして運用が出来ます

https://www.mubit.co.jp/sub//products/blue/img2/zero-trust-17.png

 

idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

リバースプロキシを設定して、idPとの認証を設定します。

  • リバースプロキシの認証を設定したいディレクトリのSAML認証を有効

 

シングルサインオンでの認証のステップ

①   ID認識型リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にリバースプロキシ先のWebサイトの表示

 

 

【7】リバースプロキシ & SAML認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1-300x209.png

 

特徴

  • リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

 

 

【8】HA & マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン(シングルAZ)のロードバランサー配下に設置・運用

https://www.mubit.co.jp/sub/products/cloud/img2/single-az-rev-1.png

 

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

  • リージョンA 東日本データセンター
  • リージョンB 西日本データセンター

https://www.mubit.co.jp/sub/products/cloud/img2/multi-az-rev-1.png

 

 

【9】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/wan-lan-rev-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。