Webサーバーへアクセス時の、各種のWeb認証に対応の仮想サーバーをHCI(ハイバーコンバージドインフラ)のNutanixで運用する構成例です。
自社運用のWebサイトへアクセスする際に、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアにWebアクセスが出来ます。
認証対応のWebアプライアンス
Nutanix上では、各種のWeb認証に対応のWebアプライアンスとして、「Powered BLUE Webアプライアンス」 を利用します。
冗長機能はNutanix側の機能を使うため、アプライアンスの運用が簡単です。
Nutanixでの運用
Powered BLUE Webアプライアンスは、「ユーザーVM」として動作します
Web アプライアンスの機能
- マルチサイト / マルチドメイン対応Webサーバー機能
- Private-CA / SSLクラアント認証
- ワンタイムパスワード認証
- Active DIrectory認証
- idP連携SAML認証
- DNS / Mail サーバー機能
- パッチの自動適用機能
- サーバーのモニタリング機能(ひとり情シス対応)
等を有しています。Nutanix上では、ユーザーVMとしてGUIからすべての設定や運用が可能です。
運用構成 例
- Webトップページは、ワールドワイドに公開
- 特定のディレクトリにWeb認証を設定
- デイレクトリごとに異なるWeb認証設定や複数のWeb認証設定
- 複数の仮想サイトに異なるWeb認証を設定(マルチドメイン・マルチサイト)
プラグイン
GUIからの簡単インストール・セットアップに対応
- WordPressでのWebサイト作成
- Let’s EncrptでのSSL証明書の取得&自動更新
- php 7.x
- WebMail
WordPress 構築・運用 例
WordPress バージョン更新 4.9.2 ➡ 5.7
Let’s Encrypt 自動更新 例
対応のWeb認証方式
【1】Web & OTP/ワンタイムパスワード認証
【2】Web & SSLクライアント認証
【3】Web & ワンタイムパスワード認証 + SSLクライアント認証
【4】Web & AD認証 ( Active Directory連携 )
【5】Web & AD認証 + SSLクライアント認証
【6】Web & SAML認証
【7】Web & SAML認証+ SSLクライアント認証
【1】 OTP/ワンタイムパスワード 認証対応 Web
ワンタイムパスワードのアカウント管理とワンタイムパスワード認証、Webを1台で運用
Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応
ワンタイムパスワード認証対応のWebサイト運用例
アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示
【2】 SSLクライアント 認証対応 Web
Private CA 機能/SSLクライアント証明書の発行・管理および・Webサイトの構築・SSLクライアント認証を1台で運用
Private-CA / SSLクライアント証明書発行 / SSLクライアント認証対応のWebサイト運用例
SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webへのアクセスコントロールが設定出来ます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
認証のステップ(SSLクライアント認証)
1)Webにアクセス
2)SSLクライアント認証
3)認証後にWebを表示
SSLクライアント証明書が無効の場合
【3】 SSLクライアント 認証+ワンタイムパスワード認証対応 Web
SSLクライアント認証とワンタイムパスワード認証(多要素認証のWebサイト)を運用
Private-CA / SSLクライアント認証+ワンタイムパスワード認証対応のWebサイト運用例
認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示
【4】 AD認証対応 Web
ADサーバーとAD認証連携での運用
AD認証設定
AD認証対応のWebサイト運用例
認証のステップ(AD認証)
1)Webサイトへアクセス
2)AD認証後にWebサイトの表示
【5】 SSLクライアント認証+AD認証対応 Web
SSLクライアント認証とAD認証の併用での運用(多要素認証)
AD認証設定
SSLクライアント認証 設定
SSLクライアント認証+AD認証対応のWebサイト運用例
認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示
【6】 SAML認証対応 Web
idPと連携してSAML認証のWebサイトの運用(ID認識型Webサーバーとして動作)
- SSO(シングルサインオン)対応
- ゼロトラスト対応のWebサイトの構築・運用
対応のidP
SAML認証に対応のidP / iDaaS と連携できます
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他
ID認識型Webサイト運用例
idP側の設定
- idPへアカウントを作成
- SAML認証を有効
- アクセスポリシーを設定
ID認識型Webサイト側の設定
Webページを作成して、idPとの認証を設定します
- Webサイトの認証を設定したいディレクトリのSAML認証を有効
認証のステップ
① ID認識型Webサイトへアクセス
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
【7】 SSLクライアント認証+SAML認証対応 Web
idPの認証とは別に、自社Webへのアクセスに自社のCA/SSLクライアント認証を併用で運用
- SSLクライアント認証(自社独自の認証)
- SSO(シングルサインオン)対応
- ゼロトラスト対応のWebサイトの構築・運用
ID認識型Webサイト運用例
idP側の設定
- idPへアカウントを作成
- SAML認証を有効
- アクセスポリシーを設定
ID認識型Webサイト側の設定
Webページを作成して、idPとの認証を設定します
- Webサイトの認証を設定したいディレクトリのSAML認証を有効
SSLクライアント認証
idP側の認証とは別にWebページへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定
認証のステップ
① ID認識型Webサイトへアクセス(SSLクライアント認証)
② 初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示
終わりに
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください