月別アーカイブ: 2021年4月

Web認証対応の仮想アプライアンスをNutanix上で運用 / SAML認証やワンタイムパスワード認証Web

Webサーバーへアクセス時の、各種のWeb認証に対応の仮想サーバーをHCI(ハイバーコンバージドインフラ)のNutanixで運用する構成例です。

自社運用のWebサイトへアクセスする際に、SSLクライアント認証、ワンタイムパスワード認証、AD認証、idP連携のSAML認証などの各種の認証経由でセキュアにWebアクセスが出来ます。

 

 

認証対応のWebアプライアンス

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

Nutanix上では、各種のWeb認証に対応のWebアプライアンスとして、https://www.mubit.co.jp/sub/products/img2/arrow-finger.gifPowered BLUE Webアプライアンス」 を利用します。

冗長機能はNutanix側の機能を使うため、アプライアンスの運用が簡単です。

 

 

Nutanixでの運用

Powered BLUE Webアプライアンスは、「ユーザーVM」として動作します

 

 

Web アプライアンスの機能

  • マルチサイト / マルチドメイン対応Webサーバー機能
  • Private-CA / SSLクラアント認証
  • ワンタイムパスワード認証
  • Active DIrectory認証
  • idP連携SAML認証
  • DNS / Mail サーバー機能
  • パッチの自動適用機能
  • サーバーのモニタリング機能(ひとり情シス対応)

等を有しています。Nutanix上では、ユーザーVMとしてGUIからすべての設定や運用が可能です。

 

運用構成 例

  • Webトップページは、ワールドワイドに公開
  • 特定のディレクトリにWeb認証を設定
  • デイレクトリごとに異なるWeb認証設定や複数のWeb認証設定
  • 複数の仮想サイトに異なるWeb認証を設定(マルチドメイン・マルチサイト)

 

プラグイン

GUIからの簡単インストール・セットアップに対応

  • WordPressでのWebサイト作成
  • Let’s EncrptでのSSL証明書の取得&自動更新
  • php 7.x
  • WebMail
https://www.mubit.co.jp/img3/wordpress-logo-stacked-rgb.png https://www.mubit.co.jp/img3/lets-encrypt-logo.png https://www.mubit.co.jp/img3/php-logo1.png https://www.mubit.co.jp/img3/qube-1.jpg

 

WordPress  構築・運用 例

WordPress バージョン更新 4.9.2   ➡  5.7

 

Let’s Encrypt 自動更新 例

 

対応のWeb認証方式

【1】Web & OTP/ワンタイムパスワード認証
【2】Web & SSLクライアント認証
【3】Web & ワンタイムパスワード認証 + SSLクライアント認証
【4】Web & AD認証 ( Active Directory連携 )
【5】Web & AD認証 +  SSLクライアント認証
【6】Web & SAML認証
【7】Web & SAML認証+ SSLクライアント認証

 

 

【1】 OTP/ワンタイムパスワード 認証対応 Web

ワンタイムパスワードのアカウント管理とワンタイムパスワード認証、Webを1台で運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

Google Authenticatorなどの無償のソフトウエア・トークン&QRコードに対応

 

ワンタイムパスワード認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/otp-04.png

 

アクセス手順
1)ワンタイムパスワードの表示
2)Webサイトにアクセス ID/パスワード/ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示

 

 

【2】 SSLクライアント 認証対応 Web

Private CA 機能/SSLクライアント証明書の発行・管理および・Webサイトの構築・SSLクライアント認証を1台で運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

Private-CA / SSLクライアント証明書発行 / SSLクライアント認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/ca/img2/ca-ssl-allinone3.png

 

SSLクライアント認証時のアクセスコントロール
有効なSSLクライアント証明書を有している場合でも、Webへのアクセスコントロールが設定出来ます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

 

認証のステップ(SSLクライアント認証)

1)Webにアクセス
2)SSLクライアント認証
3)認証後にWebを表示

 

SSLクライアント証明書が無効の場合

https://www.powered.blue/sub/products/img2/ssl-web-4.png

 

 

【3 SSLクライアント 認証+ワンタイムパスワード認証対応 Web

SSLクライアント認証とワンタイムパスワード認証(多要素認証のWebサイト)を運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

Private-CA / SSLクライアント認証+ワンタイムパスワード認証対応のWebサイト運用例

 

認証のステップ(SSLクライアント認証+ワンタイムパスワード認証)

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示

 

 

【4 AD認証対応 Web

ADサーバーとAD認証連携での運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

 

AD認証設定

 

AD認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/ad-auth-13.png

 

認証のステップ(AD認証)

1)Webサイトへアクセス
2)AD認証後にWebサイトの表示

https://www.mubit.co.jp/sub/products/blue/img2/ad-login-1.png

 

 

【5 SSLクライアント認証+AD認証対応 Web

SSLクライアント認証とAD認証の併用での運用(多要素認証)

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2//ad-auth-tag-1.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

AD認証設定

SSLクライアント認証 設定

 

SSLクライアント認証+AD認証対応のWebサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/ad-ssl-1.png

 

認証のステップ(SSLクライアント認証+AD認証)
1)Webへアクセス(SSLクライアント認証)
2)アカウントやパスワードを入力
3)AD認証
4)ADの認証後にWebページを表示

 

 

【6 SAML認証対応 Web

idPと連携してSAML認証のWebサイトの運用(ID認識型Webサーバーとして動作)

  • SSO(シングルサインオン)対応
  • ゼロトラスト対応のWebサイトの構築・運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

 

対応のidP

SAML認証に対応のidP / iDaaS と連携できます
Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

 

ID認識型Webサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-22.png

 

 idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

  • Webサイトの認証を設定したいディレクトリのSAML認証を有効

 

認証のステップ

①   ID認識型Webサイトへアクセス
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示

 

 

 

【7 SSLクライアント認証+SAML認証対応 Web

idPの認証とは別に、自社Webへのアクセスに自社のCA/SSLクライアント認証を併用で運用

  • SSLクライアント認証(自社独自の認証)
  • SSO(シングルサインオン)対応
  • ゼロトラスト対応のWebサイトの構築・運用

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-2.png

https://www.mubit.co.jp/sub/products/img2/saml-24-1.png

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1.png

 

ID認識型Webサイト運用例

https://www.mubit.co.jp/sub/products/blue/img2/idp-sp-8.png

 

 idP側の設定

  • idPへアカウントを作成
  • SAML認証を有効
  • アクセスポリシーを設定

https://japan.zdnet.com/storage/2017/08/03/de5e58b6c73ae8f65bb4ce49490d6dce/newsigninpage.jpg

 

ID認識型Webサイト側の設定

Webページを作成して、idPとの認証を設定します

  • Webサイトの認証を設定したいディレクトリのSAML認証を有効

 

SSLクライアント認証

idP側の認証とは別にWebページへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定

認証のステップ

①   ID認識型Webサイトへアクセス(SSLクライアント認証)
②   初回のみ idP へアクセス ( シングルサインオン )
③ idPの認証後にWebサイトの表示

 

 

終わりに

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください