リモートワーク時に社内設置のサイボウズやデスクネッツへのアクセスに際して、ワンタイムパスワード認証対応の リバースプロキシを利用して2段階認証でアクセスさせる運用時の設定例です。既存で運用のサイボウズやデスクネッツ側の変更は不要です。
サイボウズ
デスクネッツ
使い捨てパスワード
ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。
ワンタイムパスワード認証機能付のリバースプロキシ
今回利用する
「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に
- ワンタイムパスワード認証
- ID/パスワード認証
- リバースプロキシによるリダイレクト
までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。
ソフトウエアトークン対応
ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。
ソフトウエアトークンの設定
ユーザーが利用するPCやモバイル端末で利用できる「無償のソフトウエアトークン」の設定例
Google Authenticator インストール & セットアップ方法
WinAuth インストール & セットアップ方法
Authy インストール & セットアップ方法
IIJ SmartKey インストール & セットアップ方法
Microsoft Authenticator インストール&セットアップ方法
ワンタイムパスワード認証の設定
Webアクセス時のワンタイム・パスワード認証を設定します
ユーザー認証設定
ユーザーへワンタイムパスワード認証を許可します
QRコード(共有鍵)の表示
- ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
- QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
- QRコードは、ユーザー毎に異なります
QRコードの登録&表示
リバースプロキシの設定画面
ワンタイムパスワード認証&リバースプロキシ
https://xxx.yyy.com/ —-> https://www.powered.blue/
*複数のリバース先を指定できます
認証ステップ
1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
HA / 冗長化
「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。
ロードバランサー配下での構成
- シングルAZ + ロードバランサー
マルチAZでの構成
- マルチAZ + GSLB or Route53
- リージョンA 日本データセンター
- リージョンB 米国データセンター
ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ
「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。
- Webサイト構築・管理機能
- SSLクライアント認証&ワンタイムパスワード認証に対応
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。
SSLクライアント認証でのアクセスコントロール
- SSLクライアント認証の有効化
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
認証ステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
デモサイト
Powered BLUE のデモサイトを用意しています
ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます
ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、
- VMware / Hyper-V
- AWS/EC2 (AMI対応)
- Azure
- FUJITSU Hybrid IT Service FJcloud-O / 富士通
- Enterprise Cloud / NTT communications
などでも運用が可能です。
終わりに
ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。