NTTPCコミニュケーションズ社が運用するクラウド基盤 WebARENA / IndigoProのVPSサーバーで、SAML認証-ワンタイムパスワ―ド認証-AD認証-SSLクライアント認証-生体認証-パスワードレス認証などの各種の認証に対応のリバースプロキシを運用する場合の構成例です。リモートワークなどで既存のWebへアクセスする際の、認証機能を強化したい場合に利用できます。
IndigoProでは、VPSの自動バックアップ機能やHA機能(フェイルオーバー)、SLA、自動監視機能などを備えており「ひとり情シス」などの「企業向け用途」での運用に対応しています。
【WebARENA / IndigoProの特徴】
- 10Gbpsの高速回線VPS(べストエフォート)
- SLA
- 簡易Firewall
- セルフ監視機能
- フェイルオーバー機能(HA)- 標準装備
- 固定IP =1個
- リージョン(東日本・西日本)
- リモートコンソール
- 自動バックアップ
- UTM
- ヘルプデスク
など
各種サービスの月額費用の上限が決まっているので、予算内での運用が可能。また請求書での支払いに対応。
【Powered BLUE リバースプロキシ / Reverse Proxy】
各種の認証機能に対応のリバースプロキシ・アプライアンス
- リバースプロキシ & ワンタイムパスワード認証
- リバースプロキシ & SSLクライアント認証
- リバースプロキシ & ワンタイムパスワード認証& SSLクライアント認証
- リバースプロキシ & SAML認証( Azure ADなどのidP連携 )
- リバースプロキシ & SAML認証&SSLクライアント認証
- リバースプロキシ & Active Directory認証
- リバースプロキシ & Active Directory&SSLクラアイント認証
- リバースプロキシ & 生体認証( FIDO2 / WebAuthn )
オールインワンでの運用に対応しています。
リバースプロキシ経由での社内LAN側などのWebサーバーへのアクセスに際して、既存の社内Web側は変更することなく、リバースプロキシ上に各種の認証を設定しての運用に対応しています。
リバースプロキシと認証機能を1台で運用出来ます。仮想アプライアンスで提供しており、WebARENA / IndigoPro 環境で認証機能付きのリバースプロキシの導入&運用が可能です。
IndigoProは、標準機能としてフェイルオーバー機能の基盤上で運用されており、SLAなど企業向けのサービスで利用できるVPSです。
【WebArena IndigoProでの構築】
Powered BLUE リバースプロキシ / Reverse Proxyを WebArena IndigoPro 上に構築運用します
「WebArena IndigoPro」上にインスタンスを作成します
Networkなど
- IP/Gateway/DNSなどは、IndigoProの基盤側からアサインされます
【リバースプロキシの設定】
リバースプロキシ先を登録します
- 複数のリバース先 / バックエンドの設定に対応
- リバース先のポート( http / https / 任意のポート番号)に対応
- 終端までSSL通信での運用に対応
- リバースプロキシーのWebサイトに「 Let’s Encrypt 」 の利用が可能
- TLSレベルの選択が可能
* Powered BLUE サーバー構築やリバースプロキシ設定後の引き渡しも対応可能
【1】リバースプロキシ & ワンタイムパスワード認証
対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy
リバースプロキシにアクセス時にワンタイムパスワード認証を行います
ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて
●Google Authenticator
●Microsoft Authenticator
●WinAuth
●Authy
●IIJ SmartKey
などの無償のソフトウエアトークンなどを利用できます
簡単登録
QRコードを読み込むだけの簡単登録
ワンタイムパスワード認証のアクセス手順
- ワンタイムパスワードを表示
- リバースプロキシへアクセス(ワンタイムパスワード認証)
- 認証後にリダイレクト先のWebサイトが表示(例 SharePoint)
【2】リバースプロキシ & SSLクライアント認証
リバースプロキシへのアクセス時にSSLクライアント認証を行います
対応のモデル
Powered BLUE Private CA & Reverse Proxy
Private-CA機能&SSLクライアント認証
- Private-CA 機能によりSSLクライアント証明書を発行します
- Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います
特徴
- リバースプロキシへのアクセス時にパスワードの入力不要
- 日時などでのリバースプロキシへのアクセスコントロールが可能
アクセスコントロール 例
- 組織や部門でのアクセス制限
- 曜日や時間帯でのアクセス制限
- 特定ユーザーでのアクセス制限
- 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
有効なSSLクライアント証明書のない場合
リバースプロキシでアクセスが拒否されます
証明書 〇 証明書 ✖
【3】リバースプロキシ & ワンタイムパスワード& SSLクライアント認証の併用
リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います
対応のモデル
Powered BLUE Web Station
特徴
- 多要素認証によりリバースプロキシの認証の強度が上がります
認証のステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証 (リバースプロキシ)
3)ワンタイムパスワードを入力 (リバースプロキシ)
4)認証後にリバースプロキシ先のWebが表示
【4】リバースプロキシ & SAML認証
リバースプロキシへのアクセス時にSAML認証を行います
idP / IDaaS
idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。
既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます
SAML-SP
Powered BLUE リバースプロキシは、SAML認証に対応のSP(サービスプロバイダ)として動作します
対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS
特徴
- シングルサインオン/SAML認証に対応のリバースプロキシとして運用が出来ます
認証のステップ
1) ID認識型リバースプロキシへアクセス
2) 初回のみ idP へアクセス ( シングルサインオン )
3) idPの認証後にリバースプロキシ先のWebサイトの表示
【5】リバースプロキシ & SAML認証とSSLクライアント認証の併用
リバースプロキシへのアクセス時にiDaaS側のSAML認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。
特徴
- リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます
【6】リバースプロキシ & AD認証
リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル Powered BLUE Reverse Proxy for AD
特徴
- リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。
AD認証時の手順
1)リバースプロキシへアクセス
2)アカウントやパスワードを入力(AD認証)
3)ADの認証後にリバース先のWebを表示
【7】リバースプロキシ & SSLクライアント認証+AD認証
リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル Powered BLUE Reverse Proxy for AD
特徴
- リバースプロキシへのアクセスに際して、多要素認証で運用ができます。
SSLクライアント認証&AD認証時の手順
1)リバースプロキシへアクセス
2)SSLクライアント認証
3)アカウントやパスワードを入力(AD認証)
4)ADの認証後にリバース先のWebを表示
【8】生体認証対応(FIDO2 / WebAuthn)
FIDO2の生体認証(指紋認証)機能により、「なりすまし防止」でのアクセスが出来ます
特徴
- 生体情報は覚える必要がない
- パスワードレス認証に対応
- 生体情報は偽造しにくい
生体認証器
利用者はUSBタイプのセキュリティキー「指紋認証器」をPCへ接続
指紋を登録
構成
https://www.mubit.co.jp/sub/products/blue/b870-sso-rev.html
指紋認証時のWebアクセス手順
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証 生体認証 )
③ 認証後にターゲットWebへリダイレクト
WAN側設置のWeb
クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。
認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。
ひとり情シス対応
Powered BLUE アプライアンスは
- サーバーの自己監視
- サービスの自動再起動
- パッチのスケジュールアップデート
などの機能を装備。ひとり情シスでの運用に対応しています。
ログの保存
- シスログの保存 ( 任意期間の保存 )
- シスログの転送 ( 同時に3カ所への送信 )
- シスログのトラップ
などに対応 (オプション)
任意キーワードでのトラップ & アラートメールの送信先の指定 例
こんな場合に
- 既存のWebサイトを変更せずに認証機能を強化したい
- アプライアンスで運用したい
- ひとり情シスで運用したい
- 高速な回線で運用したい
- 費用は安価&固定で運用したい
- 冗長構成(HA)に予算をかけられないけど、HA機能はほしい
- 自動バックアップは必須
- 国内クラウド基盤で運用したい
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます