OTP / ワンタイムパスワード認証対応のWebポータルサイトの構築・運用例です。ポータルサイトには、リバースプロキシ機能を付加することによりワンタイムパスワードの認証後に任意のWebサイトへリダイレクトさせる運用が出来ます。
既存で運用のWebサイト側の変更は不要です。ワンタイムパスワード認証に対応のリバースプロキシを設置するだけで簡単にワンタイムパスワード認証システムの導入が出来ます。
富士通が運用するOpenStackのクラウド基盤 FUJITSU Hybrid IT Service FJcloud-O 上に構築します。一般的なOpenStackで同様の構成での運用も可能です。
ワンタイムパスワード認証機能付のリバースプロキシ
今回利用する
「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に
- ワンタイムパスワード認証
- ID/パスワード認証
- リバースプロキシによるリダイレクト
までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。
ソフトウエアトークン対応
ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。
ソフトウエアトークンの設定
ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例
Google Authenticator のインストール & セットアップ方法
Microsoft Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法
FUJITSU Hybrid IT Service FJcloud-O での構築
「Powered BLUE 870/OTP-Rev」を富士通クラウド環境で構築する方法は
FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応Powered BLUEをセットアップするを参照してください
Powered BLUE 870/OTP-Revの設定
ワンタイムパスワード認証の設定
Webアクセス時のワンタイム・パスワード認証を設定します
任意のディレクトリにワンタイムパスワード認証が設定可能です
- 仮想サイト & 認証のディレクトリ(例 トップdir / にワンタイムパスワード認証設定の場合 )
ユーザー認証設定
ユーザーへワンタイムパスワード認証を許可します
QRコードの表示
- ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
- QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
- QRコードは、ユーザー毎に異なります
QRコードの登録&表示
リバースプロキシの設定画面
ワンタイムパスワード認証&リバースプロキシ
https://xxx.yyy.com/ ⇒ https://www.powered.blue/
*複数のリバース先を指定できます
認証ステップ
1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
リバースプロキシ先のWebアプリなど
SharePointへ
サイボウズへ
デスクネッツへ
WordPressへ
HA / 冗長化
「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。
自社環境とクラウド環境の組み合わせ
ロードバランサーなどはクラウド環境側のリソースを利用する構成
ロードバランサー配下での構成
- シングルAZ + ロードバランサー
マルチAZでの構成
- マルチAZ + GSLB or Route53
- リージョンA 東日本データセンター
- リージョンB 西日本データセンター
ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ
「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。
- Webサイト構築・管理機能
- SSLクライアント認証&ワンタイムパスワード認証に対応
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。
SSLクライアント認証でのアクセスコントロール
- SSLクライアント認証の有効化
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
認証ステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
デモサイト
Powered BLUE のデモサイトを用意しています
ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます
ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、 FUJITSU Hybrid IT Service FJcloud-O の他にも
- VMware / Hyper-V
- AWS/EC2 (AMI対応)
- Azure
- Enterprise Cloud / NTT communications
- スマートコネクトVPS / NTTスマートコネクト
- WebARENA / NTTPC コミュニケーションズ
- ALTUS (アルタス)/ GMOクラウド
- VPS
などでも運用が可能です。
終わりに
ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。