【改修不要】ID・パスワード認証のオンプレのデスクネッツの認証強化 / リバースプロキシで多要素認証やSSOでの対応方法(VPNとの比較)

リモートワークで社外からオンプレミスのデスクネッツへアクセスする際に、「ID / パスワード」認証のみでの運用では、第三者にログインされる可能性が大きいので「多要素認証 / MFA」などを考慮する必要があります。

ID / パスワード認証で運用中のデスクネッツを改修することなく、SSLクライアント認証、ワンタイムパスワード認証やSSOで認証を強化する方法です。

  • 社内からのアクセスは従来通り
  • 社外からのアクセスは認証を強化

などの異なる認証方法での運用にも対応しています。

 

 

 

 

【VPNとリバースプロキシ】

社外からLAN側のオンプレミスのデスクネッツへのアクセス方法としては

  1. VPNでのアクセス
  2. リバースプロキシでのアクセス

などがあります。

 

 

【VPNアクセスの特徴】

  • 専用のVPNクライアントが必要
  • アクセス時の負荷が高い
  • ネットワーク内にアクセスできる

アクセス集中時の速度低下が著しい
ネットワークに侵入されると被害が甚大

 

 

【リバースプロキシの特徴】

  • ブラウザのみで利用(VPNのような専用クライアントは不要)
  • アクセス時の負荷は低い
  • アクセス先のWebサーバーのOSは問わない
  • アクセス先のWebサーバーを隠蔽
  • アクセス先のWebサーバーの改修不要
  • アクセスできるWebサーバーを限定

 

 

 

 

 

 

 

 

 

【リバースプロキシでの認証】

 

 

 

 

 

 

 

 

追加の認証に関しては、各種の認証機能のリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy

が対応しています。

 

 

 

【1】OTP認証 リバースプロキシ & ワンタイムパスワード認証
【2】SSLクライアント認証 リバースプロキシ & SSLクライアント認証
【3】代理認証 / SSO リバースプロキシ & SAML / OIDC認証  ( idP連携 )

 

 

【既存の認証方法とリバースプロキシの併用】

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

  1. 従来の ID / パスワード認証(社内からのアクセス)
  2. リバースプロキシでの認証(社外からのアクセス)

の併用などの柔軟な運用が可能です。

 

 

 

 

 

ID / パスワード認証 リバースプロキシ

 

 

 

【1】ワンタイムパスワード認証対応のリバースプロキシ

 

 

 

ワンタイムパスワード認証のリバースプロキシ・アプライアンス

Powered BLUE Reverse-Proxy / OTP

 

リバースプロキシへのアクセスに、ワンタイムパスワード / OTPによる運用が出来ます。運用中のデスクネッツの改修は不要です。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

 

トークン

 

 

 

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

 

スマフォやPCへの登録方法

  • QRコードを写メルことで、スマフォに登録
  • PCの場合には、文字コードで登録

 

 

 

 

 

 

 

構成図

 

 

 

 

 

 

 

 

 

アクセス手順

1)ワンタイムパスワードの表示
2)リバースプロキシにアクセス ID / ワンタイムパスワード入力
3)OTP認証の成功後 リバースプロキシ先のWebサイトの表示(desknet’sのID/Passwdを入力)

 

 

 

 

 

 

 

 

【2】SSLクライアント認証対応のリバースプロキシ

 

 

 

  • SSLクライアント認証対応のリバースプロキシを構築&運用
  • SSLクライアント証明書の発行・失効やSSLクライアント認証の機能

 

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用に対応しています。

 

 

 

 

 

 

SSLクライアント認証のリバースプロキシ・アプライアンス

Powered BLUE プライベートCA

 

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。運用中のデスクネッツの改修は不要です。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでのWebアクセスでの運用が出来ます。

 

構成図

 

 

 

 

 

 

 

 

 

SSLクライアント証明書 〇  SSLクライアント証明書 ✕

 

 

 

 

 

 

 

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも

  • Webサイトへのアクセスコントロールが可能
  • SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止

できます

 

  1. 組織や部門でのアクセス制限
  2. 曜日や時間帯でのアクセス制限
  3. 特定ユーザーでのアクセス制限
  4. 端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

 

 

 

 

 

 

 

 

 

 

 

【3】idP連携のシングルサインオン(デスクネッツの改修不要)

 

オンプレのデスクネッツへ iDaaS / idP を利用して、SAML / OIDC認証対応のリバースプロキシ経由で代理認証を行いシングルサインオンでアクセスさせる運用構成です。

  • OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用してユーザーの「代理認証」を行い、デスクネッツへシングルサインオンで運用します。既存で運用中のデスクネッツの改修は不要です。

 

 

 

 

SAML / OIDC認証のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

 

 

Azure AD連携のリバースプロキシからデスクネッツへ代理入力&SSO

idPとしてMicrosoft Entra ID(旧名称 Azure AD)を利用時の構成

* 「デスクネッツ」は WAN / DMZ / LAN の任意の場所の設置に対応
* 「デスクネッツ」以外のWebアプリにも対応

 

代理認証

OIDC / SAML認証に対応のID認識型リバースプロキシからデスクネッツへ「ID / パスワード」の代理入力を行います。

  1. ユーザーから「ID / パスワード」の入力不要
  2. ユーザーから「ID / パスワード」 漏洩リスクを低減
  3. デスクネッツを「SSOのメンバー」として構成

 

必要な機器構成

  1. idP
  2. SAML / OIDC認証のID認識型リバースプロキシ( ユーザー情報の代理入力機能 )
  3. デスクネッツ( 改修不要 )
  4. ブラウザ( プラグイン不要 )

 

 

 

idP

idPとしては、Microsoft Entra ID(旧名称  Azure AD)の他に

一般的なSAML / OIDC認証をサポートのidP

  • GMOトラストログイン
  • Keycloak

にも対応

 

idPとリバースプロキシはSAML認証やOIDC認証で接続

 

 

代理入力のSSO利用ステップ

 

 

 

  1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
  2. 初回のみ Microsoft Entra ID(旧 Azure AD) / idP へアクセス
  3. idP の認証後にリバースプロキシからへデスクネッツへ 「ID / パスワード 」の代理入力
  4. デスクネッツへ自動ログイン

 

 

 

 

 

 

 

各種Web システムへのSSO

一度のMicrosoft Entra ID(旧 Azure AD) / idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

 

 

 

 

【お問合せ】

 

 

 

ご質問やご相談など