超簡単・ワンタイムパスワード認証のWebサイトを構築 / AWSやVMware対応

Webのサイトへのアクセスに際して、OTP / ワンタイムパスワードとID/パスワードの2要素認証/多要素認証(Multi Factor Authentication ) 対応のWebサイトの構築・運用例です。冗長化構成やマルチリージョンでの運用もできます。

 

パスワード漏洩時の対策

いつも使っている使いまわしのパスワードが流出した場合でも安心です。ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。いつも使っている「使いまわしのパスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にWebへアクセスさせることが出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-21.png

 

ワンタイムパスワード認証機能付属のWebサーバー

ワンタイムパスワード認証機能を持つWebサーバー   https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP」を使います。このアプライアンスサーバーは、自社専用のワンタイムパスワード認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。通常のWebページはもちろん、WordPressなどにも対応しています。

ビジネスポータルにワンタイムパスワード認証を設定する。また特定のディレクトリ以下にワンタイムパスワード認証を設定するなどの多彩な運用形態が取れます。リバースプロキシ機能も有しており、既存で運用のWebサイトへの認証連携にも対応しています。

 

システム構成

ワンタイムパスワード認証対応のWebサーバーは1台(オールインワン)で運用出来ます

https://www.mubit.co.jp/sub/products/blue/img2/otp-02.png

 

無償で利用出来るソフトウエア・トークンなど

ワンタイムパスワード方式は、ハードウエア・トークンやソフトウエア・トークンなどの各種の方式があります。無償のソフトウエア・トークンを利用することで、導入時のコストを大幅に抑えることが可能です。

Google Authenticator

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/08/google-auth-logo.jpg

  • iOS/androidに対応
  • バックアップ機能なし
  • ワンタイムパスワードトークンのスタンダード
  • オープンソース

Authy

https://is3-ssl.mzstatic.com/image/thumb/Purple128/v4/3b/b6/de/3bb6de22-7787-dcd5-3abf-0d3cba467e26/source/512x512bb.jpg

  •  iOS/android 対応
  •  Windows/Mac/Linux 対応 (Chromeブラウザの拡張機能)
  •  Chrome OS 対応
  • バックアップ機能あり

IIJ SmartKey

https://lh3.googleusercontent.com/aSN4V2EiVMRzt7OnfWpNXOaR-2l14p-JUawBGKuWQlNMJo832nSb8HJ8-TTlUpDHZe7s=s180

  • iOS/android 対応(日本語対応)

WinAuth

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/08/winauth-logo-1-150x150.jpg

  • Windows 対応
  • バックアップ機能なし
  • オープンソース

などです。上記の中から自分の端末や環境に合わせて、適宜インストールします

 

クライアント側の導入の敷居が低い

スマフォに対応のソフトウエア・トークンなどは、App Store / Google Play公式サイトから無償で入手出来ます。インストール操作も簡単なので、小学校の低学年や年配の方、主婦層などのITスキルに精通していない方でも、ご利用のスマフォやモバイル端末などに簡単に導入&利用が出来ます。

 

ソフトウエア・トークンのインストール方法

Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

 

運用例

  • 認証が必要なWebサイトを運用する場合
  • 社員や会員向けのWebサイトを運営する場合
  • 個人情報や機密情報を扱うWebサイトを運用する場合
  • 運用例-1 Webサイト全体に認証を適用
  • 運用例-2 Webサイトの特定のディレクトリのみに認証を適用
  • 運用例-3 認証後に既存のWebサイトへリバースプロキシでリダイレクトさせる

 

こんな場合に便利

  • Webサイトへの認証がID/固定パスワードだけでは不安
  • ユーザーにはVPNや閉域網は使わせたくない
  • ITに詳しくないユーザーにも使わせたい
  • サーバーは自社管理で運用したい
  • サーバーの台数を抑えたい(オールインワン)
  • ひとり情シスで運用したい

 

利用シーン

学習塾のWebページを運用

  • トップページは、全世界にアクセスを許可
  • 特定のディレクトリ以下は、学習塾の生徒にのみワンタイムパスワード認証でアクセスを制限
  • 小学1-2年の生徒さんでも、スマフォのアプリ(ソフトウエアトークン)のインストールが可能&利用が可能

 

バイト向けの勤怠表のWebページを運用

  • バイトの社員にワンタイムパスワード認証で勤怠表へのアクセス認証
  • 年配の方や主婦層などの、ITに詳しくない方でもスマフォのアプリ(ソフトウエアトークン)のインストール&利用が可能

 

企業のWebページを運用

  • トップページは、全世界にアクセスを許可
  • 特定のディレクトリ以下は、ワンタイムパスワード認証後にリバースプロキシにより既存で運用の別サーバーのWebサイトへリダイレクト

 

ワンタイムパスワード認証機能付のWebサーバー

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP」は、Webサイトへのアクセス時に

  • Webサイトへアクセス時のワンタイムパスワード認証
  • ワンタイムパスワード設定&ユーザー管理
  • マルチドメイン対応
  • インターネットサーバー機能(Mail/Web/DNS)
  • WordPressの簡単インストール対応(フリープラグイン)

までの機能を、1台で運用出来るアプライアンスです。

 

クラウドや仮想対応

AWS/Azureなどのクラウド環境やVPS、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけ。すぐに自社管理のワンタイムパスワード認証機能付きのWebの運用が可能です。

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/hyper-v-3.png

 

AWSでの運用

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE のAWSでの構築&設定例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-select02-1024x907.png

 

簡単設定

ワンタイムパスワード/OTPの設定、発行、ユーザー管理やWebサイトの構築や認証設定、サーバーの運用やメンテナンスまでを、GUIの操作からオールインワン(1台の仮想アプライアンス)で行なえす。

https://www.mubit.co.jp/sub/products/blue/img2/otp-22.png

 

Powered BLUE 870/OTPの機能 について

機能 有無
Webサーバー機能
ワンタイムパスワード認証
リバースプロキシ
インターネットサーバー機能 (Mail/DNS/ftp)
Let’s Encrypt & 自動更新
WordPress (CMS)
Roundcube (WebMail)
ownCloud (オンラインストレージ)
php 7.x 対応
セキュリティパッチの自動適用
サービス状態の自己監視 / 再起動 / サーバ管理者へ通知
サードパーティソフト 対応
HA 対応
マルチドメイン 対応
CentOS / RedHat 7.x 対応

Powered BLUE 870/OTPはWebサイト機能を有しており、Webページのデータをインポートするだけで2要素認証のWebサイトを簡単に構築&運用が出来ます。

一般のWebサイトの他、グループウエア(サイボウズ・デスクネッツ)、Web Mail(Roundcube)、オンラインストレージ(ownCloud)、フリープラグインによるWordPressでのWebページの作成・メンテナンスも出来ます。

Let’s Encryptにも対応しており、Webサイトの常時SSL化&SSLサーバー証明書の取得から自動更新までを、ひとり情シス環境でも負担をかけずに運用することも出来ます。

また既存で運用のWebサーバーに対しては、多要素認証後のリバースプロキシ機能によるリダイレクトにより、既存のWebシステム側を変更することなく簡単に認証機能を強化することができます。

 

想サイトを作成

例 test-opt.mubit.com

 

Webページ

作成した仮想サイトには、デフォルトでindex.htmlが自動作成されています。このindex.htmlファルを適宜変更して、Webページを作成する もしくは フリープラグインでWordPressをインストールしてWebページを作成する事も出来ます。

デフォルトのindex.html

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-23.png

 

サイトのWebページは、フリープラグインのWordPressでの作成も出来ます

WordPressインストール

フリープラグインでWordPressを選択します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-6-1.png

Webの作成

ブログを作成する ボタンを押します

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-7.png

WordPressはインストール後に、最新バージョンへのアップデートも出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/wordpress-1.png

WordPressはインストール後に、アップデートも可能です。 WordPressのバージョンアップの方法

WordPressへの各種プラグインや操作&変更などは、通常のWordPressと同様の操作や運用が出来ます。

 

WordPressのインストール詳細

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 へのWordPressのインストール&設定を参照

 

仮想サイトのWebページをLet’s Encrypt/自動更新対応で常時SSL化する場合には、

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE870の仮想サイトへLet’s Encryptを設定を参照

 

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

  • 仮想サイト & 認証のディレクトリ(例 トップdir /  にワンタイムパスワード認証設定の場合 )

 

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例 鈴木 二郎 へワンタイムパスワード認証を有効に設定

QRコードの表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

  • ソフトウエア・トークンを起動して、QRコード(2次元バーコード)をスマフォで読み撮り登録します
  • QRコードは、ユーザー毎に異なります
  • QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/06/qr-2.png

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

多要素認証

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870/Multi-Authは、Webサイトへアクセス時の

  • ワンタイムパスワード認証
  • SSLクライアント認証

の2つの認証方式に対応しています。2つ同時の認証やそれぞれの個別の認証設定が可能です。

https://www.mubit.co.jp/sub/products/img2/otp-3.png

https://www.mubit.co.jp/sub/products/img2/SSL-client-1.png

 

多要素認証時のアクセス例

1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

利用シーン

  • サイトやディレクトリ毎に異なる認証の設定をしたい場合
  • SSLクライアント認証(時間・曜日などでのアクセス制限が可能)
  • ワンタイムパスワード認証(ソフトウエア・トークンの配布が簡単)

 

SSLクライアント認証のアクセス制限

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-3.png

運用例

運用例-1 Webサイト全体に認証を適用
運用例-2 Webサイトの特定のディレクトリに認証を適用
運用例-3 社員向けには、SSLクライアント認証
運用例-4 会員向けには、ワンタイムパスワード認証
運用例-5 VIP向けには、SSLクライアント認証&ワンタイムパスワード認証の併用

 

既存Webサイトの認証強化

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870/OTP–Revは、仮想サイト上でのワンタイムパスワード認証&リバースプロキシの同時運用にも対応しており、ワンタイムパスワード認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

リバースプロキシの設定画面

Powered BLUE 870/OTPでのリバースプロキシの設定 例

 

ワンタイムパスワード認証対応リバースプロキシ連携 例

  • Sharepoint
  • RocketChat
  • NTTデータ イントラマートワークフロー
  • エイトレッド X-point
  • NIコラボスマート
  • 楽々Workflow II
  • eValue NS
  • サイボウズ
  • デスクネッツ
  • Active! mail
  • Powere egg
  • RoundCube
  • Aipo
  • WaWaOffice
  • Seagull Office
  • OpenWebMail
  • Zabbix
  • Proself
  • FileBlog
  • MosP勤怠管理/人事管理/給与計算
  • 社内Web

Sharepointへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/share-point-1.png

 

サイボウズへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

RocketChatへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/rocketchat-login-1.png

 

デスクネッツへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

NTTデータイントラマートへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/intra-mart-login1.png

 

X-pointへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/xpoint-login-1.png

 

楽々ワークフローIIへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/rakuraku-login-11.png

 

eValue NSへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/eValue-NS-login-1.png

 

FileBlogへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/fileblog-login-1.png


Power eggへのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/powere-egg-1.png

 

MosP勤怠管理へのワンタイムパスワード認証(2段回認証)

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/12/mosp-kintai-1.png

 

SSLクライアント認証に対応のWeb

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Private CA」 は、WebサイトのSSLクライアント認証での運用に対応

 

多要素認証に対応のWeb

Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。医療関係などのより高度な認証を必要とするケースでの運用にも対応しています。

オールインワンでSSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシの運用が出来ます。

  • Webサイト構築・管理機能
  • SSLクライアント認証&ワンタイムパスワード認証に対応
  • リバースプロキシ
  • インターネットサーバー機能

までを1台で運用できる https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station も選択可能です

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証
3)アカウントやワンタイムパスワードを入力
4)認証後にリバースプロキシ先のWebを表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

 

 

運用先

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

  • VMware / Hyper-V
  • AWS/EC2 (AMI対応)
  • Azure
  • FUJITSU Cloud Service for OSS (4OSS) / 富士通
  • ニフクラ / 富士通クラウドテクノロジーズ
  • Enterprise Cloud / NTT communications
  • スマートコネクトVPS / NTTスマートコネクト
  • WebARENA / NTTPC コミュニケーションズ
  • ALTUS (アルタス)/ GMOクラウド
  • Kagoya Cloud / カゴヤジャパン
  • VPS

などでも運用が可能です。

 

冗長構成

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチリージョンでのワンタイムパスワード認証対応のWebサイトの運用にも対応しています

ロードバランサーとの組み合わせ

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-2.png

マルチリージョンでの構成

・リージョンA / 東日本データセンタ
・リージョンB / 西日本データセンタ

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif ワンタイムパスワード認証Webサーバーの冗長構成 設定例

 

 

デモサイト

ワンタイムパスワード認証の操作などのデモが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

終わりに

ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。