Webのサイトへのアクセスに際して、OTP / ワンタイムパスワードとID/パスワードの2要素認証/多要素認証(Multi Factor Authentication ) 対応のWebサイトの構築・運用例です。冗長化構成やマルチリージョンでの運用もできます。
パスワード漏洩時の対策
いつも使っている使いまわしのパスワードが流出した場合でも安心です。ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。いつも使っている「使いまわしのパスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にWebへアクセスさせることが出来ます。
ワンタイムパスワード認証機能付属のWebサーバー
ワンタイムパスワード認証機能を持つWebサーバー 「Powered BLUE 870/OTP」を使います。このアプライアンスサーバーは、自社専用のワンタイムパスワード認証機能付属のWebサーバーを簡単に構築&運用することが出来ます。通常のWebページはもちろん、WordPressなどにも対応しています。
ビジネスポータルにワンタイムパスワード認証を設定する。また特定のディレクトリ以下にワンタイムパスワード認証を設定するなどの多彩な運用形態が取れます。リバースプロキシ機能も有しており、既存で運用のWebサイトへの認証連携にも対応しています。
システム構成
ワンタイムパスワード認証対応のWebサーバーは1台(オールインワン)で運用出来ます
無償で利用出来るソフトウエア・トークンなど
ワンタイムパスワード方式は、ハードウエア・トークンやソフトウエア・トークンなどの各種の方式があります。無償のソフトウエア・トークンを利用することで、導入時のコストを大幅に抑えることが可能です。
Google Authenticator
- iOS/Androidに対応
- バックアップ機能あり
- ワンタイムパスワードトークンのスタンダード
- オープンソース
MIcrosoft Authenticator
- iOS/Androidに対応
Authy
- iOS/Android 対応
- Windows/Mac/Linux 対応 (Chromeブラウザの拡張機能)
- Chrome OS 対応
- バックアップ機能あり
IIJ SmartKey
- iOS/Android 対応(日本語対応)
WinAuth
- Windows 対応
- バックアップ機能なし
- オープンソース
などです。上記の中から自分の端末や環境に合わせて、適宜インストールします
クライアント側の導入の敷居が低い
スマフォに対応のソフトウエア・トークンなどは、App Store / Google Play公式サイトから無償で入手出来ます。インストール操作も簡単なので、小学校の低学年や年配の方、主婦層などのITスキルに精通していない方でも、ご利用のスマフォやモバイル端末などに簡単に導入&利用が出来ます。
ソフトウエア・トークンのインストール方法
Google Authenticator のインストール & セットアップ方法
Microsoft Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法
運用例
- 認証が必要なWebサイトを運用する場合
- 社員や会員向けのWebサイトを運営する場合
- 個人情報や機密情報を扱うWebサイトを運用する場合
- 運用例-1 Webサイト全体に認証を適用
- 運用例-2 Webサイトの特定のディレクトリのみに認証を適用
- 運用例-3 認証後に既存のWebサイトへリバースプロキシでリダイレクトさせる
こんな場合に便利
- Webサイトへの認証がID/固定パスワードだけでは不安
- ユーザーにはVPNや閉域網は使わせたくない
- ITに詳しくないユーザーにも使わせたい
- サーバーは自社管理で運用したい
- サーバーの台数を抑えたい(オールインワン)
- ひとり情シスで運用したい
利用シーン
学習塾のWebページを運用
- トップページは、全世界にアクセスを許可
- 特定のディレクトリ以下は、学習塾の生徒にのみワンタイムパスワード認証でアクセスを制限
- 小学1-2年の生徒さんでも、スマフォのアプリ(ソフトウエアトークン)のインストールが可能&利用が可能
バイト向けの勤怠表のWebページを運用
- バイトの社員にワンタイムパスワード認証で勤怠表へのアクセス認証
- 年配の方や主婦層などの、ITに詳しくない方でもスマフォのアプリ(ソフトウエアトークン)のインストール&利用が可能
企業のWebページを運用
- トップページは、全世界にアクセスを許可
- 特定のディレクトリ以下は、ワンタイムパスワード認証後にリバースプロキシにより既存で運用の別サーバーのWebサイトへリダイレクト
ワンタイムパスワード認証機能付のWebサーバー
「Powered BLUE 870/OTP」は、Webサイトへのアクセス時に
- Webサイトへアクセス時のワンタイムパスワード認証
- ワンタイムパスワード設定&ユーザー管理
- マルチドメイン対応
- インターネットサーバー機能(Mail/Web/DNS)
- WordPressの簡単インストール対応(フリープラグイン)
までの機能を、1台で運用出来るアプライアンスです。
クラウドや仮想対応
AWS/Azureなどのクラウド環境やVPS、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけ。すぐに自社管理のワンタイムパスワード認証機能付きのWebの運用が可能です。
AWSでの運用
簡単設定
ワンタイムパスワード/OTPの設定、発行、ユーザー管理やWebサイトの構築や認証設定、サーバーの運用やメンテナンスまでを、GUIの操作からオールインワン(1台の仮想アプライアンス)で行なえす。
Powered BLUE 870/OTPの機能 について
機能 | 有無 |
Webサーバー機能 | 〇 |
ワンタイムパスワード認証 | 〇 |
リバースプロキシ | 〇 |
インターネットサーバー機能 (Mail/DNS/ftp) | 〇 |
Let’s Encrypt & 自動更新 | 〇 |
WordPress (CMS) | 〇 |
Roundcube (WebMail) | 〇 |
ownCloud (オンラインストレージ) | 〇 |
php 7.x 対応 | 〇 |
セキュリティパッチの自動適用 | 〇 |
サービス状態の自己監視 / 再起動 / サーバ管理者へ通知 | 〇 |
サードパーティソフト 対応 | 〇 |
HA 対応 | 〇 |
マルチドメイン 対応 | 〇 |
CentOS / RedHat 7.x 対応 | 〇 |
Powered BLUE 870/OTPはWebサイト機能を有しており、Webページのデータをインポートするだけで2要素認証のWebサイトを簡単に構築&運用が出来ます。
一般のWebサイトの他、グループウエア(サイボウズ・デスクネッツ)、Web Mail(Roundcube)、オンラインストレージ(ownCloud)、フリープラグインによるWordPressでのWebページの作成・メンテナンスも出来ます。
Let’s Encryptにも対応しており、Webサイトの常時SSL化&SSLサーバー証明書の取得から自動更新までを、ひとり情シス環境でも負担をかけずに運用することも出来ます。
また既存で運用のWebサーバーに対しては、多要素認証後のリバースプロキシ機能によるリダイレクトにより、既存のWebシステム側を変更することなく簡単に認証機能を強化することができます。
仮想サイトを作成
例 test-opt.mubit.com
Webページ
作成した仮想サイトには、デフォルトでindex.htmlが自動作成されています。このindex.htmlファルを適宜変更して、Webページを作成する もしくは フリープラグインでWordPressをインストールしてWebページを作成する事も出来ます。
デフォルトのindex.html
サイトのWebページは、フリープラグインのWordPressでの作成も出来ます
WordPressインストール
フリープラグインでWordPressを選択します。
Webの作成
ブログを作成する ボタンを押します
WordPressはインストール後に、最新バージョンへのアップデートも出来ます。
WordPressはインストール後に、アップデートも可能です。 WordPressのバージョンアップの方法
WordPressへの各種プラグインや操作&変更などは、通常のWordPressと同様の操作や運用が出来ます。
WordPressのインストール詳細
Powered BLUE 870 へのWordPressのインストール&設定を参照
仮想サイトのWebページをLet’s Encrypt/自動更新対応で常時SSL化する場合には、
Powered BLUE870の仮想サイトへLet’s Encryptを設定を参照
ワンタイムパスワード認証の設定
Webアクセス時のワンタイム・パスワード認証を設定します
任意のディレクトリにワンタイムパスワード認証が設定可能です
- 仮想サイト & 認証のディレクトリ(例 トップdir / にワンタイムパスワード認証設定の場合 )
ユーザー認証設定
ユーザーへワンタイムパスワード認証を許可します
QRコードの表示
- ソフトウエア・トークンを起動して、QRコード(2次元バーコード)をスマフォで読み撮り登録します
- QRコードは、ユーザー毎に異なります
- QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
認証ステップ
1)ワンタイムパスワードを表示させる
2)アカウントやワンタイムパスワードを入力
3)認証後にWebが表示
多要素認証
Powered BLUE 870/Multi-Authは、Webサイトへアクセス時の
- ワンタイムパスワード認証
- SSLクライアント認証
の2つの認証方式に対応しています。2つ同時の認証やそれぞれの個別の認証設定が可能です。
多要素認証時のアクセス例
1)ワンタイムパスワードの表示
2)SSLクライアント認証後にWebサイトにアクセス
3)ID/パスワード/ワンタイムパスワード入力
4)ワンタイムパスワード認証の成功後 Webサイトの表示
利用シーン
- サイトやディレクトリ毎に異なる認証の設定をしたい場合
- SSLクライアント認証(時間・曜日などでのアクセス制限が可能)
- ワンタイムパスワード認証(ソフトウエア・トークンの配布が簡単)
SSLクライアント認証のアクセス制限
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
運用例
運用例-1 Webサイト全体に認証を適用
運用例-2 Webサイトの特定のディレクトリに認証を適用
運用例-3 社員向けには、SSLクライアント認証
運用例-4 会員向けには、ワンタイムパスワード認証
運用例-5 VIP向けには、SSLクライアント認証&ワンタイムパスワード認証の併用
既存Webサイトの認証強化
Powered BLUE 870/OTP–Revは、仮想サイト上でのワンタイムパスワード認証&リバースプロキシの同時運用にも対応しており、ワンタイムパスワード認証後に既存で運用のWebサイトへリダイレクトさせることも出来ます。
リバースプロキシの設定画面
Powered BLUE 870/OTPでのリバースプロキシの設定 例
ワンタイムパスワード認証対応リバースプロキシ連携 例
- Sharepoint
- RocketChat
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
- MosP勤怠管理/人事管理/給与計算
- 社内Web
- 他
Sharepointへのワンタイムパスワード認証(2段回認証)
サイボウズへのワンタイムパスワード認証(2段回認証)
RocketChatへのワンタイムパスワード認証(2段回認証)
デスクネッツへのワンタイムパスワード認証(2段回認証)
NTTデータイントラマートへのワンタイムパスワード認証(2段回認証)
X-pointへのワンタイムパスワード認証(2段回認証)
楽々ワークフローIIへのワンタイムパスワード認証(2段回認証)
eValue NSへのワンタイムパスワード認証(2段回認証)
FileBlogへのワンタイムパスワード認証(2段回認証)
Power eggへのワンタイムパスワード認証(2段回認証)
MosP勤怠管理へのワンタイムパスワード認証(2段回認証)
SSLクライアント認証に対応のWeb
「Powered BLUE Private CA」 は、WebサイトのSSLクライアント認証での運用に対応
多要素認証に対応のWeb
「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。医療関係などのより高度な認証を必要とするケースでの運用にも対応しています。
オールインワンでSSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシの運用が出来ます。
- Webサイト構築・管理機能
- SSLクライアント認証&ワンタイムパスワード認証に対応
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
認証ステップ
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証
3)アカウントやワンタイムパスワードを入力
4)認証後にリバースプロキシ先のWebを表示
運用先
ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、
- VMware / Hyper-V
- AWS/EC2 (AMI対応)
- Azure
- FUJITSU Hybrid IT Service FJcloud-O / 富士通
- ニフクラ / 富士通クラウドテクノロジーズ
- Enterprise Cloud / NTT communications
- スマートコネクトVPS / NTTスマートコネクト
- WebARENA / NTTPC コミュニケーションズ
- ALTUS (アルタス)/ GMOクラウド
- conoha / GMOインターネット
- 使えるクラウドVPS / 使えるねっと
- Kagoya Cloud / カゴヤジャパン
- VPS
などでも運用が可能です。
冗長構成
ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチリージョンでのワンタイムパスワード認証対応のWebサイトの運用にも対応しています
ロードバランサーとの組み合わせ
マルチリージョンでの構成
・リージョンA / 東日本データセンタ
・リージョンB / 西日本データセンタ
デモサイト
ワンタイムパスワード認証の操作などのデモが出来ます
終わりに
ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。