NTTデータ社のワークフロー製品、「Intra-mart ワークフロー」へのアクセスに際して、Powered BLUE 870/OTPを利用してワンタイムパスワード認証を行った上で、2段階認証でイントラマートワークフローへアクセスする場合の設定例。
構成例
Powered BLUE 870/OTP を利用します
- ワンタイムパスワード認証
- リバースプロキシ(認証後にIntra-martワークフロー稼働サーバーへリダイレクト)
などの機能をPowered BLUE 870/OTP 1台で運用出来ます。パスワードやIDの詐称による、「なりすまし」防止が出来ます。自社のポリシーに即したワンタイムパスワード認証を運用可能です。
すでに稼働中のイントラマートに、ワンタイムパスワード認証&リバースプロキシ経由でのアクセスによる2段回認証の機能を付加することが出来ます。
「Powered BLUE 870/OTP 」のベースとなるCentOS で動作する「Powered BLUE 870 」インターネットサーバーは、AMIとして登録しています。ウイザードに従って簡単にセットアップが出来ます。
AWS / AMI でのPowered BLUE サーバーのセットアップ方法
に沿って、「Powered BLUE 870」サーバーの設定します。
仮想サイトを作成
Webサイトを運用する仮想サイトを作成します
例 test-opt.mubit.com
認証設定
仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する
- 仮想サイト&ディレクトリを指定
- 例 サイトのトップdir / に 認証設定の場合
- SSL接続強制の有無
などを指定します
ワンタイムパスワード認証設定
- ユーザーを登録(ユーザーの一括登録も出来ます)
- ユーザー毎にへワンタイムパスワード認証を許可/不許可を設定します
- 例 鈴木 二郎 へワンタイムパスワード認証を有効に設定
共有鍵の表示
- ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
- QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)
主なソフトウエアトークン(クライアント用のソフト)
Google ,Amazon ,Microsoft ,Facebook ,Powered BLUE 870/OTPなどのWebサイトへのアクセス時にユーザーが利用出来るワンタイムパスワードの汎用的な無償のソフトウエアトークンのソフトとしては
- Google Authenticator ( iOS/Android対応)
- IIJ SmartKey ( iOS/Android対応)
- Authy ( iOS/Android/Windows/Mac/Linux対応)
- WinAuth ( Windows対応)
などがあります。
利用端末の設定例
ユーザーが利用する端末へのソフトウエアトークンのインストール方法は
を参照下さい
リバースプロキシ設定&有効化
プライベート認証局のサイトにアクセスしたクライアントを、ワンタイムパスワード認証後にリバースプロキシで指定した、NTTデータイントラマートの稼働サーバーへリダイレクトさせます。
例 https://ワンタイムパスワードのサイト/intra/ -> https://192.168.10.1/intra/
ワンタイムパスワード表示
ログイン認証
ワンタイムパスワードなどの入力
認証後は、リバースプロキシでイントラマートのログイン画面へリダイレクト
デモサーバー
Powered BLUEの サーバーのデモ
Powered BLUE Private CA / SSLクライアント認証&リバースプロキシ
SSLクライアント認証に対応のモデル
プライベートCAとSSLクライアント認証&リバースプロキシーを1台で運用が出来ます
Powered BLUE Web Station / 多要素認証&リバースプロキシ
- SSLクライアント認証
- ワンタイムパスワード認証
- リバースプロキシ
- インターネットサーバー機能
までを1台で運用できる Powered BLUE Web Station も選択可能です
Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。多要素認証でさらに高い安全性を確保したい場合に有効です。
終わりに
ワンタイムパスワード認証やSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。