富士通が運用するOpenStackのクラウド基盤 Fujitsu Cloud Service for OSS(4OSS) 上にWebアクセス時のワンタイムパスワード認証機能付きのWebサーバーを構築します。一般的なOpenStackでも、同様の構成でワンタイムパスワード機能付属のWebサーバーの運用が出来ます。
Fujitsu Cloud Service for OSS(4OSS)
- Webサイトの構築&運用
- Webアクセス時のワンタイムパスワード認証
- リバースプロキシ(既存Webサービスとの連携)
に対応させることにします。
Webへのアクセス認証は、従来のID/パスワードに加え、ワンタイムパスワードの多要素認証 / Multi Factor Authenticationに対応させます。リモートワークやテレワーク時のスマフォやPCなどの端末からも、Webサイトへ安全にアクセスさせることが出来ます。
構築方針
- CentOS / RedHat 7.x で運用する
- Webへのアクセス認証は多要素認証に対応する
- クライアント側も導入しやすい事(費用・汎用性)
- 汎用的なソフトウエアトークンに対応している事(低価格)
- システムの導入・運用&保守が簡単な事(ひとり情シス対応)
- サーバーは自社管理でも運用出来ること
- 既存Webへの認証連携のため、リバースプロキシにも対応している事
ワンタイムパスワードとしては、ハードウエア・トークンやソフトウエア・トークンなどの各種の方式があります。ハードウエアトークン(パスワード生成器)は、専用のハードの為に導入時に費用がかさみますがソフトウエア・トークンの場合には、OSSや無償のソフトなどもあり、導入時のコストを大幅に抑えることが出来ます。
ワンタイムパスワード認証を利用した各社のWebサービスとしては
- Amazon
- Microsoft
- Dropbox
- 仮想通貨のサイト
- インターネットバンキング
などがあります。これらのサービスは、時間ベースのワンタイムパスワード方式(TOTP)を採用しています。
RFC 6238で規定されたTOTP/時間ベースのワンタイムパスワードでは、サーバーとクライアントで共有する秘密鍵(共有鍵)と現在時刻から、認証コードを計算するアルゴリズムで一定時間毎(例 30秒毎)に、ワンタイムパスワードでの認証コードが変わります。パスワードが盗まれてもすぐに廃棄されるので安心です。秘密鍵はユーザー毎に異なります。
TOTPに対応した無償で利用出来る汎用的なクライアント・ソフト(ソフトウエアトークン)としては
Google Authenticator
- iOS/androidに対応
- バックアップ機能なし
Authy
- iOS/android 対応
- Windows/Mac/Linux 対応 (Chromeブラウザの拡張機能)
- Chrome OS 対応
- バックアップ機能あり
iiJ SmartKey
- iOS/android 対応(日本語対応)
WinAuth
- Windows 対応
などです。他にもRFC 6238に準拠したTOTPに対応の有償のハードウエアトークンやソフトウエアトークンなどもあります。
使用するもの
サーバー側の機能の条件を満たすサーバーとして、CentOS /RedHatで動作する
「Powered BLUE 870/OTP 」を利用します。
このサーバーは、GUIからの操作で全ての設定/運用/保守が行なえるオールインワンのアプライアンス・サーバーです。ひとり情シス環境でも簡単に運用が出来ます。またSSLクライアント認証との併用も可能です。(多要素認証 /Multi Factor Authentication)
「Powered BLUE 870/OTP 」のワンタイムパスワードの方式としては、Google、Amazon、Microsoft、Facebook、仮想通貨のサイトなどでも、一般的に使われているGoogle Authenticator(*1) やFreeOTPのトークン(パスワード生成器)のフォーマットに対応しています。
(注意 *1 Google などのアカウントやサービスを利用しているわけではありません)
ユーザー側では、無償で利用出来る Google Authenticator / Authy / iiJ SmartKey / WinAuth などのソフトウエアトークンで「Powered BLUE 870/OTP 」のワンタイムパスワード認証機能を利用することが出来ます。
Fujitsu Cloud Service for OSS(4OSS)にCentOS/RedHat対応のPowered Blueをセットアップする
に沿って、「Powered BLUE 870」サーバーの設定します。
仮想サイトを作成
Webサイトを運用する仮想サイトを作成します
例 test-opt.mubit.com
Webページを作成
仮想サイトにWebページを作成。Webページは、手動でのWebページデータの設置の他に、フリープラグインのWordPressでのWebページの作成も出来ます
Powered BLUE へのWordPressのインストール&設定を参照
仮想サイトのWebページをLet’s Encrypt/自動更新対応で常時SSL化する場合には、
Powered BLUEの仮想サイトへLet’s Encryptを設定を参照
認証設定
仮想サイトのWebへアクセス時にワンタイム・パスワード認証を設定する
- 仮想サイト&ディレクトリを指定
- 例 サイトのトップdir / に 認証設定の場合
- SSL接続強制の有無
などを指定します
共有鍵の表示
- ユーザ側のソフトウエアトークンを起動して、QRコードをスマフォで読み撮り共有鍵を登録します
- QRコード読み撮りのカメラの無いPCなどへもコード表示で共有鍵の登録が出来ます(文字列表示)
利用端末の設定
ユーザーが利用する端末へのソフトウエアトークンのインストールは
を参照下さい
アクセス手順
1)ソフトウエアトークンでワンタイムパスワードの表示
2)Webサイトにアクセス ID / パスワード / ワンタイムパスワード入力
3)2要素認証の成功後 Webサイトの表示
運用例
学習塾のWebページを運用
- トップページは、全世界にアクセスを許可
- 特定のディレクトリ以下は、学習塾の生徒にのみワンタイムパスワード認証でアクセスを制限
- スマフォアプリ(ソフトウエアトークン)はApp Store/Google Play公式サイトから無償で入手
- 小学1-2年の生徒さんでも、スマフォのアプリ(ソフトウエアトークン)のインストールが可能
企業のWebページを運用
- トップページは、全世界にアクセスを許可
- 特定のディレクトリ以下は代理店向けの製品サポートのため、ワンタイムパスワード認証でアクセスを制限
商品販売のWebページを運用
- トップページは、全世界にアクセスを許可
- 特定のディレクトリ以下は,プレミア品のため、会員のみにワンタイムパスワード認証でアクセスを制限
リバースプロキシ連携
「Powered BLUE 870/OTP 」はリバースプロキシも同居させての運用(オールインワン運用)にも対応しています。
ワンタイムパスワード認証後に、既存のWebサービスにリダイレクトさせることが出来ます。
既存の環境にも簡単に導入が出来るため、働き方改革によるリモートワークやテレワーク環境をすぐに運用出来ます。
リバースプロキシでのリダイレクト
リバースプロキシによるワンタイムパスワード認証(OTP)と既存のWebサービスとの連携の例 /2段階認証
- MosP勤怠管理
- NTTデータ イントラマートワークフロー
- エイトレッド X-point
- NIコラボスマート
- 楽々Workflow II
- eValue NS
- サイボウズ
- デスクネッツ
- Active! mail
- Powere egg
- RoundCube
- Aipo
- WaWaOffice
- Seagull Office
- OpenWebMail
- Zabbix
- Proself
- FileBlog
- 他
デモサイト
Powered BLUE 870/OTP の運用先としては、富士通の Fujitsu Cloud Service for OSS (4OSS) 以外にも
- AWS
- Azure
- Enterprise Cloud / NTTコミュニケーションズ
- スマートコネクトVPS / NTTスマートコネクト
- WebARENA / NTTPC コミュニケーションズ
- ALTUS(アルタス)/ GMOクラウド
- VMware / Hyper-V
- VPS
などでも運用が可能です。
多要素認証
ワンタイムパスワード認証に加えて、SSLクライアント認証の併用での多要素認証も可能です。医療機関など、高度なセキュリティを必要とするシーンで利用出来ます。
デモサーバー
Powered BLUEの デモサーバー
4OSS GUIからの操作
超簡単 Fujitsu Cloud Service for OSS (4OSS)を初期設定する
4OSS リモートコンソールの利用設定
4OSS Ansibleでの操作
Ansibleで4OSSのNetWork構築やサーバー設定を行なう
4OSS メモリスワップの追加
4OSSのLinuxサーバーにmemory swap を設定する
4OSS Webサーバーを構築
4OSS SSLクライアント認証Webを構築
4OSS ワンタイムパスワード認証Webを構築
4OSS Webをロードバランスする
4OSSでWeb/https (443) をロードバランスする
4OSS SSLクライアント認証&リバースプロキシ
4OSSでクライアント認証後に既存Webへリバースプロキシ転送する
4OSS ロードバランサ&SSLクライアント認証&リバースプロキシ
4OSSでロードバランサー配下でクライアント認証後に既存Webへリバースプロキシ転送する
4OSS 多要素認証&リバースプロキシ対応のWebを構築
富士通マーケットプレース
Fujitsu MetaArc Marketplace / Fujitsu Cloud Service for OSS (4OSS)
Fujitsu Cloud Service for OSSのマーケットプレイス