認証機能付きWebサーバーを自社運用 / SSO・SAML認証 / ワンタイムパスワード認証 / SSLクライアント認証に対応

【3】SSLクライアント認証対応のWeb

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/SSL-client-1.png

Webのアクセスに、SSLクライアント認証での運用が出来ます。https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 Private CA付属モデルを利用します。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでの運用が出来ます。

Private-CAとSSLクライアント認証の各サーバー機能を1台で運用することが出来ます。

https://www.mubit.co.jp/sub/products/ca/img2/ca-ssl-allinone1.png

SSLクライアント認証 例

グループウエアへのアクセス例
SSLクライアント証明書 〇   SSLクライアント証明書 ✕

https://www.mubit.co.jp/sub/products/ca/img2/ssl-2.png

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

【4】SSO・SAML認証対応のWeb

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/saml-24-1.png

自社のWebサイトをSAML2.0に対応のSP(サービスプロバイダ)機能を持つWebサーバーで構築して、シングルサインオンで運用する構成例です。

IDaaSなどのidPと連携して一般的なWebページやWordPressで作成のWebページのサイトをSAML2.0/SSOでアクセスさせます。またSP/Webの2重化による負荷分散での運用も可能です。

ユーザーアカウント不要

SPとなるWebサーバーには個別ユーザーのアカウントを作成することなく、SAML認証でWebへアクセスさせることが出来ます。また部門や社員、会員ごとにWebへのアクセスコントロールの設定・運用にも対応。Webサーバー側にユーザーアカウントがないため、SP側からアカウント漏洩の心配はありません。

こんな使い方ができます

1)LANでの運用例 SP/社内専用のWebサーバーをLAN内に設置

  • 社内用のWebサーバーをLAN内に設置
  • idPはAzure ADのSAML認証を利用
  • 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
  • Webサーバー上には、ユーザーアカウントは不要

2)WANでの運用例 SP/公開用のWebサーバーをWAN側に設置

  • Webサイトを作成
  • トップページはワールドワイドに公開
  • idPはAzure ADのSAML認証を利用
  • 特定のディレクトリは、社員・会員・代理店のみにアクセスを許可
  • Webサーバー上には、ユーザーアカウントは不要

3)利用例

  • アルバイト社員の勤怠表へのアクセス
  • 社員向け連絡版へのアクセス
  • 代理店向けの製品資料の閲覧やダウンロード
  • 会員向けの特定情報ページへのアクセス

こんなメリットがあります

  • Webサーバーにアカウントがないのでサーバーのメンテナンスが簡単
  • Webサーバーからのユーザーアカウント漏洩の心配は不要
  • Webサーバーへのアクセスにグループでのアクセス・コントロールが可能

SP(サービス・プロバイダ)

SPとしては、SAML2.0に対応したSSOのWebサーバー機能を持つ Powered BLUE Web for SSO/IDaaS」を利用します。

SSO/SAML対応のWebサイトを構築するような場合には最適な製品です。

この製品は

  • SAML2.0対応のWebサーバー機能
  • Web/Mail/DNS/ftp(インターネットサーバー機能)
  • WordPress /  Let’s Encrypt に対応
  • ひとり情シスでの運用に対応

のWebアプライアンスです。

CentOSやRedHat 上で動作し、AWSをはじめFujitsu Cloud Service for OSS(4OSS) / Enterprise Cloud などの国産クラウド環境や、VMware/Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

またCentOS/RedHatで動作するアプリやサードパーティのソフトを組込んでの運用も可能です。

idP(アイデンティティ・プロバイダ)

idPとしてはSAML2.0に対応した G Suite、Azure ADやTrustLogin、CloudGate UNO、HENNGE ONE(旧HDE ONE)、OneLogin、Okta等のIDaaSやOpenAM、KeycloakなどのidPと連携が出来ます。

SAML2.0の設定例

各社idPとSP「Powered BLUE Web for SSO/IDaaS」SAML2.0の認証を設定する例です

を利用します。

idPとSPにそれぞれ、SAML認証の設定を行います。

SAML2.0でのネットワーク構成例

SAMLは仕様上、idPとSPの直接の通信を行わない構成が取れます(SP-initiated SAML)

ユーザーのブラウザを経由して、idPとSP間の通信を行います(Web ブラウザ SSO)

SP(サービスプロバイダ)は任意の場所に設置&運用が出来ます(LAN内の設置でもWAN側のidPでの認証が可能)

SPとIdPの通信手順

1)ユーザーがブラウザでSP(Web)へアクセス
2)SPで認証要求メッセージを作成
3)ブラウザは認証要求メッセージをidPへ転送
4)idPは認証要求メッセージを受信
5)idPは認証応答メッセージを作成
6)ブラウザはidPからの応答メッセージをSPへ転送
7)SPが認証応答メッセージを受信&検証
8)ユーザーはSP上のWebサイトへログイン

LAN内に設置のWebサイト/spとidPの例

LAN側に設置のSP(サービスプロバイダ)上のWebサイトへのアクセス認証をWAN側のidPで実施

運用例-1

SP(Webサーバー)をLAN側に設置

  • 社内用のWebサーバーをLAN内に設置
  • 総務部・技術部・営業部など部門ごとにWebサイトへのアクセス制限を設定
  • Webサーバー上には、ユーザーアカウントは不要

運用例-2

SP(Webサーバー)をWAN側に設置

  • Webサイトを作成
  • トップページはワールドワイドに公開
  • 特定のディレクトリは、社員・会員のみにアクセスを許可
  • Webサーバー上には、ユーザーアカウントは不要

SP/Webの多重化

SP側のWordPressや一般のWebページを多重化して、ロードバランサでWebアクセス時の負荷分散をさせる構成にも対応しています。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/07/lb-sso-5.png

 

各種の認証製品は …..

続きを読む

 

ページ: 1 2 3 4