OTP-ワンタイムパスワード認証付属のリバースプロキシを構築/AWSやHA対応

OTP / ワンタイムパスワードとID/パスワードの2要素認証/多要素認証(Multi Factor Authentication ) 対応のリバースプロキシの構築・運用例です。

自社管理で運用出来るワンタイムパスワード認証に対応のReverse Proxy経由で、LAN側に設置のWebサイトへアクセスさせることが出来ます。HAやマルチリージョンでの冗長化にも対応しています。

既存で運用のWebサイト側の変更は不要です。ワンタイムパスワード認証に対応のリバースプロキシを設置するだけで簡単にワンタイムパスワード認証システムの導入が出来ます。

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-rev-1-1.png

 

 

リバースプロキシ/Reverse Proxy

一般的なリバースプロキシは

【1】標準的なリバースプロキシ リバースプロキシ&認証なし

 

今回は、ワンタイムパスワード認証対応の

【2】OTP対応リバースプロキシ リバースプロキシ&ワンタイムパスワード認証

を構築&運用します

 

セキュアなアクセスに対応

ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。

https://www.mubit.co.jp/sub/products/img2/otp-3.png

 

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

https://www.mubit.co.jp/sub/products/blue/img2/pb-vm-3.png

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

  • ワンタイムパスワード認証
  • ID/パスワード認証
  • リバースプロキシによるリダイレクト

までを1台で構築&運用出来るアプライアンスです。HA機能なども有しています。

 

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例

Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法

 

仮想環境やクラウド対応

VMware/Hyper-vなどの仮想環境での運用やAWS/Azureなどのクラウド環境にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。

https://www.mubit.co.jp/sub/products/blue/img2/ovf2.gif

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2020/08/hyper-v-3.png

ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。

 

AWSでの構築

https://www.mubit.co.jp/sub/products/blue/img2/Powered-by-Amazon-Web-Services.jpg

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE のAWSでの構築&設定例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-select02-1024x907.png

 

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

任意のディレクトリにワンタイムパスワード認証が設定可能です

  • 仮想サイト & 認証のディレクトリ(例 トップdir /  にワンタイムパスワード認証設定の場合 )

 

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例 鈴木 二郎 へワンタイムパスワード認証を有効に設定

 

QRコード(共有鍵)の表示

  • ソフトウエア・トークンを起動して、ユーザーごとのQRコード(2次元バーコード)をスマフォで読み撮り登録します
  • QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
  • QRコードは、ユーザー毎に異なります

https://www.mubit.co.jp/sub/products/blue/img2/otp-32.png

 

QRコードの登録&表示

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

 

リバースプロキシの設定画面

ワンタイムパスワード認証&リバースプロキシ

https://xxx.yyy.com/   —-> https://www.powered.blue/

*複数のリバース先を指定できます

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)リバースプロキシにアクセス(アカウントやワンタイムパスワードを入力)
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-login-1.png

 

リバースプロキシ先のWebアプリなど

SharePointへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/share-point-1.png

 

RocketChatへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/11/rocketchat-login-1.png

サイボウズへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png

 

デスクネッツへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/desknets-neo-proxy02.png

 

WordPressへ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

 

HA / 冗長化

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

 

ロードバランサー配下での構成

  • シングルAZ + ロードバランサー

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-2.png

 

マルチAZでの構成

  • マルチAZ + GSLB or Route53
  • リージョンA 日本データセンター
  • リージョンB 米国データセンター

https://www.mubit.co.jp/sub/products/blue/img2/multi-otp-rev-3.png

 

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用(多要素認証)での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-1.png

  • Webサイト構築・管理機能
  • SSLクライアント認証&ワンタイムパスワード認証に対応
  • リバースプロキシ
  • インターネットサーバー機能

までを1台で運用できる https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用(多要素認証)およびリバースプロキシも同時に運用が出来ます。

 

SSLクライアント認証でのアクセスコントロール

  • SSLクライアント認証の有効化

https://www.mubit.co.jp/sub/products/blue/img2/ssl-access-1.png

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止

https://www.mubit.co.jp/sub/products/ca/img2/ssl-access-3.png

 

認証ステップ

1)ワンタイムパスワードを表示させる
2)SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

https://www.mubit.co.jp/sub/products/blue/img2/otp-ca-login-1-1.png

 

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870 のデモサイト

 

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

  • VMware / Hyper-V
  • AWS/EC2 (AMI対応)
  • Azure
  • FUJITSU Cloud Service for OSS (4OSS) / 富士通
  • Enterprise Cloud / NTT communications
  • スマートコネクトVPS / NTTスマートコネクト
  • WebARENA / NTTPC コミュニケーションズ
  • ALTUS (アルタス)/ GMOクラウド
  • VPS

などでも運用が可能です。

 

終わりに

ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。