モバイルPCやスマートデバイスのブラウザを利用して、社内LAN側のWebシステムへ社外/WANから安全にアクセスさせる方法について
インターネット側に、認証機能に対応のリバースプロキシを設置して「認証後」に社内のWebへリダイレクトさせることが出来ます。社内Web側の認証機能が「弱い」もしくは「認証がない」場合でも、運用ができます。
例 社内に設置のSharepoint へのアクセス
例 社内のWebMailへのアクセス
リバースプロキシの特徴
- ブラウザで利用可能
- モバイル端末用の閉域網やVPNは不要
- ターゲットWebの改修不要
- リバースプロキシ先のWebサーバーを外部から隠蔽
今回は、認証機能に対応のリバースプロキシとして「Powered BLUE リバースプロキシ 」アプライアンスを利用します。
リバースプロキシでの認証方法
認証方式としては
-
-
- ワンタイムパスワード認証 (OTP認証)
- SSLクライアント認証 (証明書認証)
- AD認証
- SAML / OIDC認証 (シングルサインオン)
- FIDO2 / WebAuthn(生体認証)
-
など
複数の認証を組み合わせての運用や、ユーザーやリバースプロキシ先のタ―ゲットのWebサイトに応じて認証方式を変更しての運用も可能です。
各種のリバースプロキシの認証方式の特徴・比較
認証方式 | 特徴 |
ワンタイムパスワード認証 | 無償のソフトウエア・トークンなどで導入費用を抑える事が可能
使い捨てパスワードの為、安全性が高い アクセス時に毎回パスワードを入力する必要がある |
SSLクライアント認証 | 証明書に有効期限がある
曜日や時簡帯によるアクセス制限が可能 証明書の失効などでのアクセス制限が可能 パスワードの入力は不要 |
AD認証 | Windowsで広く使われている認証方式
LDAPなどに対応 SSLクライアント認証などとの併用も可能 |
SAML/OIDC認証 | 既にiDaaS/IdPなどを利用の場合に導入が可能
パスワードの代理入力機能によるSSO対応 HTTPヘッダ方式でのユーザー情報の転送によるSSO対応 リバースプロキシ上での独自認証の設定が可能 |
生体認証 | FIDO2 / WebAuthn の生体認証に対応
スマートフォンやタブレット、PCの生体認証を利用 パスワードの代理入力機能によりSSOに対応 リバースプロキシでのパスワードレス認証が可能 |
Powered BLUE リバースプロキシの特徴
各種の認証に機能に対応のリバースプロキシとして、Powered BLUE リバースプロキシを利用します。
- アプライアンス(仮想 / クラウド / ハードウエアに対応)
- 任意の場所での運用
- 自社管理での運用
- 電源オンですぐに運用
- ひとり情シスでの運用
リバースプロキシの設定例
・複数のリバース先を設定可能
・リバース先のポート( http / https / 任意のポート番号)を指定可能
・終端までSSL通信での運用が可能 (End-to-EndのSSL通信)
【1】 OTP/ワンタイムパスワード 認証付属 リバースプロキシ
google authenticatorなどの無償のソフトウエア・トークン対応
QRコード / 2次元バーコード対応
ワンタイムパスワードのユーザー管理・認証とリバースプロキシを1台で運用
対応のモデルは Powered BLUE 870 / OTP & Reverse Proxy
【2】SSLクライアント 認証付属 リバースプロキシ
Private CA機能を有しており、SSLクライアント証明書の発行・管理・認証とリバースプロキシまでを1台で運用
対応のモデルは Powered BLUE Private CA & Reverse Proxy
【3】 ワンタイムパスワード認証+SSLクライアント認証付属 リバースプロキシ (多要素認証)
Private CA機能をとSSLクライアント証明書の発行・管理・認証およびワンタイムパスワード認証とリバースプロキシまでを1台で運用
認証の併用やそれぞれの単独認証などユーザーやリバース先などで、利用の認証を変えることが可能
対応のモデルは Powered BLUE Web Station
【4】 AD認証付属 リバースプロキシ
社内のADと連携出来ます。AD認証に対応のリバースプロキシとして動作
Kerberos認証やLDAP認証に対応
対応のモデルは Powered BLUE Reverse Proxy for AD
【5】 SSLクライアント認証+AD認証付属 リバースプロキシ
社内のADと連携出来ます。「SSLクライアント認証とAD認証」に対応の多要素認証のリバースプロキシとして動作
対応のモデルは Powered BLUE Reverse Proxy for AD
【6】 SAML/OIDC認証対応 リバースプロキシ
既存のID / パスワード認証のWebを改修することなくシングルサインオンを構成します。
iDaaS/idpと連携して、SAML/OIDC認証に対応のID認識型リバースプロキシとして動作します。
リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応(ターゲットWeb側の改修は不要で構成できます)
iDaaS/idp としては、SAML やOIDC認証 に対応の Azure AD / G Suites / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / Keycloak 他 と連携出来ます
代理認証
リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証
- ユーザー操作でのWebへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
対応のモデルは Powered BLUE Reverse Proxy for SSO / IDaaS
【7】 SAML/OIDC 認証付属 リバースプロキシ+SSLクライアント認証
iDaaS/idPのSAML/OIDC認証とは別に、自社管理で運用するリバースプロキシ上でSSLクライアント認証やワンタイムパスワード認証の設定にも対応
リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応
社内Webへのアクセスに際して、IDaaSとは異なる自社のポリシーに準じた独自の認証を設定して運用する場合には有効です
ID認識型リバースプロキシ+SSLクライアント認証
代理認証
リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証
- ユーザー操作でのWebへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
対応のモデルは Powered BLUE Reverse Proxy for SSO / IDaaS
【8】 FIDO2/生体認証対応リバースプロキシ
スマートフォンやタブレット、PCなどのFIDO2 / 生体認証機能に対応のリバースプロキシとして、パスワードレス認証で運用できます。
リバースプロキシからWebへのID/パスワードの代理入力機能により、シングルサインオンでの運用に対応
代理認証
リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証
- ユーザー操作でのWebへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
対応のモデルは Powered BLUE Reverse Proxy for SSO / IDaaS
【冗長化】
ロードバランサー配下での運用構成
シングルAZ + ロードバランサー
マルチAZでの運用構成
異なるアベイラビリティゾーン(AZ)での運用により耐障害性の向上
マルチAZ + GSLB
運用先 例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター
WAN側Webへの認証強化
WAN側設置のWebへアクセスを「認証対応のリバースプロキシ経由に限定」
認証機能のない社内Webサーバーをクラウドの公開基盤側に移設して運用する場合にも、セキュリティレベルを確保できます
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます
【お問合せ】