ワンタイムパスワード認証(OTP)に対応のリバースプロキシ経由で社内のバックエンドのWebへアクセスする場合の構成例です。リバースプロキシを冗長化(HA)で運用します。GSLBによるMulti-AZ環境での運用に対応しています。
既存で運用のバックエンドのWebサイト側の変更は不要です。HA対応のワンタイムパスワード認証機能付きリバースプロキシを設置するだけの簡単導入に対応しています。リバースプロキシの運用先もAWSやクラウド、仮想環境など任意の場所で運用が可能です。
リバースプロキシ/Reverse Proxy
一般的なリバースプロキシは
【1】標準的なリバースプロキシ | リバースプロキシ&認証なし |
今回は、HA&ワンタイムパスワード認証対応の
【2】HA&OTP対応リバースプロキシ | 冗長化&リバースプロキシ&ワンタイムパスワード認証 |
を構築&運用します
ワンタイムパスワード認証機能付のリバースプロキシ
今回利用する
「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に
- ワンタイムパスワード認証
- ID/パスワード認証
- リバースプロキシによるリダイレクト
- Active-ActiveのHA(Master-Slave)での動作に対応
までを構築&運用出来るアプライアンスです。
ソフトウエアトークン対応
ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。
ソフトウエアトークンの設定
ユーザーが利用するPCやモバイル端末で利用できる無償のソフトウエアトークンの設定例
Google Authenticator のインストール & セットアップ方法
WinAuth のインストール & セットアップ方法
Authy のインストール & セットアップ方法
IIJ SmartKey のインストール & セットアップ方法
クラウドや仮想対応
AWS/Azureなどのクラウド環境や、VMware/Hyper-vなどの仮想環境での運用にも対応しています。仮想環境へ仮想アプライアンスのイメージをインポートするだけで、すぐに自社管理のワンタイムパスワード認証機能付きのリバースプロキシの運用が可能です。
ワンタイムパスワード/OTPの設定、発行、ユーザー管理やリバースプロキシの構築や認証設定、サーバーの運用やメンテナンスまでをGUIの操作から簡単に行なえます。
AWSでの構築
ワンタイムパスワード認証の設定(1台目:マスター)
Webアクセス時のワンタイム・パスワード認証を設定します
任意のディレクトリにワンタイムパスワード認証が設定可能です
- 仮想サイト & 認証のディレクトリ(例 トップdir / にワンタイムパスワード認証設定の場合 )
ユーザー認証設定(1台目:マスター)
ユーザーへワンタイムパスワード認証を許可します
例 鈴木 二郎 へワンタイムパスワード認証を有効に設定
秘密鍵の共有フロー
QRコード(共有鍵)の表示
- ソフトウエア・トークンを起動して、QRコード(2次元バーコード)をスマフォで読み撮り登録します
- QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
- QRコードは、ユーザー毎に異なります
リバースプロキシの設定画面(1台目:マスター)
ワンタイムパスワード認証&リバースプロキシ
https://xxx.yyy.com/ —-> https://www.powered.blue/
冗長構成
「Powered BLUE 870/OTP」はマスター&スレーブの冗長構成での運用に対応しています。
HAでは1台目のマスター側の設定情報を2台目以降のスレーブ側と同期します。
HA運用に際して
管理者は、マスター側のサーバーのリバースプロキシやSSLサーバー証明書、およびユーザーアカウントをメンテするだけでスレーブ側は自動で同期するため、冗長構成時の運用でも管理者の負担を増やしません。
ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。
ロードバランサー配下での運用
シングルAZ + ロードバランサー
マルチAZでの運用
- リージョンA / 東日本データセンター
- リージョンB / 西日本データセンター
認証ステップ
1)ワンタイムパスワードを表示させる
2)リバースプロキシにアカウントやワンタイムパスワードを入力
3)ワンタイムパスワード認証後にリバースプロキシ先のWebが表示
リバースプロキシ先のWebアプリなど
SharePointへ
Roundcubeへ(Webmail)
RocketChatへ
サイボウズへ
デスクネッツへ
WordPressへ
デモサイト
Powered BLUE のデモサイトを用意しています
ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます
終わりに
ワンタイムパスワードやSSLクライアント認証でWebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。