BIG-IP APMEdge Gatteway

BIGBIG‐‐IP APM SSOIP APM SSO機能概要機能概要BIGBIG‐‐IP APM SSOIP APM SSO機能概要機能概要BIGBIG‐‐IP APM10.2, Edge Gateway 10.2, IP APM10.2, Edge Gateway 10.2, 

F5ネットワークスジャパン株式会社

INDEXINDEX

■ SSOの概要

APMAPMのの33つのつの主な機能主な機能APMAPMのの33 のの主な機能主な機能

APMの3つの機能

Network Access機能Fi P のネットワ クアクセス機能をより強化したN t k A 機能によりSSLVPNによるリFirePassのネットワークアクセス機能をより強化したNetwork Access機能によりSSLVPNによるリモートアクセス機能を提供。さまざまなエンドポイントセキュリティ機能を持ちMac, Linux, Windowsでプロセス、ファイル、アンチウイルスチェックも可能。外部の認証ページとの連携も可能。(FirePassのネットワークアクセス機能に似た機能)( )

LTM VSへのアクセスポリシー (LTM VS AP)LTM VS のアクセスポリシ (LTM VS AP)LTMの持つHTTP(S) Virtual Serverのpoolへのアクセスに対してエンドポイントセキュリティの機能を

提供。これにより特定のサイトへのアクセスをするときにクライアントのセキュリティ要件を定義可能。WebアプリケーションとVSが1:1で対応。

Webアプリケーションプロキシ社内のWebアプリケーションを1:nで対応させてVSへアクセスした時に自動的に社内のWebアプリ社内のWebアプリケーションを1:nで対応させてVSへアクセスした時に自動的に社内のWebアプリケーションを表示する機能。FirePassのWebアプリケーションポータルと似た機能。(FirePassのログオンポータル画面は持たない)

APMの3つの機能

ログオン画面Access Profile

セキュリティ要件チェック

有効なクライアント証明書か指定したOS,パッチがあるか

ログオン画面に複数のパスワ

認証LDAP, RADIUS, AD, SecureMatrix, RSA SecurID, 外部ログオン画面

WebブラウザでAPMのVSのURIにアクセス

アンチウイルス製品の動作確認プロテクテッドワークスペースグループポリシー強制適用など自由に設定可能

ログオン画面に複数のパスワード欄を設定したり、ログオン画面自体を出さず、認証しないことも設定可能。

による認証などに対応。認証しないことも可能。

リソース割り当て

認証されたアクセスに対して下記の3つのいずれかの機能を提供

ネットワークアクセス(SSLVPN)

LTM VS

VPNと同じようなネットワークアクセストンネル(Network Access)を提供。

poolメンバーのWebサーバが提供するコンテンツをそのままクライアントへ返す。

(SSLVPN)

Web Application 社内ポータルWebサイトへ接続して

Proxy 社内のさまざまなリソースへアクセス

Network Access機能の仕組み

クライアントに仮想PPPダイアルアップアダプタを設定

実際のIPアドレス実際のIPアドレス

仮想VPNアドレス

192.168.192.5仮想VPNアドレス

192.168.192.5リモートクライアントからSSLVPN経由で内部のサーバに接続

クライアントのルーティングテーブルを書き換えて社内ネットワーク向けのトラフィックは仮想PPPダイアルアップアダ

実際のIPアドレス

205.229.151.10実際のIPアドレス

205.229.151.10サ 接続

HTT

タ ネフィックは仮想PPPダイアルアップアダプタからBIG‐IP Edge Gatewayを経由するように設定 External

165.197.145.148External165.197.145.148

TPS インターネット

※このため初回接続時にこれらを実行するコンポーネントをインストールするために管理者権限が必要。※環境によりダイアルアップアダプタの作成やhostsファ

イルの書き換えがクライアント上の侵入検知製品で検出

BIG‐IP Edge Gateway or APM

InternalInternalイルの書き換えがクライアント上の侵入検知製品で検出されてしまうことがある。

※SNAT無効の時は、各サーバ側またはルータの設定でも192.168.192.5のネットワークへの通信は172 16 20 254 行くようにル テ ングの設定を

172.16.20.254172.16.20.254

サーバから見たソースアドレス

172.16.20.254へ行くようにルーティングの設定を適切に行っておく必要がある。

サーバサーバ

SNATが有効な場合送信元: 172.16.20.254あて先: 172.16.20.20

SNATが有効な場合送信元: 172.16.20.254あて先: 172.16.20.20

SNATが無効な場合SNATが無効な場合 172.16.20.20172.16.20.20SNATが無効な場合送信元: 192.168.192.5あて先: 172.16.20.20

SNATが無効な場合送信元: 192.168.192.5あて先: 172.16.20.20

LTM VS AP

ネットワークアクセスで設定するアクセスポリシーをVirtual Serverに設定可能。こ

れにより 例えばファイルをアップロードするサイトでは あらかじめウイルス対策れにより、例えばファイルをアップロ ドするサイトでは、あらかじめウイルス対策製品が適切に動作していないとアクセスできないようにしたり、認証をAPMに任せて認証を通った端末のみアクセスできるようにすることが可能。

認証サーバ

アクセスポリシー例Mac□ファイルの存在チェック□ファイルの存在チ ックLinux□ファイルの存在チェックWindows□アンチウイルス製品の動作□アンチウイルス製品の動作□ ADへの登録□キャッシュログオン名と等しい

Webサーバ(pool)

Virtual Server

WebApplication AP

ログオンするとイントラネットWebサイトの内容が表示される

イントラネット側のWebサーバの実URIは隠蔽されVirtual ServerのFQDNの後にf5‐w‐xxxのように書きイントラネット側のWebサ バの実URIは隠蔽されVirtual ServerのFQDNの後にf5 w xxxのように書き換えられ、ブラウザの左上に水色のナビゲーションも表示される。これにより外側は1つのVirtual Serverでイントラネットのさまざまなページを渡り歩くことができる。SSOも可能。

SSOSSOSSOSSO

APMのSSO機能

SSOはクレデンシャルキャッシュ&プロキシ(Credential Caching & Proxying = CCP)とも呼ばれる機能で、APMにログオンしたユーザ情報を使用してAPMの背後にあるWebアプリケーションに対して再度認証し直すことなくアクセスできるようにすることができる機能です。この機能はWebアプリケーションのみサポートされ、下記の認証方法をサポートします。

NTLM v1NTLM v2BasicHTTP forms based

この機能は次のようなメリットがあります。1. 多種多様の認証サイトの管理とメンテナンスの一元化。

ザ認証を複数回行わせずにアクセ できる経路の提供2. ユーザ認証を複数回行わせずにアクセスできる経路の提供。

※CCPは真のSSOシステムではありません。SSOシステムは複数のサイトへのアクセスコントロールを提供しますが、一

般的には独立したソフトウェアシステムです。これにより一度ログオンすることで全てのシステムに再度認証することなくアクセスできるようになります にある はこうしたシステムを提供するものではありませんなくアクセスできるようになります。APMにあるSSOはこうしたシステムを提供するものではありません。

動作の流れ:1. ユーザーがAPMにアクセス

は ザセ シ ンを作成し 予め l で管理者により設定された ザ認証情報を取得2. APMはユーザセッションを作成し、予めAccess Policyで管理者により設定されたユーザ認証情報を取得3. Access PolicyによりAPMへのアクセスが許可されることでユーザのセッション情報・認証に必要な情報など全てがTMMのセッションデータベースにキャッシュされる4. ユーザーはAPMの背後にあるWebアプリケーションへのアクセスが許可される

内部の bSSOプラグインはセ シ ンデ タベ スにキ シ されている ザクレデンシ ルを取り出す5. APM内部のWebSSOプラグインはセッションデータベースにキャッシュされているユーザクレデンシャルを取り出す6. ユーザが背後のWebアプリケーションにアクセスし、必要に応じてWebSSOプラグインはキャッシュされたユーザクレデンシャル情報を元に認証を代行

SSO

BIG‐IP Edge Gatewayを使うことでイントラネットのWebアプリケーションへのシングルサインオン(SSO)を行うように設定することができる。LTM VS AP, Web Application 

の全てで が利用可能AP, Network Accessの全てでSSOが利用可能。

①BIG‐IP Edge Gatewayのログオン画面にログオン ②自動的にWebアプリケーションのログオンを実行し、① g y ②ユーザにはログオン後の画面が現れる(Webアプリケーションのログオン画面はブラウザには表示されない)

SKIPSKIP

BIG‐IP Edge Gatewayインターネット

リモートＰＣリモ トＰＣWebアプリケーション

Network Access SSO: 1:nWeb Application SSO: 1:nppLTM VS AP: 1:1

SSO: SSO HTTP BASICの設定

HTTP BASIC認証の場合はその認証で使用するIDとPasswordに対応するセッション変数を指定する。NTLMv1/v2の場合も同様。

SSOで使用するセッション変数を設定するSSOで使用するセッション変数を設定する

SSO: SSO HTMLフォームの設定

SSOの設定はWebアプリケーションのURLに対して行われる。設定にはWebアプリケーションのトップから(https://xxxの部分は不要)の絶対位置のみを指定。

/blog/mt‐cgi

のようにWebアプリケーションのログオン画面の

/blog/mt‐cgi

のようにWebアプリケーションのログオン画面の

SSOで使用するセッション変数を設定するSSOで使用するセッション変数を設定する

う ア リケ シ グオ 画面ディレクトリ位置を設定。

う ア リケ シ グオ 画面ディレクトリ位置を設定。

ログオン画面のHTMLで使われるフォームの変数名を指定ログオン画面のHTMLで使われるフォームの変数名を指定

ログオンに成功したことを何を持って調べるかを設定。HTTPフォーム認証と同じ設定項目があるログオンに成功したことを何を持って調べるかを設定。HTTPフォーム認証と同じ設定項目がある

SSO: LTM VS AP SSO

Access Profileの設定項目にあるSSOのところに使用したいSSO Configurationを選択。LTM VS APの場合はVSとWeb Application(pool)が1:1なのでここだけ。

SSO: WepApplication SSO

Webアプリケーションオブジェクトに対してSSOの設定を追加することで実現。

SSO: Network Access SSO①

APM VSとLayered VSAPMのAccess Profileが有効に設定された実Virtual Server(APM VS)にリモートPCかAPMのAccess Profileが有効に設定された実Virtual Server(APM VS)にリモ トPCから接続してNetwork Access (SSLVPNトンネル)を実現する

LAN側Webサーバと同一のIPアドレスを持ち、SSLVPN上でのみ有効にされ、SSOの設定を含むA P fil を持つ特殊なVi l S であるSSO Vi l S設定を含むAccess Profileを持つ特殊なVirtual ServerであるSSO Virtual Server (Layered VS)を構成。Layered VSは実Webサーバへのトラフィックを横取りして実WebサーバへのSSOを代行する。

BIG IP Ed Gインタ ネット

Layered Virtual Server: 10.1.1.247:80Webサーバ: 10.1.1.247:80Webサーバと同じIPアドレスを持つ特殊なVSを設定するAPM VSAPM VS

BIG‐IP Edge Gatewayインターネット

リモートＰＣ Layered VSLayered VSWeb Server

SSO: Network Access SSO②

Layered VSの設定では次のような点に注意

VSのVLAN and Tunnel TrafficをSSLVPNトンネルのConnectivity Profileに割り当てるVSのVLAN and Tunnel TrafficをSSLVPNトンネルのConnectivity Profileに割り当てる

Address TranslationとPort Translationを必ずOFFにする。デフォルトでONなので注意。Address TranslationとPort Translationを必ずOFFにする。デフォルトでONなので注意。Address TranslationとPort Translationを必ずOFFにする。デフォルトでONなので注意。Address TranslationとPort Translationを必ずOFFにする。デフォルトでONなので注意。

Access ProfileにあらかじめSSOの設定をしておき、それをここに割り当てる。Access ProfileにあらかじめSSOの設定をしておき、それをここに割り当てる。

Twitterでコンテンツ更新情報をお知らせします！@F5TechDepot@F5TechDepot

本資料に関するご意見、ご要望は、下記のメールアドレス(受信専用)にお願い致します。F5J‐Tech_Depot/atmark/f5.com

※迷惑メール防止のため、「@」を「/atmark/」 と表記しています。