BIG-IP APM Edge Gatteway BIG IP IP APM SSO 機能概要 BIG IP IP APM10.2, Edge Gateway 10.2, F5 ネットワークスジャパン株式会社
SSO の概要 INDEX
APM の 3 つの主な機能
APM の 3 つの機能 Network Access 機能 FirePass のネットワークアクセス機能をより強化した Nt Network ka Access 機能により SSLVPN によるリモートアクセス機能を提供 さまざまなエンドポイントセキュリティ機能を持ちMac, Linux, Windows でプロセス ファイル アンチウイルスチェックも可能 外部の認証ページとの連携も可能 (FirePass のネットワークアクセス機能に似た機能 ) LTM VS へのアクセスポリシー (LTM VS AP) LTMの持つHTTP(S) Virtual Serverのpoolへのアクセスに対してエンドポイントセキュリティの機能を提供 これにより特定のサイトへのアクセスをするときにクライアントのセキュリティ要件を定義可能 WebアプリケーションとVSが1:1で対応 Web アプリケーションプロキシ 社内の Web アプリケーションを 1:n で対応させて VS へアクセスした時に自動的に社内の Web アプリケーションを表示する機能 FirePassのWebアプリケーションポータルと似た機能 (FirePassのログオンポータル画面は持たない )
APM の 3 つの機能 ログオン画面 Access Profile セキュリティ要件チェック 認証 Web ブラウザで APM の VS の URI にアクセス 有効なクライアント証明書か指定したOS, パッチがあるかアンチウイルス製品の動作確認プロテクテッドワークスペースグループポリシー強制適用など自由に設定可能 ログオン画面に複数のパスワード欄を設定したり ログオン画面自体を出さず 認証しないことも設定可能 LDAP, RADIUS, AD, SecureMatrix, RSA SecurID, 外部ログオン画面による認証などに対応 認証しないことも可能 リソース割り当て 認証されたアクセスに対して下記の 3 つのいずれかの機能を提供 VPN と同じようなネットワークアクセストンネル (Network Access) を提供 ネットワークアクセス (SSLVPN) pool メンバーの Web サーバが提供するコンテンツをそのままクライアントへ返す LTM VS Web Application Proxy 社内ポータルWebサイトへ接続して社内のさまざまなリソースへアクセス
Network Access 機能の仕組み クライアントに仮想 PPP ダイアルアップアダプタを設定 クライアントのルーティングテーブルを書き換えて社内ネットワーク向けのトラフィックは仮想 PPP ダイアルアップアダプタからBIG IP Edge Gatewayを経由するように設定 このため初回接続時にこれらを実行するコンポーネントをインストールするために管理者権限が必要 環境によりダイアルアップアダプタの作成やhostsファイルの書き換えがクライアント上の侵入検知製品で検出されてしまうことがある SNAT 無効の時は 各サーバ側またはルータの設定でも192.168.192.5のネットワークへの通信は 172.16.20.25416 20 254 へ行くようにルーティングの設定を適切に行っておく必要がある リモートクライアントから SSLVPN 経由で内部のサーバに接続 HTT TPS 仮想 VPN アドレス 192.168.192.5 実際の IP アドレス 205.229.151.10 インターネット External 165.197.145.148 BIG IP Edge Gateway or APM Internal 172.16.20.254 サーバから見たソースアドレス SNAT が有効な場合送信元 : 172.16.20.254 あて先 : 172.16.20.20 サーバ SNAT が無効な場合 172.16.20.20 送信元 : 192.168.192.5 あて先 : 172.16.20.20
LTM VS AP ネットワークアクセスで設定するアクセスポリシーをVirtual Serverに設定可能 これにより 例えばファイルをアップロードするサイトでは あらかじめウイルス対策製品が適切に動作していないとアクセスできないようにしたり 認証をAPMに任せて認証を通った端末のみアクセスできるようにすることが可能 アクセスポリシー例 Mac ファイルの存在チェック Linux ファイルの存在チェック Windows アンチウイルス製品の動作 ADへの登録 キャッシュログオン名と等しい 認証サーバ Virtual Server Web サーバ (pool)
WebApplication AP ログオンするとイントラネット Web サイトの内容が表示される イントラネット側の Webサーバの実 URI は隠蔽され Virtual Server の FQDN の後にf5 w xxx のように書き換えられ ブラウザの左上に水色のナビゲーションも表示される これにより外側は1つのVirtual Serverでイントラネットのさまざまなページを渡り歩くことができる SSOも可能
SSO
APM の SSO 機能 SSO はクレデンシャルキャッシュ & プロキシ (Credential Caching & Proxying = CCP) とも呼ばれる機能で APM にログオンしたユーザ情報を使用して APM の背後にある Web アプリケーションに対して再度認証し直すことなくアクセスできるようにすることができる機能です この機能は Web アプリケーションのみサポートされ 下記の認証方法をサポートします NTLM v1 NTLM v2 Basic HTTP forms based この機能は次のようなメリットがあります 1. 多種多様の認証サイトの管理とメンテナンスの一元化 2. ユーザ認証を複数回行わせずにアクセスできる経路の提供 CCPは真のSSOシステムではありません SSOシステムは複数のサイトへのアクセスコントロールを提供しますが 一般的には独立したソフトウェアシステムです これにより一度ログオンすることで全てのシステムに再度認証することなくアクセスできるようになります APM にあるSSO はこうしたシステムを提供するものではありません 動作の流れ : 1. ユーザーがAPMにアクセス 2. APM はユーザセッションを作成し 予め Access Policy で管理者により設定されたユーザ認証情報を取得 3. Access PolicyによりAPMへのアクセスが許可されることでユーザのセッション情報 認証に必要な情報など全てが TMMのセッションデータベースにキャッシュされる 4. ユーザーはAPMの背後にあるWebアプリケーションへのアクセスが許可される 5. APM 内部のWebSSO プラグインはセッションデータベースにキャッシュされているユーザクレデンシャルを取り出すンデシ 6. ユーザが背後のWebアプリケーションにアクセスし 必要に応じてWebSSOプラグインはキャッシュされたユーザクレデンシャル情報を元に認証を代行
SSO BIG IP Edge Gatewayを使うことでイントラネットのWebアプリケーションへのシングルサインオン (SSO) を行うように設定することができる LTM VS AP, Web Application AP, Network Access の全てでSSO が利用可能 1BIG IP Edge Gateway のログオン画面にログオン 2自動的にWebアプリケーションのログオンを実行し ユーザにはログオン後の画面が現れる (Webアプリケーションのログオン画面はブラウザには表示されない ) SKIP リモート PC インターネット BIG IP Edge Gateway Web アプリケーション Network Access SSO: 1:n Web Application SSO: 1:n LTM VS AP: 1:1
SSO: SSO HTTP BASIC の設定 HTTP BASIC 認証の場合はその認証で使用する ID と Password に対応するセッション変数を指定する NTLMv1/v2 の場合も同様 SSO で使用するセッション変数を設定する
SSO: SSO HTML フォームの設定 SSO の設定は Web アプリケーションの URL に対して行われる 設定には Web アプリケーションのトップから (https://xxx の部分は不要 ) の絶対位置のみを指定 SSO で使用するセッション変数を設定する /blog/mt cgi のように Web アプリケーションのログオン画面のディレクトリ位置を設定 ログオン画面の HTML で使われるフォームの変数名を指定 ログオンに成功したことを何を持って調べるかを設定 HTTP フォーム認証と同じ設定項目がある
SSO: LTM VS AP SSO Access Profile の設定項目にある SSO のところに使用したい SSO Configuration を選択 LTM VS AP の場合は VS と Web Application(pool) が 1:1 なのでここだけ
SSO: WepApplication SSO Web アプリケーションオブジェクトに対して SSO の設定を追加することで実現
SSO: Network Access SSO1 APM VS と Layered VS APM の Access Profile が有効に設定された実 Virtual Server(APM VS) にリモート PC から接続してNetwork Access (SSLVPNトンネル) を実現する LAN 側 Webサーバと同一のIPアドレスを持ち SSLVPN 上でのみ有効にされ SSOの設定を含む Access Profile を持つ特殊な Virtual Server である SSO Virtual Server (Layered VS) を構成 Layered VSは実 Webサーバへのトラフィックを横取りして実 WebサーバへのSSOを代行する リモート PC インターネット APM VS BIG IP IP Edge Gateway Web Server Layered Virtual Server: 10.1.1.247:80 Web サーバ : 10.1.1.247:80 Web サーバと同じ IP アドレスを持つ特殊な VS を設定する Layered VS
SSO: Network Access SSO2 Layered VS の設定では次のような点に注意 VS の VLAN and Tunnel Traffic を SSLVPN トンネルの Connectivity Profile に割り当てる Address Translation と Port Translation を必ず OFF にする デフォルトで ON なので注意 Access Profile にあらかじめ SSO の設定をしておき それをここに割り当てる
Twitterでコンテンツ更新情報をお知らせします! @F5TechDepot 本資料に関するご意見 ご要望は 下記のメールアドレス ( 受信専用 ) にお願い致します F5J Tech_Depot/atmark/f5.com 迷惑メール防止のため @ を /atmark/ と表記しています