Embed Size (px)
Citation preview
図 1 は 既存 のアプリケーションインフラストラクチャーへの AAM ソリューションのシームレスな統合を示しています。AAM によってAAAサーバーの認証処理が軽減され、強力な保護とサーバーの効率が確保されます。
�� 認証のオフロード認証の処理によってオーバーヘッドが追加され、複数サーバーの使用によって管理も複雑化します。また、認証サーバーは多くの場合、攻撃に対して脆弱です。
A10 の AAM ソリューションでは、A10 の Thunder/AX シリーズが Webサービスに対するネットワークの境界の認証ポイントとして機能します。A10 のお客様は A10 の Thunder/AX シリーズによって認証処理の負担を軽減できるため、サーバーの効率性が向上するだけでなく、Web サーバーの 保 護 層も追 加されます。また、AAM は OCSP(Online Certifi-cate Status Protocol)に対応しているため、BYOD や類似のデバイスに認証ベースの証明書を使用して、シームレスにサインオンできます。
AAM ソリューションでは、Web サーバーの認証を一元管理できます。たとえば、AAM を使用して認証を要求することで、これまで社内専用だった wiki や Web サイトに外部ユーザーがアクセスすることも可能になります。AAM は外部ユーザーに対して、中央の認証ポイントとして機能します。そのため、各 Web サーバーに個別の認証ポイントを設ける必要がなくなります。
�� 最適化とセキュリティの強化さまざまなサーバーに対して複数の認証ポイントを管理するには多くの労力が必要とされ、ネットワークも複雑になります。各アプリケーションに対するクライアントの認証スキームの設定にはカスタマイズが必要なため、コストも時間もかかります。AAM ではアクセスポリシー管理を一元化できます。複数の認証ポイントを統合することで、相互操作性と統合の問題が軽減されます。また、ビジネスクリティカルな Web サーバーアプリケーション(Oracle Financials など)に事前認証機能が提供されるため、セキュリティが強化されます。事前認証機能を使用すると、既存のインフラストラクチャーの設定を変更しなくても、社内システムに安全にアクセスできます。
�� ネットワーク境界における認証の必要性企業では通常、業務の必要に応じて Oracle、SAP、Exchange など、多くの Webアプリケーションとビジネスアプリケーションを実行しています。また多くの場合、インターネットを経由して、エンドユーザーと社員にこれらのアプリケーションへのアクセスを提供する必要があります。IT チームにとっては、これがセキュリティ上の懸念になります。インターネットを経由してこれらの資産に安全なアクセスを提供するには、厳密なネットワーク設計とセキュリティポリシーの強化が必要です。
ネットワークリソースを不正なアクセスから保護するために、認証が使用されます。認証によって、個々のエンドユーザーに対してアクセスを許可するかどうかが判断されます。たとえば、以下に使用されます。
ff 公開されたWebサイト
ff オンラインバンキング、ショッピングポータル、株取引のWebサイトなど、機密性の高いアプリケーションへのアクセス
ff 社内では認証を必要としない内部リソースへの外部からのアクセス
Thunder シリーズと AX シリーズのアプリケーションアクセス管理(AAM)ソリューションは、クライアント/ サーバーのトラフィックの認証と承認を最適化および強化するサービスで構成されています。
21
3
4
5
1
2
3
4
5
アクセス要求
認証要求
認証の成功
アクセスの承認
認証に使用するチャレンジ AAM
図1
アプリケーションアクセス管理( AAM)認証オフロードソリューション
ソリューションブリーフA10 Thunder ™シリーズ /AX シリーズ
アプリケーションデリバリーコントローラー( ADC )
〒105-0001 東京都港区虎ノ門4-3-20 神谷町MTビル16階 TEL: 03-5777-1995 FAX: 03-5777-1997 Email: [email protected]://www.a10networks.co.jp
A10ネットワークス株式会社
●仕様は予告無く変更することがあります。最新の情報は弊社WEBサイトでご確認下さい。 ●本書で使用した登録商標および商標はそれぞれの所有者の資産です。
お問い合わせ
©A10 Networks, Inc. and/or its affiliates. All rights reserved. #SB_AAM_20130529
�� 導入例この図は AAM の導入例を示しています。
�� まとめAAMでは認証スキームの柔軟な選択、認証サービスのシームレスな統合、セキュリティ強化を実現します。A10 Thunder シリーズと AXシリーズのAAM は追加ライセンスの購入なしで使用でき、高い価値を提供します。
また、AAM で は Kerberos シングル サインオン(SSO)セキュリティソリューションによって、Kerberos 以外でログインしたエンドユーザーも1度のログインで Kerberosで保護されたサービスにアクセスできます。エンドユーザーはセッションが終了するまでログインしなおす必要がありません。
�� HTTP によるベーシック認証HTTP によるベーシック認証では、単純な HTTP 要求を使用して、ユーザーに対してアクセスに必要な認証情報(通常、ユーザー名とパスワード)を求めます。詳細は以下のとおりです。
ff エンドユーザーがHTTPアクセス要求をサーバーに送信します。
ff ThunderシリーズまたはAXシリーズからエンドユーザーにベーシック認証に使用するチャレンジが送信されます(WWW認証ヘッダー)。
ff エンドユーザーのブラウザにはログイン画面が表示され、ユーザー名とパスワードの入力が求められます。入力すると、ブラウザからユーザーの認証情報が含まれた要求がThunderシリーズまたはAXシリーズに送信されます。認証情報が認証サーバーに転送されて検証されます(エンドユーザーに対してトランスペアレント)。
ff 認証に成功すると、認証サーバーからThunderシリーズまたはAXシリーズに成功を通知するメッセージが送信されます。
ff ThunderシリーズまたはAXシリーズによってエンドユーザーの要求したアプリケーションへのアクセスが承認されます。
�� OCSP(Online Certificate Status Protocol)Thunder シリーズまたは AX シリーズでは OCSP を使用して、提出したクライアントの証明書の失効の状態を確認することが可能です。
ff クライアントからThunderシリーズまたはAXシリーズに証明書を送信
ff ThunderシリーズまたはAXシリーズが証明書の有効性を確認
ff OCSPレスポンダーによって証明書の状態(有効、失効または未知)が返送されます。
ステータスが「有効」の場合、クライアントはサーバー上のリソースへのアクセスを許可されます。
ソリューションブリーフ
クライアント
OCSPレスポンダー
目的のサーバー
AAM
図2
クライアントOCSP
レスポンダー
Kerberos
アプリケーションサーバー
RADIUS
LDAP
AAM
ログインポータル• HTTPによるベーシック認証• フォームベース
認証リレー
LDAPパスワード更新
AAAのサーバー状態監視およびロードバランシング
• HTTPによるベーシック認証• Kerberosシングルサインオン認証
図3
