ウェブサーバーやアプリケーションサーバーでユーザーを認証するだけではいけません。そのユーザーが誰なのかを事前に調べてください。
なぜかというと、誰だかわからない人を家に招き入れ、ソファーに座らせてからIDを尋ねるだろうか?
可能な限りエッジの近くで認証し、アプリケーションで再度認証する。
私たちは皆、プライベートでも仕事でも、いわゆる「パスワード疲れ」に慣れている。管理し、覚えておかなければならないユーザー名とパスワードの組み合わせは、増え続けているように見えます。文字や数字を含むより強力なパスワード、英単語を含まない長いパスワード、大文字と小文字を混在させるパスワードなどを使うことが奨励されている。運が良ければ)すべてを把握できるようになった矢先に、パスワードの変更を余儀なくされるのだ。コンピューティングは私たちの生活を簡単にするはずではなかったのか?
この課題に対して、ユーザーは多くの方法で対処している。自宅では、ほとんどの場合、ブラウザや電話アプリを使ってパスワードを保存する。デバイスに物理的にアクセスし、おそらくPINコードを入力するだけで、所有者のオンラインアカウントや機密情報のすべてではないにせよ、そのほとんどにアクセスすることができる。また、同じパスワードを複数のアカウントで使い回すユーザーも多く、中にはパスワードをメモしているユーザーもいる。
どれも理想的とは言えず、特に職場においては安全とは言えない。もちろん、誰も雇用主をセキュリティ侵害のリスクにさらすために出勤しているわけではないが、そうした悪い習慣がオフィスにユーザーについてくることはよくあることだ。利便性や使い勝手は、しばしば合理的な考えやコンプライアンスに優先する。ユーザーを助け、セキュリティ体制を向上させるために、何かできることがあるかもしれない。勝者のように聞こえる!
シングルサインオン(SSO)はedgeNEXUSロードバランサーv4.2.0の認証モジュールの機能として利用できるようになりました。中央システムに対してユーザーを事前認証し、一度認証されれば、それ以降はパスワード入力の必要なく、適切と思われる数のサービス、サイト、アプリケーションへのアクセスを提供します。これは、セキュリティと利便性を妥協することなく両立させた非常に稀な例である。
同時に、NAT、プロキシ、キャッシュと圧縮、パケットフィルタリング、高可用性、flightPATHトラフィック管理ルールなど、ALB-Xのセキュリティとパフォーマンスに関する豊富な機能も利用できます。重要なビジネスサイトやサービスにロードバランサーをまだ導入していない場合、あなたやあなたのユーザーはそのままでは非常に損をしています。
販売終了したMicrosoft ForeFront TMG(Threat Management Gateway)を使用している場合、老朽化したインフラストラクチャを迅速に置き換えることがかつてないほど簡単になりました。弊社はマイクロソフトのゴールドパートナーであり、Exchange、RDP、Lyncといった一般的なマイクロソフト製品のアプリケーション配信機能を迅速かつ簡単に設定できるjetPACKを用意しています。edgeNEXUSはAzure上のクラウドでも実行できます。
ユーザーが満足し、ITスタッフのストレスが軽減されるだけでなく、その他の利点や機会についても少し説明する価値がある;
– パスワードリセットの問い合わせが減り、ヘルプデスクのコストが削減されます。
– ログインの高速化とユーザーのためのシンプルなインターフェース
– ユーザー管理の一元化(既存のユーザーデータベース/ストアを経由するため、管理するものが少なくて済む)
– ユーザー・アクティビティの一元的なロギングと監査(見るべき場所が少ない)
– 統一されたパスワード・ポリシー
– より高いコンプライアンスと優れたパスワードは、より高いユーザーエンゲージメントと協力の上に築かれる
– より強固なパスワードポリシーも同様です。覚えることが少なければ、ユーザーはより満足するでしょう。
もちろん、AuthenticationモジュールはSSOを提供するために使われる必要はありません。それでも、どんなアプリケーションやサービスでもセキュアに保護することができます。開発者はサイトのために認証コードを書く必要がなくなり、ロードバランサーにオフロードするだけです(SSL/TLS、圧縮、その他すべてと一緒に)。また、認証はどのようなシステムでも同じように見え、同じように動作し、すべてを一箇所で制御、管理、設定することができる。データセンターのスイスアーミーナイフは、新たなツールを手に入れたのだ。
プログラマティックflightPATHルールは、その設計通り、とんでもない量のさらなる柔軟性を導入する。これにより、認証システムに複雑なビジネス・ロジックとセキュリティ・ポリシーを適用することができる。出発国(ジオロケーション・ブログを参照)、目的地URL、IPアドレスなどの定義された基準に基づいて、ユーザーを選択的にチャレンジすることができます。また、ユーザーによっては異なる認証方法を使用したい場合もあるでしょう。edgeNEXUSはシンプルかつパワフルです。
このモジュールは、SSL(LDAPS)の有無、MD5パスワードハッシュの有無にかかわらず、LDAP認証サーバーをサポートしています。カスタムインラインウェブページや HTTP Basic を含む、 現在一般的に使われているクライアント認証方式が完全にサポートされています。近い将来、さらに多くのクライアントおよびサーバー側のオプションを追加する予定です。使用するプロトコルでサポートされている場合は、再認証のタイムアウトを設定することもできます。
私たちはこのモジュールとその機能について非常に多くの要望を持っており、これは私たちがお客様のニーズにどのように応えているかを示す輝かしい例です。このモジュールは、新しいedgeNEXUSApp StoreのFeature Packとして提供されています。使い方の詳細については、こちらのユーザーガイドをご覧ください。
