テクニカルトピックス


【2015.10.6】(今さら聞けない?) Swivel PINsafeサーバの基礎

Swivel PINSafeサーバの一般的な構成を下図に示します。
この図では、A-A構成のPINSafe APサーバをDMZに配置し、Internal(内部)に配置した「PINSafe Data Store」サーバがActiveDirectoryとLDAP連携してユーザ情報を取り込んでいます。

Swivel PINSafeサーバの一般的な構成

この図にも記載していますが、Swivel PINSafeサーバが使用するポート番号は下記の通りとなります。

  • DMZのPINSafe APサーバと内部のPINSafe Data Storeサーバとの通信 ・・・・・・ 3304
  • 内部のPINSafeサーバ(Data Storeサーバ)とDirectoryサーバとの通信 ・・・・・・ LDAP 389
  • ユーザがチェンジPINやプロビジョニングでPINSafe APサーバにアクセスする時の通信 ・・・・・・8443

また、本件に関連するご質問と回答を下記に記載させていただきます。

  • ご質問:PINSafe APサーバは必ずDMZに配置しなければならないの?
    回答:いいえ。上図のポート番号に留意し、通信が可能であればどこに配置してもOKです。
  • ご質問:PINSafe APサーバの配置場所を決定する場合の「決め手」は?
    回答:ユーザが「ChangePIN」等のユーザポータルに社外からアクセスするように設計するかどうかが大きなポイントとなります。ユーザポータルにインターネット経由でアクセス可能にするためにはPINSafe APサーバをDMZに配置することを推奨いたします。
  • ご質問:PINSafe APサーバを内部に配置する場合の留意点は?
    回答:外部からPINSafeサーバにアクセスする場合、通信が可能(IP Reachable)かどうかです。

今回の事例では、RADIUSサーバとしてSwivelを使用する場合を取り上げました。
Web認証、ADFS等におきましても今後、同様の事例を取り上げていきたいと思います。