NTT communications」カテゴリーアーカイブ

FIDO2 / パスワードレス認証のWeb対応は生体認証機能のリバースプロキシを利用 / 既存Webの改修不要でSSO / AWSやVMwareで運用

既存のWebサイトへアクセスする際に、FIDO2 / WebAuthn対応のリバースプロキシで指紋認証や顔認証で「本人確認」を行った後に、シングルサインオンでWebへログインさせる構成です。

 

Webサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を修正することなく導入できるメリットがあります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-1.png

 

生体認証を利用することでパスワードレス認証での運用が可能です。生体認証対応のリバースプロキシは AWSやVMwareESXi で運用する構成例です。iPhone / iPad やアンドロイド端末に内蔵のFIDO2 / 生体認証を利用してのアクセスが出来ます。

 

 

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびターゲットWeb側の認証を行う統一規格です。

FIDO2 / WebAuthn の特徴は、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

  1. 主要なブラウザは、すべてFIDO2に対応済
  2. Windows やアンドロイドなどもFIDO2に対応済
  3. iPhone / iPad はSafari (ブラウザ)が対応済

 

 

生体情報の保護

FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

 

FIDO2生体認証のメリット

FIDO2 / WebAuthn による生体認証の特徴は

  • パスワードを覚える必要がない ( パスワードレス認証 )
  • 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
  • 第3者がユーザー側の「認証器」を利用しても、認証されません(なりすまし防止)

 

 

 

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

  • Chrome
  • Edge
  • Firefox
  • Safari

 

 

生体認証

FIDO2対応の生体認証には

  • 指紋認証
  • 顔認証
  • 静脈認証
  • 顔認証
  • 虹彩認証

などがあります。

パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。

スマートフォンやタブレット・ユーザーの場合には、端末に内蔵の「指紋認証や顔認証」などを利用できます。

 

 

指紋認証の特徴

  • 10本の指が登録でき、どの指でも認証ができる
  • 認証精度が安定している
  • 認証器が豊富(PCユーザー)
  • USBタイプの認証器はPCへの接続が簡単
  • 汎用のPCで利用できる
  • Windows10 / 11ではOSの標準機能で指紋登録ができる

 

 

 

必要な機器や環境

ユーザー側

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

 

システム側

idP / 生体認証対応 リバースプロキシ SAML/OIDC認証に未対応のWeb

 

 

 

生体認証で社内Webへシングルサインオン

  • idP / 生体認証(パスワードレス認証)
  • SAML / OIDC認証対応のSSOリバースプロキシ(Webへの代理入力・代理認証機能)
  • ターゲットWebへのSSO

 

 

 

 

 

 

 

 

* idPとリバースプロキシは、SAMLもしくはOIDC認証で連携
* ターゲットWebは、WAN / DMZ / LAN の任意の場所に設置

 

 

idP / 生体認証サーバー

 

生体認証に対応のidPとして

Powered BLUE for idP

が利用できます。

  • 生体認証対応のidP
  • SAMLやOIDC認証機能
  • GUIから設定や運用

を有しています。

 

 

idPに連携のリバースプロキシ

 

 

 

 

リバースプロキシとしては https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

  • リバースプロキシ機能
  • SAMLやOIDC認証
  • バックエンドのWebへユーザー情報の代理入力機能
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

 

 

代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

  • ユーザー操作でのWebへの「ID / パスワード」の入力不要
  • SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
  • 既存Webの改修不要

 

 

リバースプロキシの設定

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse-Proxy with SSO 」へリバースプロキシ先を登録します

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例 https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

 

 

 

生体認証器(PCユーザー)

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

 

指紋認証器へ指紋登録の手順

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

 

 

Windowsでのセキュリティキー(指紋認証器)への指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

 

アカウントを選択

 

 

サインインオプション&セキュリティキーを選択

 

 

セキュリティキー(指紋認証器)にタッチ

 

 

 

「セキュリティキーの指紋」のセットアップを選択

 

 

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

「指紋認証器」へ指紋の登録

 

 

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

 

 

他の指も登録できます(合計10本まで)

 

 

 

Webへのアクセス手順

 

 

 

 

生体認証のステップ

PCユーザー

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

パスワードレス認証での運用のケース

(「認証器の所持認証」+「生体認証」= 2要素認証 )

 

① 生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス

② セキュリティキーにタッチ(指紋認証

③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン

 

 

 

3要素認証での運用のケース

(「認証器の所持認証」+「パスワード認証」+「生体認証」= 3要素認証)

 

 

① 生体認証対応リバースプロキシへアクセス(ID & パスワード認証

② セキュリティキーにタッチ(指紋認証

③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン

 

 

スマートフォン・ユーザー

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( Face ID やTouch IDの認証機能を利用 )
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( アンドロイド端末の顔認証や指紋認証の機能を利用 )
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン

 

 

 

運用先

idP / 生体認証対応 リバースプロキシ

idPやリバースプロキシ・システムは

  • AWS
  • Azure
  • FUJITSU Hybrid IT Service FJcloud-O  ( 富士通 )
  • SDPFクラウド( NTT communications )
  • IndigoPro ( NTTPCコミニュケーションズ )
  • VMware / Hyper-V

などでの運用にも対応しています

 

 

こんな場合に

  • Webアクセス時の厳密な「本人確認」を行いたい
  • 既存Webの認証機能を強化したい
  • 既存のWebサーバー側の変更はしたくない
  • スマートフォンの生体認証から利用したい
  • VPNは負荷が高いので使いたくない
  • 自社管理下でパスワードレス生体認証システムを運用したい

 

 

 

生体認証のWebを新規に構築

FIDO2 / WebAuthnに対応のWebサーバーを運用したい場合には

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Web for SSO / IDaaS」を利用して、Webサイトの構築運用ができます。

自社管理で「新規にFIDO2 / WebAuthn 対応のWebサーバーを構築・運用」することに対応しています。

 

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE  のデモサイト

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください