既存のWebサイトへアクセスする際に、FIDO2 / WebAuthn対応のリバースプロキシで指紋認証や顔認証で「本人確認」を行った後に、シングルサインオンでWebへログインさせる構成です。
Webサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を修正することなく導入できるメリットがあります。
生体認証を利用することでパスワードレス認証での運用が可能です。生体認証対応のリバースプロキシは AWSやVMwareESXi で運用する構成例です。iPhone / iPad やアンドロイド端末に内蔵のFIDO2 / 生体認証を利用してのアクセスが出来ます。
FIDO2規格
FIDO2は、生体認証に際して認証機器とブラウザ、およびターゲットWeb側の認証を行う統一規格です。
FIDO2 / WebAuthn の特徴は、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。
- 主要なブラウザは、すべてFIDO2に対応済
- Windows やアンドロイドなどもFIDO2に対応済
- iPhone / iPad はSafari (ブラウザ)が対応済
生体情報の保護
FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザとRPサーバー間の規格)
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
FIDO2生体認証のメリット
FIDO2 / WebAuthn による生体認証の特徴は
- パスワードを覚える必要がない ( パスワードレス認証 )
- 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
- 第3者がユーザー側の「認証器」を利用しても、認証されません(なりすまし防止)
FIDO2対応のブラウザ
現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは
- Chrome
- Edge
- Firefox
- Safari
生体認証
FIDO2対応の生体認証には
- 指紋認証
- 顔認証
- 静脈認証
- 顔認証
- 虹彩認証
などがあります。
パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。
スマートフォンやタブレット・ユーザーの場合には、端末に内蔵の「指紋認証や顔認証」などを利用できます。
指紋認証の特徴
- 10本の指が登録でき、どの指でも認証ができる
- 認証精度が安定している
- 認証器が豊富(PCユーザー)
- USBタイプの認証器はPCへの接続が簡単
- 汎用のPCで利用できる
- Windows10 / 11ではOSの標準機能で指紋登録ができる
必要な機器や環境
ユーザー側
汎用PCの場合
Windows 10 / 11 | FIDO2対応のブラウザ | FIDO2・生体認証器 |
iPhone / iPadの場合
iOS 14以降 | ブラウザ / Safari | Touch ID / Face ID |
アンドロイドの場合
Android 7 以降 | FIDO2対応のブラウザ | 指紋認証 / 顔認証 |
システム側
idP / 生体認証対応 | リバースプロキシ | SAML/OIDC認証に未対応のWeb |
生体認証で社内Webへシングルサインオン
- idP / 生体認証(パスワードレス認証)
- SAML / OIDC認証対応のSSOリバースプロキシ(Webへの代理入力・代理認証機能)
- ターゲットWebへのSSO
* idPとリバースプロキシは、SAMLもしくはOIDC認証で連携
* ターゲットWebは、WAN / DMZ / LAN の任意の場所に設置
idP / 生体認証サーバー
生体認証に対応のidPとして
が利用できます。
- 生体認証対応のidP
- SAMLやOIDC認証機能
- GUIから設定や運用
を有しています。
idPに連携のリバースプロキシ
リバースプロキシとしては 「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。
- リバースプロキシ機能
- SAMLやOIDC認証
- バックエンドのWebへユーザー情報の代理入力機能
- GUIから設定や運用
を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。
代理認証
リバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証
- ユーザー操作でのWebへの「ID / パスワード」の入力不要
- SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
- 既存Webの改修不要
リバースプロキシの設定
、「Powered BLUE Reverse-Proxy with SSO 」へリバースプロキシ先を登録します
アプライアンスの設定は、すべてGUIから行えます。
リバースプロキシの設定例
例 https://bio-auth.mubit.com/blog/ ⇒ https://sni-1.mubit.jp/blog/
生体認証器(PCユーザー)
生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。
|
指紋認証器へ指紋登録の手順
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
Windowsでのセキュリティキー(指紋認証器)への指紋登録方法
* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます
アカウントを選択
サインインオプション&セキュリティキーを選択
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
Webへのアクセス手順
生体認証のステップ
PCユーザー
PC + FIDO2・指紋認証キー のユーザー
パスワードレス認証での運用のケース
(「認証器の所持認証」+「生体認証」= 2要素認証 )
① 生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
② セキュリティキーにタッチ(指紋認証)
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン
3要素認証での運用のケース
(「認証器の所持認証」+「パスワード認証」+「生体認証」= 3要素認証)
① 生体認証対応リバースプロキシへアクセス(ID & パスワード認証)
② セキュリティキーにタッチ(指紋認証)
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン
スマートフォン・ユーザー
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( Face ID やTouch IDの認証機能を利用 )
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン
Android + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( アンドロイド端末の顔認証や指紋認証の機能を利用 )
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」&Webへログイン
運用先
idP / 生体認証対応 | リバースプロキシ |
idPやリバースプロキシ・システムは
- AWS
- Azure
- FUJITSU Hybrid IT Service FJcloud-O ( 富士通 )
- SDPFクラウド( NTT communications )
- IndigoPro ( NTTPCコミニュケーションズ )
- VMware / Hyper-V
などでの運用にも対応しています
こんな場合に
- Webアクセス時の厳密な「本人確認」を行いたい
- 既存Webの認証機能を強化したい
- 既存のWebサーバー側の変更はしたくない
- スマートフォンの生体認証から利用したい
- VPNは負荷が高いので使いたくない
- 自社管理下でパスワードレス生体認証システムを運用したい
生体認証のWebを新規に構築
FIDO2 / WebAuthnに対応のWebサーバーを運用したい場合には
「Powered BLUE Web for SSO / IDaaS」を利用して、Webサイトの構築運用ができます。
自社管理で「新規にFIDO2 / WebAuthn 対応のWebサーバーを構築・運用」することに対応しています。
デモサイト
Powered BLUE のデモサイトを用意しています
操作や動作を確認することが出来ます
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください