サイボウズやデスクネッツ、WordPress、SharePointなどの既存Webサイトへアクセスする際に、生体認証の標準規格 FIDO2 / WebAuthn 対応のスマートフォンやタブレット(アンドロイド・iPhone ・iPad )やPCの指紋認証や顔認証を利用して「本人確認」を行った後に、生体認証対応のリバースプロキシ経由で既存のWebへアクセスさせる運用の構成です。
【ターゲットのWebなど】
デスクネッツ | サイボウズ | |
Active Mail | IIS / Web |
【なりすまし防止】
リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。
【リバースプロキシの特徴】
- バックエンドのWebの認証強化(例 リバースプロキシで認証を追加)
- バックエンドのWebの改修不要で導入できる
- バックエンドのWebを隠蔽
- バックエンドのWebのOSに依存せずに導入できる
- ブラウザのみで利用できる(VPNのような専用ソフトは不要)
- VPNに比べて負荷が小さい
【生体認証対応リバースプロキシの構成】
生体認証に対応のidPとしては、「Powered BLUE for idP」アプライアンスを利用します。
idPと連携のリバースプロキシとしては、「Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。
【携帯ユーザー】
携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。
|
|
【PCユーザー】
PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。
|
【ユーザー側の環境】
iPhone / iPadの場合
iOS 14以降 | ブラウザ / Safari | Touch ID / Face ID |
アンドロイドの場合
Android 7 以降 | FIDO2対応のブラウザ | 指紋認証 / 顔認証 |
汎用PCの場合
Windows 10 / 11 | FIDO2対応のブラウザ | FIDO2・生体認証器 |
【システム側の機器 】
idP / 生体認証対応 | SAML/OIDC認証対応リバースプロキシ |
【生体情報の保護】
FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。
FIDO2 / WebAuthnでは
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
【生体認証のステップ】
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト
Android + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト
PC + FIDO2・指紋認証キー のユーザー
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証 生体認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト
【リバースプロキシの設定】
アプライアンスの設定は、すべてGUIから行えます。
リバースプロキシの設定例
例 https://bio-auth.mubit.com/blog/ ⇒ https://sni-1.mubit.jp/blog/
【多要素認証】
生体認証に加えて
- SSLクライアント認証
- ワンタイムパスワード認証
- AD認証
- LDAP認証
などの組合せによる、多要素認証での運用にも対応しています
【こんな用途に適しています】
- 本人確認をきっちりと行いたい
- 既存Webサーバーの改修はせずに認証機能を追加&強化したい
- ブラウザでアクセスさせたい
- 携帯端末の生体認証を利用したい
- パスワードレスで運用したい
- リモートワークで社内のWebへ安全にアクセスしたい
- VPNは負荷が高いので使いたくない
【運用先】
生体認証対応リバースプロキシ・アプライアンスの運用先など
- VMwareESXi / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。