サイボウズ」カテゴリーアーカイブ

サイボウズやデスクネッツ、Active! Mailなど社内Webへアンドロイド / iPhone / iPad やPCの生体認証に対応のリバースプロキシでアクセス

サイボウズやデスクネッツ、WordPress、SharePointなどの既存Webサイトへアクセスする際に、生体認証の標準規格 FIDO2 / WebAuthn 対応のスマートフォンやタブレット(アンドロイド・iPhone ・iPad )やPCの指紋認証や顔認証を利用して「本人確認」を行った後に、生体認証対応のリバースプロキシ経由で既存のWebへアクセスさせる運用の構成です。

 

【ターゲットのWebなど】

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-setup-ssl-1.png
デスクネッツ サイボウズ
https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-1.png
Active Mail  IIS / Web

 

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

 

 

リバースプロキシの特徴

 

 

 

 

 

 

  1. バックエンドのWebの認証強化(例 リバースプロキシで認証を追加)
  2. バックエンドのWebの改修不要で導入できる
  3. バックエンドのWebを隠蔽
  4. バックエンドのWebのOSに依存せずに導入できる
  5. ブラウザのみで利用できる(VPNのような専用ソフトは不要)
  6. VPNに比べて負荷が小さい

 

 

【生体認証対応リバースプロキシの構成】

生体認証に対応のidPとしては、Powered BLUE for idP」アプライアンスを利用します。

idPと連携のリバースプロキシとしては、Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。

 

 

 

 

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

 

 

【PCユーザー

PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

 

 

 

 

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

【システム側の機器 】

idP / 生体認証対応 SAML/OIDC認証対応リバースプロキシ

 

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

 

 

【生体認証のステップ】

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
指紋認証 ( 2要素目の認証  生体認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

リバースプロキシの設定

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例 https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

 

 

【多要素認証】

生体認証に加えて

  • SSLクライアント認証
  • ワンタイムパスワード認証
  • AD認証
  • LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

 

 

 

【こんな用途に適しています】

  • 本人確認をきっちりと行いたい
  • 既存Webサーバーの改修はせずに認証機能を追加&強化したい
  • ブラウザでアクセスさせたい
  • 携帯端末の生体認証を利用したい
  • パスワードレスで運用したい
  • リモートワークで社内のWebへ安全にアクセスしたい
  • VPNは負荷が高いので使いたくない

 

 

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。