FIDO2」カテゴリーアーカイブ

サイボウズやデスクネッツ、Active! Mailなど社内Webへアンドロイド / iPhone / iPad やPCの生体認証に対応のリバースプロキシでアクセス

サイボウズやデスクネッツ、WordPress、SharePointなどの既存Webサイトへアクセスする際に、生体認証の標準規格 FIDO2 / WebAuthn 対応のスマートフォンやタブレット(アンドロイド・iPhone ・iPad )やPCの指紋認証や顔認証を利用して「本人確認」を行った後に、生体認証対応のリバースプロキシ経由で既存のWebへアクセスさせる運用の構成です。

 

【ターゲットのWebなど】

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-setup-ssl-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/06/activegate-1.png
デスクネッツ サイボウズ Active Mail

 

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

 

【既存Webの認証強化】

ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを利用することで生体認証機能を付加&パスワードレス認証での運用が可能です。

 

【既存Webの改修不要】

リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。

 

【生体認証対応リバースプロキシ】

生体認証に対応のリバースプロキシとしては、Powered BLUE Reverse Proxy for Biometrics」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、生体認証の標準規格 FIDO2 / WebAuthn に対応しています。

 

 

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

 

 

【PCユーザー

PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

 

 

 

 

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

 

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

 

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

 

【システム側の環境】

システム

運用先

 

 

 

 

【ネットワーク構成 】

  • ターゲットWebの設置先 LAN / WAN
  • リバースプロキシ経由でのターゲットWebへアクセス

 

 

 

【生体認証のステップ】

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
指紋認証 ( 2要素目の認証  生体認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

リバースプロキシの設定

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例 https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

 

 

【多要素認証】

生体認証に加えて

  • SSLクライアント認証
  • ワンタイムパスワード認証
  • AD認証
  • LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

 

 

 

【こんな用途に適しています】

  • 本人確認をきっちりと行いたい
  • 既存Webサーバーの改修はせずに認証機能を追加&強化したい
  • ブラウザでアクセスさせたい
  • 携帯端末の生体認証を利用したい
  • パスワードレスで運用したい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない

 

 

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。