WebAuthn」カテゴリーアーカイブ

FIDO2の生体認証を利用 パスワードレス認証のリバースプロキシをWebArena IndigoProのVPSに構築運用する

既存のWebサイトへアクセスする際に、FIDO2/WebAuthn対応のリバースプロキシの生体認証(指紋認証)で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。

生体認証に対応のリバースプロキシは、NTTPCコミュニケーションズが提供するVPSサーバーの 「WebArena IndigoPro 」環境に構築&運用します。

 

リモートワーク時にWebサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を改修することなく導入できます。生体認証を利用することでパスワードレス認証でターゲットWebへアクセスが出来ます。

 

 

【必要な機器や環境】

ユーザー側

PC(汎用)
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
生体認証器 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/bio-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

システム

生体認証対応リバースプロキシ

運用先

WebArena IndigoPro

 

 

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

FIDO2では、

認証器(セキュリティ・キー)を利用することにより「なりすましを防止」してパスワードレス認証を行います。

 

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

  • パスワードを覚える必要がない ( パスワードレス認証 )
  • 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
  • 第3者がユーザー側の「認証器」を利用しても、認証されません(なりすまし防止)

 

 

【FIDO2対応のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

  • Chrome
  • Edge
  • Firefox
  • Safari

 

【生体認証】

FIDO2対応の生体認証には

  • 指紋認証
  • 静脈認証
  • 顔認証
  • 虹彩認証

などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。

 

 

【指紋認証の特徴】

  • 10本の指が登録でき、どの指でも認証ができる
  • 認証精度が安定している
  • 認証器が豊富
  • USBタイプはPCへの接続が簡単
  • 汎用のPCで利用できる
  • Windows10の標準機能で指紋登録ができる

 

 

【今回の構成】

生体認証対応のリバースプロキシ・システムとしては、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for Biometrics」を利用して「WebArena IndigoPro」上で運用します。

 

 

【WebArena IndigoProの特徴】

  • 10Gbpsの高速回線(ベストエフォート)
  • 固定IP=1個
  • セルフ監視機能
  • フェイルオーバー機能(HA)-  標準装備
  • SLA
  • 簡易Firewall
  • リモートコンソールでのサーバーへのアクセス
  • VPSのスペック変更可能
  • リージョン(東日本・西日本)
  • 自動バックアップ
  • 大容量ストレージ
  • UTM
  • ヘルプデスク

などです。

VPS費用や自動バックアップなど月額上限費用が決まっているため、予算内でのVPSの運用が可能です。またセルフ監視機能により「ひとり情シス環境」での運用にも対応しています。

ロードバランサー機能を使いたい場合には、UTMの利用が可能です。

 

 

 

【WebArena IndigoProでの構築】

 

WebArena IndigoPro」上にインスタンスを作成します

  • サーバータイプ選択
  • HDD サイズ選択

 

インストールするOSなどを選択します

  • 任意のISOからのインストールも選択できます

 

 

Powered BLUE のセットアップ

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for Biometrics」の設定

 

セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-wizard11.png

 

Networkなど

  • IP/Gateway/DNSなどは、IndigoPro基盤側から自動でアサインされます

 

 

【リバースプロキシの設定】

Powered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します

  • 複数のリバース先 / バックエンドの設定に対応
  • リバース先のポート( http / https / 任意のポート番号)に対応
  • 終端までSSL通信での運用に対応
  • リバースプロキシーのWebサイトに「 Let’s Encrypt 」 の利用が可能
  • TLSレベルの選択が可能

 

【生体認証器】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

 

 

【指紋認証器の登録手順】

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

【Windowsでのセキュリティキー(指紋認証器)への指紋登録】

* Windows10/11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

 

1)アカウントを選択

 

 

2)サインインオプション&セキュリティキーを選択

 

 

3)セキュリティキー(指紋認証器)にタッチ

 

 

 

4)「セキュリティキーの指紋」のセットアップを選択

 

 

5)セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

6)本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

7)「指紋認証器」へ指紋の登録

 

 

8)指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

 

 

 

9)他の指も登録できます(合計10本まで)

 

 

【Webへのアクセス手順】

パスワードレス認証で運用のケース

(「認証器の所持認証」+「生体認証」の2要素認証 )

 

1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス

2)セキュリティキーにタッチ(指紋認証

3)認証後にターゲットのWebへリダイレクト

 

 

 

3要素認証で運用のケース

(「パスワード認証」+「認証器の所持認証」+「生体認証」 の3要素認証 )

 

1)生体認証対応リバースプロキシへアクセス(ID & パスワード認証

2)セキュリティキーにタッチ(指紋認証

3)認証後にターゲットのWebへリダイレクト

 

 

 

【こんな場合に】

  • Webアクセス時に確実な「本人確認」を行いたい
  • パスワードレスでのWeb認証を行いたい
  • 既存のWebサーバー側の変更はしたくない
  • アプライアンスで運用したい
  • ブラウザから利用したい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない
  • ひとり情シスで運用したい
  • 自社管理でパスワードレス生体認証システムを運用したい
  • 国内法が適用されるクラウド基盤で運用したい

 

 

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE  のデモサイト

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください