FIDO2 / WebAuthn対応のWebサイトを構築・運用する構成例です。Webサイトへのアクセスに際しては、「なりすまし」防止機能に優れた「生体認証」を利用することでパスワードレス認証でのWebサイトのアクセス認証の運用が可能です。
Webサイトの認証に、スマートフォンやタブレット、パソコンの指紋認証や顔認証を利用できます。
FIDO2対応のパスワードレス認証のWebサイトとしては、一般的なWebサイトの他、WordPressでのWebサイトの構築運用にも対応しています。
FIDO2規格
FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザと認証idPサーバー間の規格)
FIDO2では、
認証器(セキュリティ・キー)を利用することにより「なりすましを防止」してパスワードレス認証を行います。
生体情報の保護
認証器(セキュリティ・キー)による「認証」および「生体情報」の保護
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
FIDO2対応のブラウザ
現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは
- Chrome
- Edge
- Firefox
- Safari
生体認証
FIDO2対応の生体認証には
- 指紋認証
- 静脈認証
- 顔認証
- 虹彩認証
などがあります。
パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。
スマートフォンやタブレット・ユーザーの場合には、内蔵の「指紋認証や顔認証」などを選択して利用します。
指紋認証の特徴
- 10本の指が登録でき、どの指でも認証ができる
- 認証精度が安定している
- 認証器が豊富
- USBタイプはPCへの接続が簡単
- 汎用のPCで利用できる
- Windows10 / 11 の標準機能で指紋登録ができる
必要な機器や環境
汎用PCの場合
Windows 10 / 11 | FIDO2対応のブラウザ | FIDO2・生体認証器 |
iPhone / iPadの場合
iOS 14以降 | ブラウザ / Safari | Touch ID / Face ID |
アンドロイドの場合
Android 7 以降 | FIDO2対応のブラウザ | 指紋認証 / 顔認証 |
今回の構成
FIDO2 生体認証対応の idP / Web システム
認証サーバー / idP (アイデンティティ・プロバイダー)
idP「Powered BLUE for idP 」を利用します
Keycloakの機能を有したアプライアンスです
Webサーバー / SP (サービスプロバイダー)
Web「Powered BLUE Web for SSO 」を利用します
idPとWebはSAML認証やOIDC認証で連携します。
生体認証対応のWebサーバー
一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。
例
- トップページは、ワールドワイドに公開(認証無し)
- 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可
一般的なWebデータのWebサイト | WordPressのWebサイト |
一般的なWebデータで構築の場合
生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。
* Web サイトには、ユーザーアカウントは作成不要での運用にも対応しています
WordPressの場合
Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール&セットアップが出来ます
フリープラグインを選択
リストアップされた 「WordPress の」 メガネ マークをクリック
WordPressをインストール&セットアップします
* WordPressには、ユーザーアカウントは作成不要での運用に対応
*最新版のWordPressへアップデートできます
生体認証器(PCユーザー)
生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。
|
指紋認証器へ指紋登録の手順
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
Windowsでのセキュリティキー(指紋認証器)への指紋登録方法
* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます
アカウントを選択
サインインオプション&セキュリティキーを選択
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
Webへのアクセス手順
Android + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応Webへアクセス (IDのみ入力 / パスワードレス認証 )
② idPでの生体認証
③ 認証後にWebサイトの表示
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )
① Webへアクセス (IDのみ入力 / パスワードレス認証 )
② idPでの生体認証
③ 認証後にWebサイトの表示
PC + FIDO2・指紋認証キー のユーザー
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① Webへアクセス (IDのみ入力 / パスワードレス認証 )
② idPでの生体認証
③ 認証後にWebサイトの表示
こんな場合に
- Webアクセス時の厳密な「本人確認」を行いたい
- Webサイトのアクセスを生体認証で運用したい
- スマートフォンやタブレットの生体認証で利用したい
- VPNは負荷が高いので使いたくない
既存のWebへ生体認証でアクセスするには
すでに既存で運用のWebサイトへ生体認証 / パスワードレスでアクセスさせるには
で対応します。
SAML / OIDC認証に対応のリバースプロキシ側からWebシステムへのユーザーID・パスワードの「代理入力」機能により
- パスワードレス認証
- シングルサインオン
での運用が可能です
* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② idPでの生体認証
③ リバースプロキシからWebへID/パスワードの代理入力&Webサイトへ自動ログイン
デモサイト
Powered BLUE のデモサイトを用意しています
操作や動作を確認することが出来ます
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください