Keycloakは、FIDO2（ファイド・ツー）に対応した生体認証をサポートしています。FIDO2は、生体認証の統一規格です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証を使用して、Keycloakにログインすることができます。

また、iPhoneやAndroidなどのスマートフォンもFIDO2に対応しています。普段利用している携帯端末の指紋認証や顔認証機能をそのまま、Keycloakのログイン認証に利用することができます。生体認証を利用することで、パスワードレス認証での運用も可能となり利便性も向上します。

ペアリングとアクセス許可

FIDO2の生体認証では、利用できる端末とユーザーがペアリングされて固定されるため、第3者のアクセスを防止できるメリットがあります。

　アクセス許可　＝　① 端末の固定　＋　② 指定のユーザー

例　会社が支給した「Aさん用の端末」を「Aさん」が利用する場合にアクセスを許可する

生体認証

生体認証は、パスワードに比べて安全性と利便性に優れています。パスワードは、忘れたり、盗まれたり、なりすまされたりするリスクがあります。一方、生体認証は、本人の身体的特徴を用いて認証を行うため、これらのリスクを軽減することができます。

生体認証の特徴は、以下のとおりです。

• 偽造やなりすましが困難
• 忘れたり、紛失したりする心配がない

生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびidPの認証を行う統一規格です。

FIDO2 のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っています。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows 10 / 11 やMacintosh、アンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

機種	アンドロイド	IPhone / iPad	Windows	Macintosh	ブラウザ
FIDO2対応

FIDO2での生体情報の保護

FIDO2では、ブラウザを経由してユーザ側の生体認証器とidP / Keycloakの通信を行います

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとidP / Keycloak サーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用します

　FIDO2では、生体情報はユーザーの保有する認証器外へ漏洩しません　

FIDO2の生体認証で必要な機器

1. Keycloak / idP
2. SAMLやOIDC認証に対応のWebやリバースプロキシ
3. スマートフォン（アンドロイド・iPhone・iPad）や　PC端末＋FIDO2対応の生体認証器
4. ブラウザ

システム側の環境

• idP / Keycloak
• SP / Web
• KeycloakとWebはSAML認証やOIDC認証で連携

idP / Keycloak		SAML / OIDC認証のWeb

ユーザー側の環境

iPhone / iPadの場合（内蔵の生体認証器を利用）

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合（内蔵の生体認証器を利用）

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合（USB接続の生体認証器を利用）

Windows 10 / 11 Macintosh		FIDO2対応のブラウザ		FIDO2・指紋認証器

機器の構成

① idP認証サーバー

FIDO2に対応のKeycloakのアプライアンス

idP 「Powered BLUE for idP 」

を利用します。

② SAML/OIDC認証に対応のWebサーバー

SAMLやOIDC認証のWebサイトを構築・運用する機能を有しているアプライアンス

SP 「Powered BLUE Reverse-Proxy with SSO 」

を利用できます。

③ SAML / OIDC認証に対応のリバースプロキシ（代理認証機能）

SAML / OIDC認証対応のリバースプロキシから既存のWebへ「ID / パスワード」を代理入力＆代理認証の機能を有しているアプライアンス

SP 「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用できます。

SAML / OIDC認証に未対応の既存のWebを改修不要でSSOのメンバーとして構成します。

SSO構成 ①＋②

• SAML/OIDC認証のWebサイトへアクセス

SSO構成 ①＋③

• SAML/OIDC認証対応のリバースプロキシから既存Webへ「ID / パスワード」を代理入力＆代理認証でSSO

*SAML/OIDCに未対応の既存Webを改修不要で、代理入力＆代理認証でSSO化に対応します

生体認証のSSO

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「iPhone / iPad の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ iPhoneのFace ID やTouch IDの認証機能を利用（初回のみ）
④ 認証後にWebへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「Android の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ Androidの顔認証や指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース
（「認証器の所持認証」+「生体認証」= 2要素認証）

3要素認証での運用のケース
（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ FIDO2の指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

各種Webへ生体認証でのSSO

一度のidP / Keycloakへの生体認証で、複数のWebシステムへのシングルサインオン

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」で設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

KeycloakやSP（Webやリバースプロキシ）の運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

生体認証対応 Keycloak	SAML / OIDC対応Web	SAML / OIDC対応リバースプロキシ

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

こんな場合に

• なりすましを防止したい
• スマートフォンの生体認証を利用したい
• 社員へ配布の端末からのみアクセスさせたい
• パスワードレス認証で運用したい
• 自社管理で生体認証システムを運用したい

ご質問やご相談など

既存で運用のWebサイトの認証について、スマートフォンの生体認証をWeb認証に利用して運用する方法です。

【生体認証】

生体認証により「なりすまし」を防止することが可能です。

スマートフォンの認証機能

• Face ID
• Touch ID

をWebアクセス時の認証に利用します。

【パスワードレス＆シングルサインオン】

既存のWebサイトへアクセスする際に

1. スマートフォンの生体認証（指紋認証や顔認証）で本人確認
2. idPと連携のSSO対応のリバースプロキシ経由で「既存のWeb」へ代理認証
3. ユーザーの操作は「パスワードレス＆シングルサインオン」でWebサイトへアクセス

で構成します。

【idP連携でリバースプロキシから代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応

【代理認証】

OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ターゲットWebを「SSOのメンバー」として構成

【FIDO2と生体情報の保護】

スマートフォンのFIDO2対応の生体認証をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【生体認証のステップ】

生体認証を利用したパスワードレス認証
（スマートフォンの「所持認証」+「生体認証」の2要素認証 ）

1. リバースプロキシへアクセス
2. idpでの認証（IDのみ入力 / パスワードレス / 生体認証）
3. 認証後にWebへ自動ログイン（ID/パスワードの代理入力）

【機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォン
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【リバースプロキシ・アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

Webサイトへアクセスする際に、iOSのTouch IDやFace IDなどの指紋認証や顔認証で本人確認を行います。

iPhone / iPadの生体認証をそのまま、Webアクセス時の認証に利用できます。

生体認証により

• なりすましの防止
• パスワードレス認証

での運用が出来ます。

【FIDO2の利用】

iPhone / iPad ではFIDO2の認証を利用します。FIDO2とはWebの認証に際して「生体認証キー」などで認証を行う標準の方式です。

【生体情報の保護】

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

   生体情報は、「iPhone / iPad」内に保存＆保護されます
  公開鍵暗号化方式を利用、「生体情報」が端末外へ漏洩することはありません。

【機器の構成図】

1. idP / 生体認証（WebとはSAMLやOIDC認証で連携）
2. Web /  idPとSAMLやOIDC認証で連携
3. iPhone / iPad（Face ID or Touch ID)
4. safari（ブラウザ）

【生体認証対応のidP / アイデンティティプロバイダー】

生体認証に対応のIDを管理するidPとして

Powered BLUE for idP

を利用できます。

• 生体認証対応のidP機能
• SAMLやOIDC認証機能
• GUIから設定や運用

を有しています。

【idP連携のWeb】

SAML / OIDC認証に対応のWeb・アプライアンスとして

Powered BLUE Web for SSO / IDaaS

を利用できます。

• Webサイト機能（マルチドメイン対応）
• SAMLやOIDC認証機能
• インターネットサーバー機能
• GUIから設定や運用機能

を有しています。

自社のWebサイトの構築＆運用に対応しています。

WordPressやRoundcubeも利用できます。

【Webサイト・生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID のユーザー

生体認証を利用したパスワードレス認証
（iPhone / iPad の「所持認証」+「生体認証」の2要素認証 ）

1. Webへアクセス （IDのみ入力 / パスワードレス ）
2. idP （生体認証）
3. 認証後にWebサイトの表示

【パスワードレス / 生体認証でのWebサイト運用　例】

一般的なWebサイト		WordPressのWebサイト		Roundcube / WebMail

WordPressのWebサイトへのアクセス認証をスマートフォンやタブレットに内蔵の指紋認証や顔認証を使って行う構成です。

生体認証はIDパスワードのような「なりすまし」が可能な認証と異なり、第三者の「なりすまし」を防ぎ厳密な認証を行ってのWebへのアクセス運用が出来ます。

FIDO2/生体情報の保護

FIDO2とは、生体認証などを利用してWebへログインできる標準の規格です。

スマートフォンの生体認証はFIDO2に対応しており、指紋情報や顔情報などの生体情報をスマートフォンの外部に出すことなく、Webサイトへのアクセス認証を行うことが出来ます。

必要な機器や環境

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

Webシステム

生体認証対応idP連携  Web		運用先

* AWS / Azure やVMware / Hyper-V などのクラウドや仮想基盤での運用に対応

今回の構成

Web・システムとしては、生体認証対応のidP と連携の　「Powered BLUE Web for SSO / IDaaS」を利用して構築＆運用します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• WordPressで作成のWebを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい

SAML認証やAD連携などの機能は有償のProfessionalやEnterpriseプランでの提供となっており、無償のTeam Edition セルフホストプランでは利用ができません。

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition セルフホスト / 無償	Professional / 有償	Enterprise / 有償
idP連携 / SAML認証 OIDC認証

* Team Edition セルフホストはOSS版です

【Team Edition セルフホストプランの主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

• 費用を抑えて運用したい
• 自社の環境で運用したい
• SaaSを利用できない
• Slackから移行したい ( マイグレーション)

などの場合には、Team Edition セルフホストプランが利用できます。

【ID/パスワード認証のMattermost】

利用できるMattermostとしては

１）自社で構築のMattermost Team Edition セルフホストプラン

２）Mattermost　Team Edition セルフホストプランが利用できるアプライアンス　「Powered BLUE for Mattermost」も選択が可能です。

【MattermostのセルフホストプランでidP / Keycloak 連携のSSOで運用】

ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidP / Keycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

【代理認証】

idP / Keycloakと連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応

【必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホストプラン（ ID / パスワード認証 ）
4. 　ブラウザ（プラグイン不要）

【 idP / Keycloak】

KeycloakはSAMLやOIDC認証でリバースプロキシと接続します

  Keycloakのアプラアインス　「Powered BLUE for idP 」も利用できます

アプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　Keycloak のバックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

iDaaS / idPとしてSAML認証やOIDC認証をサポートの

• Azure AD
• GMOトラストログイン
• 他

なども利用が出来ます

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

【MattermostへのSSO利用ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス
3. idP / Keycloak の認証後にリバースプロキシから Mattermost へユーザー情報を代理入力
4. Mattermostへ自動ログイン

【各種Web システムへのSSO】

一度の idP / Keycloak 認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証 / MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【FIDO2生体認証】

なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」でのパスワードレス認証の運用が出来ます。

スマートフォンのFIDO2対応の生体認証（顔認証や指紋認証）をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【idP / Keycloak連携で代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* ユーザー端末とidPはFIDO2の生体認証

【Mattermostへのパスワードレス認証の利用ステップ】

スマートフォン端末（指紋認証・顔認証）

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

PC端末（指紋認証）

FIDO2対応　USB接続の指紋認証器

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

【Mattermost のこんな使い方に】

• 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない）
• シングルサインオンで運用したい
• パスワードレス認証で運用したい
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
• VMware / Hyper-V などの仮想環境で運用したい
• オンプレ環境で運用したい
• 自社管理で運用したい
• Slackから移行したい

ご質問やご相談など

スマートフォンやタブレットからは、端末に内蔵の指紋認証や顔認証の機能を利用してWebアクセス認証を行うことが出来ます。パソコンユーザーの場合には、FIDO2対応のUSBなどの生体認証器で利用ができます。

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 第3者がユーザー側の「認証器」を利用しても、認証されません（ なりすまし防止 ）
3. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
4. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )

などの特徴を有しています。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証対応のWebシステム 】

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を適用したい
• スマートフォンやタブレットの生体認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for Biometrics」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証に対応のリバースプロキシ　「Powered BLUE Reverse Proxy for Biometrics」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• iPhone / iPad / アンドロイド端末の指紋認証や顔認証（ Touch ID – Face ID )
• PCの生体認証

などを利用してリバースプロキシへの生体認証経由で、ターゲットWebへアクセスさせる構成例です。紛失や盗用されにくい生体認証を使用することにより「なりすまし」を防止することが可能です。認証方式としては、Webアクセス時の生体認証の標準規格である FIDO2 / WebAuthn を利用します。

【リバースプロキシの特徴】

1. バックエンドのWebのOSに依存しない
2. バックエンドのWebを隠蔽できる（セキュリティ上のメリット）
3. ブラウザのみで利用できる（プラグイン不要）

【既存Webの改修不要】

リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを中継することで「生体認証機能を付加＆パスワードレス認証」での運用に対応しています。

例　IIS / Web		例　WordPress

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【生体認証のポイント】

• 生体情報は偽造しにくい
• 生体情報は覚える必要がない
• パスワードレス認証に対応

【必要な機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォンや生体認証キー
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

　idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【生体認証対応リバースプロキシ】

生体認証連携に対応のリバースプロキシとしては、「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、生体認証の標準規格  「FIDO2 / WebAuthn 」に対応のidPと連携してSAML/OIDC認証で動作します。

【携帯ユーザー】

スマートフォンやタブレットのユーザーは、自身の保有する携帯端末内の生体認証器が使えるため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格  FIDO2 / WebAuthn に対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の FIDO2に標準対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【必要なユーザー環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【Webへ代理認証でのパスワードレス＆SSO構成】

SAML認証やOIDC認証に未対応のWeb

SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」へリバースプロキシからの代理認証でシングルサインオンで運用できます

• ターゲットWebの設置先　LAN / WAN/ DMZ
• ターゲットWebの改修は不要
• ターゲットWebへのリバースプロキシからの「ID/パスワード」の代理入力＆代理認証
• 生体認証によりパスワードレス認証でのSSOに対応

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ Face ID やTouch IDの認証機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ アンドロイド端末の顔認証や指紋認証の機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• スマートフォンの生体認証を利用したい
• パスワードレス認証で運用したい
• 海外や出張先のホテルからも安全にWebアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証連携に対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

ターゲットのWebサイトへアクセスさせる場合に、生体認証により「パスワードレス認証」および「なりすましを防止」することが可能です。

またターゲットWeb側にSAMLやOIDC認証機能がない場合でも、リバースプロキシを利用することで代理認証で「シングルサインオン」での運用に対応しています。

リバースプロキシを経由することで「ターゲットWebの改修不要」で既存のシステムへ導入できます。

【FIDO2の利用と生体情報の保護】

FIDO2の認証を利用します。FIDO2とはWebの認証に際して「生体認証キー」などで認証を行う標準の方式です。

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

  生体情報は、スマートフォンなどの「認証器」内に保存＆保護されます
公開鍵暗号方式（公開鍵・秘密鍵）では、生体情報は「認証器」外へ漏洩しません

【idP / 生体認証サーバー】

生体認証に対応のidPとして

Powered BLUE for idP

が利用できます。

• 生体認証対応のidP
• SAMLやOIDC認証機能
• GUIから設定や運用

を有しています。

【生体認証機能のidPに連携のリバースプロキシ】

リバースプロキシとしては、SAMLやOIDC認証＆代理入力機能に対応の　「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

【必要な機器や環境】

ユーザー側端末	iPhone / iPad　の場合
	ブラウザ
	生体認証器	Touch ID / Face ID

ユーザー側端末	Android　の場合
	ブラウザ
	生体認証器	顔認証　指紋認証

ユーザー側端末	汎用PC　の場合
	ブラウザ
	FIDO2・生体認証器

システム側

idP / 生体認証対応		リバースプロキシ		SAML/OIDCに未対応のWeb

【パスワードレス認証でWebへのSSO】

• idP / 生体認証（パスワードレス認証）
• SAML / OIDC認証対応のSSOリバースプロキシ（Webへの代理入力・代理認証機能）
• ターゲットWebへのSSO

* idPとリバースプロキシは、SAMLもしくはOIDC認証で連携
* ターゲットWebは、WAN / DMZ / LAN の任意の場所に設置
* ターゲットWebの改修不要

【代理認証】

SAML / OIDC認証対応のリバースプロキシからWebへ「ID / パスワード」を代理入力＆代理認証

1. 　ユーザー操作でのWebへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

【パスワードレス＆SSOのステップ】

iPhone / iPad  ＋ Touch ID / Face ID のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力　Webへログイン

Android  ＋ 指紋認証 / 顔認証のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力　Webへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力　Webへログイン

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【こんな用途に適しています】

• 　本人確認をきっちりと行いたい
• 　既存Webの改修はせずに認証機能を強化したい
•     パスワードレスで認証したい
• 　ブラウザのみでアクセスさせたい
• 　VPNは負荷が高いので使いたくない

【運用先】

生体認証対応idPやリバースプロキシやアプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

ターゲットのWebサーバーの認証をAzure ADと連携させることにより、生体認証で許可されたユーザーのみをターゲットのWebへアクセスさせる運用が出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Azure ADの認証方式

Azure ADで利用できる主な認証方式

*1　SalesforceではSMS認証の使用禁止 / Google ではSMS認証は非推奨

こんな場合に

• Azure ADを利用している
• Azure ADで生体認証を使いたい
• Webサイトの認証をAzure ADで行い生体認証のSSOでアクセスさせたい

Windows HelloやFIDO2の特徴

•   Azure ADとの認証には、公開鍵暗号方式を利用
• 　生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の指紋認証器

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

Azure ADに対応のWeb

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のWebやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとWebはSAML認証連携
• ユーザーはターゲットWebへアクセス

SAML認証に対応のWebサーバー

Azure AD（idP)と連携するWebサーバー（SP）としては、SAML認証に対応した「Powered BLUE Web  for SSO/IDaaS」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のSP（サービスプロバイダ）機能
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• Let’s Encrypt （フリープラグインで提供）
• 仮想アプライアンス
• ひとり情シスでの運用に対応

のWebアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のWebサーバー側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、Webサーバーへアクセスさせることが出来ます。またグループアクセスでのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のWebサーバー側にはユーザーアカウントがないため、Webサーバー側からのアカウント漏洩の心配はありません。

SAML認証対応のWebサイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。

例

1. トップページはワールドワイドに公開
2. 特定のディレクトリは、社員や会員のみに公開

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	生体認証器 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応Webシステム
運用先	VMware / Hyper-V / AWS

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

Web / SP側の設定

SAML認証に対応のWebサーバーの設定

Powered BLUE Web  for SSO/IDaaSにWebを運用する仮想サイトを作成

例　http://wp-sam.mubit.jp

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

Validate

idPおよびSP側の設定が正しければ、「Validate]　ボタンをクリックすると　SP側のWebページが表示されます。

 

 

Webページに正常にアクセス出来ればセットアップは終了です。

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

 

SSO対応のターゲットWebへのアクセス手順

①   ターゲットWeb へアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

◆運用先

SAML認証対応Webアプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。