【レガシーWeb】

SAML認証やOIDC認証（Open ID Connect）に未対応のバックエンドのWebへ、リバースプロキシから ユーザー情報 を代理入力してシングルサインオンを構成します。

SAML / OIDC認証に 未対応のWeb

【代理認証】

リバースプロキシが代理入力および代理認証を行うため

1. 利用者からWebへ「ID / パスワード」の入力不要
2. 利用者へのWebの「ID / パスワード」の公開不要
3. SAMLやOIDCに未対応のWebをSSOのメンバーとして構成

【Azure AD連携のリバースプロキシから既存Webへ代理入力＆SSO】

1. SAML / OIDC認証対応のリバースプロキシは、FUJITSU Hybrid IT Service FJcloud-O 上で運用
2. バックエンドの「Web」は WANやLAN の任意の場所に設置が可能

【 必要な機器など 】

1. idP
2. SAML / OIDC認証対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. バックエンドのWeb（改修不要）
4. ブラウザ（プラグイン不要）

【 idP / Azure AD 】

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

【リバースプロキシの特徴】

1. バックエンドのWebのOSに依存しない
2. バックエンドのWebを隠蔽できる（セキュリティ上のメリット）
3. ブラウザのみで利用できる（プラグイン不要）

【 SAML/OIDC認証 の代理入力対応のリバースプロキシ 】

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

をFUJITSU Hybrid IT Service FJcloud-O 上に構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 *1 ）
• バックエンドのWebアプリへユーザー情報の代理入力機能
• バックエンドのWebアプリへHTTPヘッダーでのユーザー情報の転送機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、GUIからアプライアンスの設定＆運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

【代理入力・SSOでの認証ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Azure ADへアクセス（シングルサインオン）
3. Azure AD の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
4. バックエンドWebへ自動ログイン

【各種Web システムへのSSO】

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用 / 多要素認証】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

クライアント証明書 〇		クライアント証明書 ✕

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

【 FUJITSU Hybrid IT Service FJcloud-O上で運用時のメリット】

• 国産クラウド環境
• OpenStack準拠
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 回線費用は無償（ベストエフォート）
• Firewallは無償
• Ansible対応

ご質問やご相談など

富士通のPRIMERGYシリーズはサーバー用途の製品シリーズです。サーバーの対応OSはWindows Server やLinuxなどに対応しています。TX-1310M3モデルは静音のコンパクトなタワータイプのモデルです。

サーバー向けなのでオーディオ機能はありません。グラフィックもdisplayportで最低限の機能になります。またオンボードのレイド機能もサーバーOSのみに対応であり、Windows10 / Windows11などのパーソナルユースのOSに適した製品ではありません。

PCIスロットは、PCI 　Express 3.0（8レーン）までの対応です。もちろんTPMもありません（以前はTPM2.0のパーツは販売していましたが、今は販売していません。）

今回、富士通のPRIMERGY TX-1310M3に

• Windows 10 をインストール
• TPMなし / CPU要件に不適合モデルを Windows 11 へアップグレード

します

【TX-1310M3の特徴】

• メモリはECC（メモリエラー訂正機能）
• グラフィック機能は貧弱
• 音声機能は無し
• 静音（自席の脇においても、音が気になりません）
• サーバーの自動起動　*1

*1　停電時などの復電の際に、通電が開始されると自動でサーバーを起動させることが出来ます

【サーバーの自動起動設定】

通電開始時の自動起動の設定は、Bios の「Power」項目の「Power Failure Recovery」から設定します。

Bios は 「F2」　Biosや起動メディア選択は「F12] キーです（Power On時点ですぐに操作をする必要があります）

選択できる項目は

1. Disable
2. Always off
3. Always on（通電開始で、常にパワーオン）
4. Previous State（通電開始で、停電前の状況に戻します）

【機器やパーツ】

今回、使用したパーツです

Windows10/11のパーソナルユースで利用の場合には、グラフィックス機能、および音声機能を追加します。TX-1310M3 でCPUはLGA1151に対応しています。オリジナルで搭載のCPU は第6世代の

• LGA1151  Pentium G4560  (2Core / 4スレッド）/ 54W
• LGA1151  Xeon E3-1225 V6 (4Core / 4スレッド）/ 73W

などです

今回　第6世代の低消費電力CPU　LGA1151　Core i7-6700（４Core / 8スレッド）/ 65W を利用

• 本体　TX-1310M3 / オンボードMegaレイド
• メモリ　4GB x 4  / DDR4　2400　ECC  UDIMM
• グラフィックスカード / NVIDIA GeForce GT710
• SSD / WD Red SN700 NVMe WDS100T1R0C (1TB)
• HDD / WD40EFAX-RT (4TB) x2 台
• Blueray Drive / BW-16D1HT PRO ( Read / Write 対応モデル )
• サウンド / Createive Sound Blaster PLay!3 USB ( Mic入力 / Speaker出力）
• NVMe 増設PCI / Century CIF-M2NV  ( SSD 取付用 )

*M2 などのSSDのポートはないので、SSDを利用時はSATAやPCIタイプから選択
*DVD Driveは本体に標準装備ですが、容量の大きいBlueray-Driveを追加
*サウンドは YouTubeやZoom、teams など音声を再生する場合には必要
*VGA / DVI / HDMI 出力対応のグラフィックスカードを追加
*CPU Core i7-6700は ECC メモリー未対応ですが動作します
*富士通純正以外のECC メモリでは、起動時にワーニングがでます

【ECCメモリとECC対応のCPUについての組合せ】

• LGA1151　Pentium G4560  / Xeon E3-1225 V6は「ECCメモリに対応」のCPU
• LGA1151　Core i7-6700は「ECCメモリに未対応」のCPU

AIに聞いてみる

Q　ECCメモリ対応のボードにECCのメモリを搭載　CPUはECCに未対応のものを乗せた場合にも動作しますが、運用などで支障はありますか

A　ECCメモリに対応していないCPUにECCメモリを搭載しても、システムが起動し、ノンECCメモリとして使用できますが、ECCメモリのエラー検出・訂正機能を利用することはできません。ただし、特に問題が起きることは少ないため、運用上の支障はほとんどないと考えられます。

【基本方針と手順】

• CPU LGA1151 Core i7-6700（４Core / 8スレッド）に換装
• メモリは標準搭載のECCメモリを利用
• SSDはPCIに対応の製品を選択（HDDでも問題ありません）
• グラフィックスカードとブルーレイドライブを追加

1. SSD / 1TB をCドライブにしてWindows10 / 64bit版をインストール
2. HDD 4TB x 2 を追加
3. Windows11 へアップグレード

【Windows1０のインストール】

TX-1310M3へのWindows７のインストールは手間がかかるので、Windows10からの初期インストールをします。Windows10 SSDをCドライブにするだけで簡単にインストールできます。

【ライセンスの有効活用】

Windows 7 / 8 などのライセンスを保有の場合には、Windows10のセットアップ時にWindows 7/ 8 などの古いライセンスを登録して使うこともできます。

1. Windows 7 / Professional ライセンスを入力
2. Windows 10 / Pro Edition になる
3. Windows 11 / Pro Edition になる

* Windows 7 / 32bit 版のOEM ライセンスの場合には、Windows 11 / 64bitには利用できません

【Windows10 インストール】

• Windows10のメディアを用意してセットアップ（64ビット版をインストール）
• Windows 7 のライセンスを投入

【HDD４TB x2 を追加】

• HDDを筐体に追加

【オンボードレイドで運用したい場合】

TX-1310M3はサーバー用途のためオンボードのMegaレイド対応のレイドドライバーは、Windows Server 用のものしか提供されていません。Windows10用のレイドドライバーはありません。

https://azby.fmworld.net/app/customer/driversearch/ia/drviadownload?driverNumber=F1024103

** **
** ソフトウェアRAID Embedded MegaRAID Windows Driver **
** V18.01.2017.0105 **
** **

——————————————————————————————
対象アレイコントローラ

PRIMERGY ソフトウェアRAID (Embedded MegaRAID)

——————————————————————————————
動作環境

Microsoft(R) Windows Server(R) 2012 Datacenter
Microsoft(R) Windows Server(R) 2012 Essentials
Microsoft(R) Windows Server(R) 2012 Foundation
Microsoft(R) Windows Server(R) 2012 R2 Datacenter
Microsoft(R) Windows Server(R) 2012 R2 Essentials
Microsoft(R) Windows Server(R) 2012 R2 Foundation
Microsoft(R) Windows Server(R) 2012 R2 Standard
Microsoft(R) Windows Server(R) 2012 Standard
Microsoft(R) Windows Server(R) 2016 Datacenter
Microsoft(R) Windows Server(R) 2016 Essentials
Microsoft(R) Windows Server(R) 2016 Standard
Windows Storage Server 2012 R2 Standard
Windows Storage Server 2016 Standard

【レイドドライバーのインストールは？】

AIに聞いてみる

Q　Windows Server 20xx と Windows10は兄弟ですか。

A     はい、どちらもWindowsでのすで広義の兄弟に相当します。

Q　Windows Server用のドライバはWindows10とバイナリ互換はありますか。

A    はい、バイナリ互換はあります。

Q　。。。。。。

A　ｘｘｘｘｘｘ

【Windows11へアップグレード】

Windows Update でWindows11へのアップグレードチェック

標準の方法では、Windows 11へアップグレードが出来ません

【CPUチェックおよびTPMのチェックをパスさせてインストールする方法】

Windows 11 のISOイメージをダウンロードします（例 22H2 )

非対応PCに対する処置では appraiserres.dll ファイルの削除は21H2では出来ましたが、22H2からはできなくなっています。

AIに聞いてみる

Q　どうすればwindows 11にアップグレードできますか

A　22H2からは ISOイメージのファイルの sources ディレクトリにある appraiserres.dll  ファイルをメモ帳で開いてすべてを選択したうえで削除したら上書き保存します。

( 0バイトの appraiserres.dll ファイルにする ）

これでインストールが可能です

インストール時には、途中で選択できる

• 最新モジュールのダウンロードなど

は選択しません。

せっかく修正した　「appraiserres.dll 」ファイルがオーバーライトされるのを回避させます。

【Windows11 】

Biosなどの設定内容にも依存しますが、起動ディスクがSSDの場合でパワーオン 35秒ほどでLogin 画面の表示となります

【IOベンチマ―ク】

デイスク構成

• disk C / SSD
• disk D / E / HDD

Disk Speed ベンチマーク　/ 　CrystalDiskMark

• Disk C / SSD

• Disk D /  HDD

【 Ethernetカードの追加】

TX-1310M3はEthernet は1個です。Hyper-V などを運用する際に、NICが多いと便利なのでPCI の2port Ehternet カードを追加します。USBタイプのNICもありますが、EthernetケーブルがUSBから抜けるとトラブルにつながるので、常時接続の場合にはPCIタイプの方が安全です。

Windowsで利用の場合にはチップセットを気にせずに、どのメーカーのEthernetカードでも動作します。

写真は インテル PRO/1000 PT  です。VMwareESXi でも動作します（VMware ではNE-1000で認識）

【生体認証】

Windows Hello でのログインやAzure ADでの FIDO2 の生体認証を利用する場合には、USBタイプの指紋認証器などが使えます。

Windows HelloやFIDO2対応のUSB「指紋認証器」

【指紋登録の手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

* Windows 10 / 11 ユーザーは、Windows標準機能で「生体情報の登録」ができます。

【仮想化】

VirtualboxやHyper-V上でWindows-XPやWindows 7なども運用できます。

Windows 11で仮想基盤の運用を行う場合

• Virtualbox（無償で利用できます）
• Hyper-V  （ Windows 11 / Pro Editionで利用できます）

などがターゲットになります

【Hyper-V上での仮想マシンの運用】

Hyper-Vを使う場合には、Windows10 プロフェッショナルエディションからアップデートを行うとWindows11 のプロフェッショナルエディションでHyper-Vが利用できます。

Hyper-V上での仮想マシンの運用

Hyper-V上にWindows-XPをインストール

G.CREW6など Windows-XP 上でしか動作しないアプリを動かすには便利です

Hyper-V上のWindows XPへMET’S のG.CREW6をインストール

Hyper-V上のWindows XPでG.CREW6の起動

古いOSやソフトなども有効活用できます

【rdpサーバー】

Windows 11 / Pro Editionでは、rdpサーバー機能が使えます

【Biosのアップデート】

折角なので　TX-1310M3 の Biosを R1.29.0へアップデート

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• OpenStack準拠のクラウドサービス
• API / Ansible / OpenStack Horizon からコントロール可能
• 回線費用は無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• 単一ゾーンでのSLA 99.99%
• フェイルオーバー機能　- 　標準装備
• アンチ・アフィニティをサポート
• 国内リージョン2か所（東日本・西日本）
• ISMAPに対応

などです。

【Keycloak アプライアンス】

サーバーやKeycloakの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能などを有したKeycloakのアプライアンス

　「Powered BLUE idP for Keycloak」

をFJCloud-O上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

【Powered BLUE サーバーの設定】

FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする　例

【Keycloakの構成やDB設定】

GUIから

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLサーバー証明書の登録
• アクティブモニタ（サービス監視・再起動・管理者への通知）

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

( 画面のイメージをクリックで拡大表示 ）

【Keycloakのバックアップ】

• バックアップやリストア

【Keycloakのバージョンアップ】

• ver 18.0.1 から　ver 19.0.1 へ　変更　（例）

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

1) リバースプロキシ経由でKeycloakへアクセス　 ( リバースプロキシ＋Keycloak 1台で運用 ）

• Client  ⇒  「 443 / リバースプロキシ　 ⇒  80 / Keycloak 」
  

2) ダイレクトにKeycloak へアクセス(https/443)

• Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール）

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書や中間証明書のインポート機能

【サーバーの自己監視機能】

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

【idPとSPの構成】

• 　idP – SP の構成　例１

SP機能のWebアプライアンス　　Powered BLUE Web for SSO / IDaaS

・idP – SP の構成　例２

SP機能のリバースプロキシ・アプライアンス　　Powered BLUE Reverse-Proxy for SSO / IDaaS

【SSOのステップ】

① ターゲットWebやリバースプロキシ（SP）へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン ）
③ idP / Keycloak の認証後にターゲットのWebサイトの表示

【HAの構成】

• Keycloakのクラスター構成

GUIからDBやクラスタの設定が出来ます

FJcloud-O 標準のロードバランサーでのクラスター構成

【閉域網での構築＆運用に対応】

• 仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
• サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能
• LGWANなどでの運用に対応

【SSLクライアント認証で運用する】

Keycloakへの認証を

• IDパスワード＋SSLクライアント認証

の多要素認証にする（Private-CAとの連携）

SSLクライアント証明書の発行及びSSLクライアント認証局として

「Powered BLUE プライベートCA」

を利用します。

【失効リストの入手＆自動同期】

Private-CAの失効リストをKeycloak側で入手＆自動同期する設定をします

【Keycloakの認証設定】

Keycloakを運用するサーバーのURL

• 例　https://auth.powered.blue/

このサーバーの keycloakの ログイン dir  /auth 以下にSSLクライアント認証を設定の場合

• https://auth.powered.blue/auth

【SSLクライアント証明書が有効の場合】

１）ターゲットWeb（SP）にアクセス
２）idP / Keycloakの認証
（シングルサインオン・SSLクライアント認証）
３）認証の成功後　ターゲットWeb（SP）を表示

【FIDO2/生体認証での運用に対応】

指紋認証器の特徴

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10 / 11 の標準機能で指紋登録ができる

指紋認証器の構成例

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【指紋登録方法】

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

【生体認証でWebへアクセス】

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）
２）セキュリティキーにタッチ（指紋認証）
３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• iDaaSなどは社内規定で利用が出来ない
• ユーザー数が多いので費用の抑えられるOSSのidPを利用したい
• 自社管理でidPを運用したい
• メンテナンスの簡単なアプライアンスで‘運用したい
• 国内法が適用されるクラウド基盤で運用したい
• LGWANやクローズドネットワークで運用したい
• SSLクライアント認証や生体認証で運用したい

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

ユーザー側の機器としては、スマートフォンやタブレット、パソコンなどのFIDO2 / WebAuthn 生体認証に対応の機器からのアクセスに対応しています。

FIDO2対応のWebサイトとしては、一般的なWebコンテンツの他、WordPressで作成のWebサイトの生体認証の構築・運用にも対応しています。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証対応Webシステム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2生体認証対応のidPと連携のWeb・システムとしては、「Powered BLUE Web for SSO / IDaaS」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• ISMAPに対応

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【生体認証対応のWebサーバー】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

• Web サイトには、ユーザーアカウントは作成不要での運用に対応

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　WordPress の　メガネ　マークをクリック

WordPressをインストール＆セットアップします

• WordPressには、ユーザーアカウントは作成不要での運用に対応
• WordPressは最新版にアップデートできます

【生体認証器　PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Webへのアクセス手順】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応Webへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• スマートフォンの生体認証を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 固定予算内での運用を行いたい
• 国内のクラウド基盤で運用したい

【既存のWebへ生体認証でアクセスするには】

すでに既存で運用のWebサイトへ生体認証でアクセスさせるには

　生体認証対応のidPと連携のリバースプロキシ

で対応します。

既存のWebサイトを改修することなく「生体認証システム」の導入が可能です。

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• 国内基盤で運用

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

Powered BLUE リバースプロキシ / Reverse Proxyは、

1. リバースプロキシ ＆ ワンタイムパスワード認証
2. リバースプロキシ ＆ SSLクライアント認証
3. リバースプロキシ ＆ ワンタイムパスワード認証＆ SSLクライアント認証
4. リバースプロキシ ＆ SAML/OIDC認証（ idP連携  ）
5. リバースプロキシ ＆ SAML/OIDC認証＆SSLクライアント認証
6. リバースプロキシ ＆ Active Directory認証
   
7. リバースプロキシ ＆ Active Directory&SSLクライアント認証
8. リバースプロキシ ＆ 生体認証対応（ FIDO2 / WebAuthn ）
9. リバースプロキシ ＆ HAやGSLB対応

に対応の認証機能付きリバースプロキシ・アプライアンスです。

リバースプロキシ経由での社内LAN側などのWebサーバーへのアクセスに際して、既存の社内Web側は変更することなく、リバースプロキシ上に各種の認証を設定しての運用に対応しています。

リバースプロキシと認証機能を1台で運用出来ます。仮想アプライアンスで提供しており、FUJITSU Hybrid IT Service FJcloud-O環境で認証機能付きのリバースプロキシの導入＆運用が可能です。

【構築方法】

「FUJITSU Hybrid IT Service FJcloud-O」 で CentOS 7.x もしくはRedHat 7.x デフォルトのインスタンスを作成しておきます。

• サーバー名指定
• サーバータイプ選択
• パブリックイメージ選択　例　CentOS 7.９
• HDD サイズ指定　例　30GB

　FUJITSU Hybrid IT Service FJcloud-OにCentOS/RedHat対応インターネットサーバー Powered BLUEをセットアップする

【１】リバースプロキシ ＆ ワンタイムパスワード認証

対応のモデル
Powered BLUE 870 / OTP & Reverse Proxy

リバースプロキシにアクセス時にワンタイムパスワード認証を行います

ワンタイムパスワード認証は、google authenticatorの方式に対応しておりユーザー側では、利用するPCやスマフォ端末に応じて

●Google Authenticator
●Microsoft Authenticator
●WinAuth
●Authy
●IIJ SmartKey

などの無償のソフトウエアトークンなどを利用できます

簡単登録

QRコードを読み込むだけの簡単登録

ワンタイムパスワード認証のアクセス手順

• ワンタイムパスワードを表示
• リバースプロキシへアクセス（ワンタイムパスワード認証）
• 認証後にリダイレクト先のWebサイトが表示（例　SharePoint)

【２】リバースプロキシ ＆ SSLクライアント認証

リバースプロキシへのアクセス時にSSLクライアント認証を行います

対応のモデル
Powered BLUE Private CA & Reverse Proxy

Private-CA機能＆SSLクライアント認証

• Private-CA 機能によりSSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でSSLクライアント認証を行います

特徴

• リバースプロキシへのアクセス時にパスワードの入力不要
• 日時などでのリバースプロキシへのアクセスコントロールが可能

アクセスコントロール　例

• 組織や部門でのアクセス制限
• 曜日や時間帯でのアクセス制限
• 特定ユーザーでのアクセス制限
• 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

有効なSSLクライアント証明書のない場合

リバースプロキシでアクセスが拒否されます

証明書　〇　　　　　　　　　証明書　

【３】リバースプロキシ ＆ ワンタイムパスワード＆ SSLクライアント認証の併用

リバースプロキシにアクセス時にSSLクライアント認証とワンタイムパスワード認証を行います

対応のモデル
Powered BLUE Web Station

特徴

• 多要素認証によりリバースプロキシの認証の強度が上がります

認証のステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証 (リバースプロキシ）
３）ワンタイムパスワードを入力 (リバースプロキシ）
４）認証後にリバースプロキシ先のWebが表示

【４】リバースプロキシ ＆ SAMLやOIDC認証

リバースプロキシへのアクセス時にSAMLやOIDC認証を行います

idP / IDaaS

idPとしては、Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Azure AD / Keycloak / OpenAM 他 などのSAML認証に対応しています。

既にこれらのiDaaSなどのサービスを利用されている場合に運用が出来ます

SAML-SP / OIDC-RP

Powered BLUE リバースプロキシは、SAML認証やOIDC認証に対応のSP(サービスプロバイダ）として動作します

対応のモデル
Powered BLUE Reverse Proxy for SSO / IDaaS

特徴

• シングルサインオン/SAML認証やOIDC認証に対応のリバースプロキシとして運用が出来ます

認証のステップ

１） ID認識型リバースプロキシへアクセス
２） 初回のみ idP へアクセス ( シングルサインオン ）
３） idPの認証後にリバースプロキシ先のWebサイトの表示

【５】リバースプロキシ ＆ SAMLやOIDC認証とSSLクライアント認証の併用

リバースプロキシへのアクセス時にiDaaS側のSAML認証やOIDC認証に加えて、社内ネットワークへのアクセスに際して、リバースプロキシ上で自社管理で運用が出来るSSLクライアント認証を行います。iDaaS/idPでは社内LANへのアクセスが厳しい場合でも、自社ポリシーによりSSLクライアント認証を行い社内側でのアクセスを行わせる事が出来ます。

特徴

• リバースプロキシ上でのSSLクライアント認証では、自社の管理下で自社のポリシーに即した認証設定での運用が出来ます

【６】リバースプロキシ ＆ AD認証

リバースプロキシへのアクセス時にActive Directory認証経由で、社内Webへのアクセスします。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシにはユーザーアカウントが不要なため、簡単に運用ができます。

AD認証時の手順

１）リバースプロキシへアクセス
２）アカウントやパスワードを入力（AD認証）
３）ADの認証後にリバース先のWebを表示

【7】リバースプロキシ ＆ SSLクライアント認証+AD認証

リバースプロキシへのアクセス時に「SSLクライアント認証とActive Directory認証」を併用します。対応のモデル　Powered BLUE Reverse Proxy for AD

特徴

• リバースプロキシへのアクセスに際して、多要素認証で運用ができます。

SSLクライアント認証＆AD認証時の手順

１）リバースプロキシへアクセス
２）SSLクライアント認証
３）アカウントやパスワードを入力（AD認証）
４）ADの認証後にリバース先のWebを表示

【8】生体認証対応（FIDO2 / WebAuthn)

FIDO2の生体認証（指紋認証）機能により、「なりすまし防止」でのアクセスが出来ます

特徴

• 生体情報は覚える必要がない
• パスワードレス認証に対応
•  生体情報は偽造しにくい

生体認証器

利用者はUSBタイプのセキュリティキー「指紋認証器」をPCへ接続

指紋を登録

構成

　https://www.mubit.co.jp/sub/products/blue/b870-sso-rev.html

指紋認証時のWebアクセス手順

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にターゲットWebへリダイレクト

【9】HA ＆ マルチリージョン

ロードバランサー配下での運用やGSLB、Route53との組み合わせによるマルチAZでの運用にも対応しています。

ロードバランサー配下での運用

認証対応のリバースプロキシはシングルリージョン（シングルAZ）のロードバランサー配下に設置・運用

マルチAZでの運用

認証対応のリバースプロキシの設置・運用先

• リージョンA　東日本データセンター
• リージョンB　西日本データセンター

【10】WAN側設置のWeb

クラウドやWAN側に設置のWebへのアクセス認証をリバースプロキシで代行させることもできます。

認証対応のリバースプロキシからのアクセスに限定することで、Webサーバー側に認証機能が無い、もしくは認証機能が弱い場合でも運用が可能です。

【11】ひとり情シス対応

• サーバーの自己監視
• サービスの自動再起動
• パッチのスケジュールアップデート

などの機能を装備。ひとり情シスでの運用に対応しています。

【12】ログの保存

• シスログの保存 ( 任意期間の保存 )
• シスログの転送 ( 同時に3カ所への送信 )
• シスログのトラップ

などに対応 (オプション）

任意キーワードでのトラップ　&  アラートメールの送信先の指定　例

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定、リバースプロキシなどの動作を確認することが出来ます

デモサイト

アンドロイド / iPhone / iPad やPCから生体認証対応のリバースプロキシを経由してアクセスすることで、ターゲットWeb側を改修することなく生体認証を導入できます。

生体認証に対応のリバースプロキシは、 FUJITSU Hybrid IT Service FJcloud-O （富士通の国産クラウド環境 ）に構築＆運用します。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。

FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証システム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2 / WebAuthn 生体認証対応のリバースプロキシ・システムとしては、「Powered BLUE Reverse Proxy for Biometrics」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【リバースプロキシの設定】

、「Powered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します

• アプライアンスの設定は、すべてGUIから行えます。リバースプロキシの設定例例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【既存のWeb】

既存Webの改修は不要

例　WordPress		例　IIS / Web

【生体認証器 PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応リバースプロキシへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebへリダイレクト

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• 既存のWebサーバー側の変更はしたくない
• スマートフォンの生体認証機能を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 自社管理でパスワードレス生体認証システムを運用したい
• 国内のクラウド基盤で運用したい

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください