Keycloakは、FIDO2（ファイド・ツー）に対応した生体認証をサポートしています。FIDO2は、生体認証の統一規格です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証を使用して、Keycloakにログインすることができます。

また、iPhoneやAndroidなどのスマートフォンもFIDO2に対応しています。普段利用している携帯端末の指紋認証や顔認証機能をそのまま、Keycloakのログイン認証に利用することができます。生体認証を利用することで、パスワードレス認証での運用も可能となり利便性も向上します。

ペアリングとアクセス許可

FIDO2の生体認証では、利用できる端末とユーザーがペアリングされて固定されるため、第3者のアクセスを防止できるメリットがあります。

　アクセス許可　＝　① 端末の固定　＋　② 指定のユーザー

例　会社が支給した「Aさん用の端末」を「Aさん」が利用する場合にアクセスを許可する

生体認証

生体認証は、パスワードに比べて安全性と利便性に優れています。パスワードは、忘れたり、盗まれたり、なりすまされたりするリスクがあります。一方、生体認証は、本人の身体的特徴を用いて認証を行うため、これらのリスクを軽減することができます。

生体認証の特徴は、以下のとおりです。

• 偽造やなりすましが困難
• 忘れたり、紛失したりする心配がない

生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびidPの認証を行う統一規格です。

FIDO2 のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っています。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows 10 / 11 やMacintosh、アンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

機種	アンドロイド	IPhone / iPad	Windows	Macintosh	ブラウザ
FIDO2対応

FIDO2での生体情報の保護

FIDO2では、ブラウザを経由してユーザ側の生体認証器とidP / Keycloakの通信を行います

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとidP / Keycloak サーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用します

　FIDO2では、生体情報はユーザーの保有する認証器外へ漏洩しません　

FIDO2の生体認証で必要な機器

1. Keycloak / idP
2. SAMLやOIDC認証に対応のWebやリバースプロキシ
3. スマートフォン（アンドロイド・iPhone・iPad）や　PC端末＋FIDO2対応の生体認証器
4. ブラウザ

システム側の環境

• idP / Keycloak
• SP / Web
• KeycloakとWebはSAML認証やOIDC認証で連携

idP / Keycloak		SAML / OIDC認証のWeb

ユーザー側の環境

iPhone / iPadの場合（内蔵の生体認証器を利用）

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合（内蔵の生体認証器を利用）

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合（USB接続の生体認証器を利用）

Windows 10 / 11 Macintosh		FIDO2対応のブラウザ		FIDO2・指紋認証器

機器の構成

① idP認証サーバー

FIDO2に対応のKeycloakのアプライアンス

idP 「Powered BLUE for idP 」

を利用します。

② SAML/OIDC認証に対応のWebサーバー

SAMLやOIDC認証のWebサイトを構築・運用する機能を有しているアプライアンス

SP 「Powered BLUE Reverse-Proxy with SSO 」

を利用できます。

③ SAML / OIDC認証に対応のリバースプロキシ（代理認証機能）

SAML / OIDC認証対応のリバースプロキシから既存のWebへ「ID / パスワード」を代理入力＆代理認証の機能を有しているアプライアンス

SP 「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用できます。

SAML / OIDC認証に未対応の既存のWebを改修不要でSSOのメンバーとして構成します。

SSO構成 ①＋②

• SAML/OIDC認証のWebサイトへアクセス

SSO構成 ①＋③

• SAML/OIDC認証対応のリバースプロキシから既存Webへ「ID / パスワード」を代理入力＆代理認証でSSO

*SAML/OIDCに未対応の既存Webを改修不要で、代理入力＆代理認証でSSO化に対応します

生体認証のSSO

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「iPhone / iPad の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ iPhoneのFace ID やTouch IDの認証機能を利用（初回のみ）
④ 認証後にWebへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「Android の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ Androidの顔認証や指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース
（「認証器の所持認証」+「生体認証」= 2要素認証）

3要素認証での運用のケース
（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ FIDO2の指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

各種Webへ生体認証でのSSO

一度のidP / Keycloakへの生体認証で、複数のWebシステムへのシングルサインオン

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」で設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

KeycloakやSP（Webやリバースプロキシ）の運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

生体認証対応 Keycloak	SAML / OIDC対応Web	SAML / OIDC対応リバースプロキシ

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

こんな場合に

• なりすましを防止したい
• スマートフォンの生体認証を利用したい
• 社員へ配布の端末からのみアクセスさせたい
• パスワードレス認証で運用したい
• 自社管理で生体認証システムを運用したい

ご質問やご相談など

WordPressのWebサイトへのアクセス認証をスマートフォンやタブレットに内蔵の指紋認証や顔認証を使って行う構成です。

生体認証はIDパスワードのような「なりすまし」が可能な認証と異なり、第三者の「なりすまし」を防ぎ厳密な認証を行ってのWebへのアクセス運用が出来ます。

FIDO2/生体情報の保護

FIDO2とは、生体認証などを利用してWebへログインできる標準の規格です。

スマートフォンの生体認証はFIDO2に対応しており、指紋情報や顔情報などの生体情報をスマートフォンの外部に出すことなく、Webサイトへのアクセス認証を行うことが出来ます。

必要な機器や環境

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

Webシステム

生体認証対応idP連携  Web		運用先

* AWS / Azure やVMware / Hyper-V などのクラウドや仮想基盤での運用に対応

今回の構成

Web・システムとしては、生体認証対応のidP と連携の　「Powered BLUE Web for SSO / IDaaS」を利用して構築＆運用します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• WordPressで作成のWebを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい

スマートフォンやタブレットからは、端末に内蔵の指紋認証や顔認証の機能を利用してWebアクセス認証を行うことが出来ます。パソコンユーザーの場合には、FIDO2対応のUSBなどの生体認証器で利用ができます。

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 第3者がユーザー側の「認証器」を利用しても、認証されません（ なりすまし防止 ）
3. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
4. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )

などの特徴を有しています。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証対応のWebシステム 】

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を適用したい
• スマートフォンやタブレットの生体認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for Biometrics」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証に対応のリバースプロキシ　「Powered BLUE Reverse Proxy for Biometrics」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【ターゲットのWebなど】

デスクネッツ		サイボウズ
Active Mail		IIS / Web

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

【リバースプロキシの特徴】

1. バックエンドのＷebの認証強化（例　リバースプロキシで認証を追加）
2. バックエンドのWebの改修不要で導入できる
3. バックエンドのWebを隠蔽
4. バックエンドのWebのOSに依存せずに導入できる
5. ブラウザのみで利用できる（VPNのような専用ソフトは不要）
6. VPNに比べて負荷が小さい

【生体認証対応リバースプロキシの構成】

生体認証に対応のidPとしては、「Powered BLUE for idP」アプライアンスを利用します。

idPと連携のリバースプロキシとしては、「Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応リバースプロキシ

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• 携帯端末の生体認証を利用したい
• パスワードレスで運用したい
• リモートワークで社内のWebへ安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• iPhone / iPad / アンドロイド端末の指紋認証や顔認証（ Touch ID – Face ID )
• PCの生体認証

などを利用してリバースプロキシへの生体認証経由で、ターゲットWebへアクセスさせる構成例です。紛失や盗用されにくい生体認証を使用することにより「なりすまし」を防止することが可能です。認証方式としては、Webアクセス時の生体認証の標準規格である FIDO2 / WebAuthn を利用します。

【リバースプロキシの特徴】

1. バックエンドのWebのOSに依存しない
2. バックエンドのWebを隠蔽できる（セキュリティ上のメリット）
3. ブラウザのみで利用できる（プラグイン不要）

【既存Webの改修不要】

リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを中継することで「生体認証機能を付加＆パスワードレス認証」での運用に対応しています。

例　IIS / Web		例　WordPress

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【生体認証のポイント】

• 生体情報は偽造しにくい
• 生体情報は覚える必要がない
• パスワードレス認証に対応

【必要な機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォンや生体認証キー
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

　idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【生体認証対応リバースプロキシ】

生体認証連携に対応のリバースプロキシとしては、「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、生体認証の標準規格  「FIDO2 / WebAuthn 」に対応のidPと連携してSAML/OIDC認証で動作します。

【携帯ユーザー】

スマートフォンやタブレットのユーザーは、自身の保有する携帯端末内の生体認証器が使えるため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格  FIDO2 / WebAuthn に対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の FIDO2に標準対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【必要なユーザー環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【Webへ代理認証でのパスワードレス＆SSO構成】

SAML認証やOIDC認証に未対応のWeb

SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」へリバースプロキシからの代理認証でシングルサインオンで運用できます

• ターゲットWebの設置先　LAN / WAN/ DMZ
• ターゲットWebの改修は不要
• ターゲットWebへのリバースプロキシからの「ID/パスワード」の代理入力＆代理認証
• 生体認証によりパスワードレス認証でのSSOに対応

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ Face ID やTouch IDの認証機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ アンドロイド端末の顔認証や指紋認証の機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• スマートフォンの生体認証を利用したい
• パスワードレス認証で運用したい
• 海外や出張先のホテルからも安全にWebアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証連携に対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

Web認証の種類

ID・パスワード認証の他には、Web認証として

• ワンタイムパスワード認証
• SSLクライアント認証
• AD / LDAP 認証
• SAML認証 / OIDC認証
• 生体認証（ FIDO2 / WebAuthn )

などがあります。

認証方式の特徴など

◆idP連携のWeb認証機能に対応のアプライアンス

idPと連携のWeb・アプライアンスとしては、

　Powered BLUE Web for SSO / IDaaS

を利用すると、簡単に多要素認証のWebを構築・運用ができます。

Webアプライアンスの機能としては

• Webサイトの構築・運用
• idP連携のWebサイトの認証
• インターネットサーバー機能 ( Mail / Web / DNS )

を1台で運用することが出来ます。

Webサイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

◆対応の認証方式

【１】 Web & ワンタイムパスワード認証
【２】 Web & Private-CA + SSLクライアント認証
【３】 Web & ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】 Web & AD / LADP 認証 ( Active Directory連携 )
【５】 Web & SSLクライアント認証＋AD / LDAP 認証
【６】 Web & SAML認証 / OIDC認証 ( idP連携 ）
【７】 Web & パスワードレス生体認証（ FIDO2 / WebAuthn )

◆ワンタイムパスワード認証

ワンタイムパスワード認証対応のWebサイト構築・運用からユーザー管理・認証とインターネットサーバー機能を持つアプライアンス

ソフトエアトークン対応

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

構成

Webサイトアクセス時の手順

対応のモデルは
　Powered BLUE Web / OTP Auth

◆Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とWebまでを1台で運用

構成

SSLクライアント認証例

対応のモデルは
　Powered BLUE Private CA /

◆OTP/ワンタイムパスワード認証 ＋ SSLクライアント認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）ワンタイムパスワード認証

までを1台で運用

構成

Webへのアクセス時の手順

対応のモデルは
　Powered BLUE Web / Multi Auth

◆AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

Webへのアクセス時の手順

対応のモデルは
　　Powered BLUE Web for AD / LDAP Auth

◆SSLクライアント認証＋AD / LDAP 認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）AD認証連携

までを1台で運用

構成

Webへのアクセス時の手順

１）Webへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD / LDAP 認証
４）AD / LDAPの認証後にWebページを表示

対応のモデルは
　Powered BLUE Web / AD-LDAP Auth

◆SAML認証 / OIDC認証（idP連携）

iDaaS/idPと連携

Azure ADやiDaaS、idPと認証連携をして、SAML認証に対応のWeb（SP）として動作 します。シングルサインオン（SSO）での運用に対応しています。

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

シングルサインオン

G Suite / Salesforce / Office 365 …. などのアプリとシングルサインオンでアクセスが出来ます。

Webへのアクセス時の手順

①   SAML認証対応Webへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Web for SSO / IDaaS

◆パスワードレス生体認証（ FIDO2 / WebAuthn )

FIDO2対応のWebとして動作

生体認証器

生体認証としては、FIDO2やWebAuthnに対応の指紋認証や顔認証　などの「生体認証器」を利用します。

• AndroidやiPhone / iPad では、スマートフォンに内蔵の「指紋認証や顔認証」を利用

• PCでは、USBタイプの「指紋認証器」などを利用

指紋を登録（PCの場合）

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

Webへのアクセス時の手順（PCの場合）

① 生体認証対応のWebへアクセス（IDのみ入力）
② 指紋認証（セキュリティキーへタッチ）
③ 認証後にターゲットWebの表示

Webへのアクセス時の手順（スマートフォンの場合）

① 生体認証対応のWebへアクセス（IDのみ入力）
② 生体認証（ スマートフォンの顔認証や指紋認証を利用 ）
③ 認証後にターゲットWebの表示

対応のモデルは
　Powered BLUE Web for SSO / IDaaS

◆運用先

認証対応Webの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

◉リバースプロキシとは

既存で運用のWebサーバーの前段に「リバースプロキシ」を設置します。リバースプロキシ経由で既存のWebサイトへのアクセス構成にします。

リバースプロキシには、各種のWeb認証機能を持たせることが出来ます

• ワンタイムパスワード認証
• SSLクライアント認証
• AD / LDAP 認証
• SAML認証
• OIDC認証
• FIDO2生体認証

認証機能対応のリバースプロキシ経由で、既存のWebへアクセスさせることにより多要素認証での運用が構成できます。リバースプロキシ先としては、LAN内に設置のWebサーバーへのアクセスも設定できます。

リバースプロキシは、導入に際して

• リダイレクト先の既存Webを隠蔽
• リダイレクト先の既存Webの改修は不要

◉認証機能に対応のリバースプロキシ

各種の認証機能に対応のリバースプロキシ・アプライアンスとしては、

　Powered BLUE Reverse-Proxy

を利用すると、簡単に多要素認証での構成を簡単に構築できます。

WAN側に設置のWebへのアクセスに際しても、認証対応のリバースプロキシ経由で運用することが可能です。

◉リバースプロキシの設定

• 複数のリバース先を設定可能
• リバース先のポート (80 / 443 / 任意のポート番号） を指定
• ターゲットのWebまでSSL通信での運用が可能
• リバースプロキシーに Let’s Encrypt も利用可能

◉対応の認証方式

【１】 リバースプロキシ & OTP / ワンタイムパスワード認証
【２】 リバースプロキシ & Private-CA + SSLクライアント認証
【３】 リバースプロキシ & OTP / ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】 リバースプロキシ & AD / LADP 認証 ( Active Directory連携 )
【５】 リバースプロキシ & SSLクライアント認証＋AD / LDAP 認証
【６】 リバースプロキシ & SAML認証 やOIDC認証( idP連携 ）
【７】 リバースプロキシ & パスワードレス生体認証（ FIDO2 / WebAuthn )

◉OTP / ワンタイムパスワード認証

ソフトウエアトークン

Google Authenticator / Microsoft Authenticator などの無償のソフトウエア・トークンに対応

構成

リバースプロキシへのアクセス時の手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
3）2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy / OTP

◉Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とリバースプロキシまでを1台で運用

構成

SSLクライアント認証例

対応のモデルは
　Powered BLUE Private CA / Reverse-Proxy

◉OTP/ワンタイムパスワード認証 ＋ SSLクライアント認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）ワンタイムパスワード認証
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

対応のモデルは
　Powered BLUE WebStation

◉AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

リバースプロキシへのアクセス時の手順

対応のモデルは
　　Powered BLUE Reverse-Proxy for AD / LDAP Auth

◉SSLクライアント認証＋AD / LDAP 認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）AD認証連携
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD / LDAP 認証
４）AD / LDAPの認証後にリバース先のWebページを表示

対応のモデルは
　Powered BLUE Reverse-Proxy for AD Auth

◉SAML認証やOIDC認証（idP連携）

iDaaS/idPと連携

Azure ADやiDaaSなどのidPと認証連携をして、SAML認証やOIDC認証に対応のリバースプロキシとして動作 します。

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

リバースプロキシへのアクセス時の手順

①   SAML認証対応リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy for SSO / IDaaS

◉パスワードレス生体認証（ FIDO2 / WebAuthn )

FIDO2対応のリバースプロキシとして動作

生体認証器

生体認証としては、FIDO2 / WebAuthn に対応の指紋認証や顔認証などの「生体認証器」を利用します。

Android / iPhone / iPad では、スマートフォンに内蔵の「生体認証」機能を利用

アンドロイド携帯		iPhone / iPad

PCでは、USBタイプの「指紋認証器」などを利用

指紋を登録（PCの場合）

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

リバースプロキシへのアクセス時の手順（PCの場合）

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 指紋認証（セキュリティキーへタッチ）
③ 認証後にターゲットWebへリダイレクト

リバースプロキシへのアクセス時の手順（スマートフォンの場合）

アンドロイド携帯		iPhone / iPad

例　生体認証を利用したパスワードレス認証
（「スマートフォン の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 生体認証（ スマートフォンの顔認証や指紋認証を利用 ）
③ 認証後にターゲットWebへリダイレクト

対応のモデルは
　　Powered BLUE ReverseProxy for SSO / IDaaS

◉冗長構成

リバースプロキシで同期を行いHA運用にも対応

◉運用先

認証対応のリバースプロキシの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◉ターゲットWebアプリなど

リバースプロキシ先のWebアプリなど

サイボウズ

DeskNet’s

X-point

File-Blog

イントラマート

Active mail

Sharepoint

楽々Workflow

Poweregg

eValueNS

NIコラボスマート

Roundcube

WordPress

デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

Webサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を修正することなく導入できるメリットがあります。

生体認証を利用することでパスワードレス認証での運用が可能です。生体認証対応のリバースプロキシは AWSやVMwareESXi で運用する構成例です。iPhone / iPad やアンドロイド端末に内蔵のFIDO2 / 生体認証を利用してのアクセスが出来ます。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびターゲットWeb側の認証を行う統一規格です。

FIDO2 / WebAuthn の特徴は、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

生体情報の保護

FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

FIDO2生体認証のメリット

FIDO2 / WebAuthn による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

生体認証

FIDO2対応の生体認証には

• 指紋認証
• 顔認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。

スマートフォンやタブレット・ユーザーの場合には、端末に内蔵の「指紋認証や顔認証」などを利用できます。

指紋認証の特徴

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富（PCユーザー）
• USBタイプの認証器はPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10 / 11ではOSの標準機能で指紋登録ができる

必要な機器や環境

ユーザー側

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

システム側

idP / 生体認証対応		リバースプロキシ		SAML/OIDC認証に未対応のWeb

生体認証で社内Webへシングルサインオン

• idP / 生体認証（パスワードレス認証）
• SAML / OIDC認証対応のSSOリバースプロキシ（Webへの代理入力・代理認証機能）
• ターゲットWebへのSSO

* idPとリバースプロキシは、SAMLもしくはOIDC認証で連携
* ターゲットWebは、WAN / DMZ / LAN の任意の場所に設置

idP / 生体認証サーバー

生体認証に対応のidPとして

Powered BLUE for idP

が利用できます。

• 生体認証対応のidP
• SAMLやOIDC認証機能
• GUIから設定や運用

を有しています。

idPに連携のリバースプロキシ

リバースプロキシとしては　「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

代理認証

リバースプロキシからWebへ「ID / パスワード」を代理入力＆代理認証

• ユーザー操作でのWebへの「ID / パスワード」の入力不要
• SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成
• 既存Webの改修不要

リバースプロキシの設定

、「Powered BLUE Reverse-Proxy with SSO 」へリバースプロキシ先を登録します

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

生体認証器（PCユーザー）

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

指紋認証器へ指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

Windowsでのセキュリティキー（指紋認証器）への指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

Webへのアクセス手順

生体認証のステップ

PCユーザー

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証での運用のケース

（「認証器の所持認証」+「生体認証」＝　2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力 / パスワードレス）

② セキュリティキーにタッチ（指紋認証）

③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」＆Webへログイン

３要素認証での運用のケース

（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① 生体認証対応リバースプロキシへアクセス（ID & パスワード認証）

② セキュリティキーにタッチ（指紋認証）

③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」＆Webへログイン

スマートフォン・ユーザー

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ Face ID やTouch IDの認証機能を利用 ）
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」＆Webへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ アンドロイド端末の顔認証や指紋認証の機能を利用 ）
③ 認証後にリバースプロキシからターゲットWebへユーザー情報の「代理入力」＆Webへログイン

運用先

idP / 生体認証対応	リバースプロキシ

idPやリバースプロキシ・システムは

• AWS
• Azure
• FUJITSU Hybrid IT Service FJcloud-O  ( 富士通 )
• SDPFクラウド（ NTT communications )
• IndigoPro ( NTTPCコミニュケーションズ ）
• VMware / Hyper-V

などでの運用にも対応しています

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• 既存Webの認証機能を強化したい
• 既存のWebサーバー側の変更はしたくない
• スマートフォンの生体認証から利用したい
• VPNは負荷が高いので使いたくない
• 自社管理下でパスワードレス生体認証システムを運用したい

生体認証のWebを新規に構築

FIDO2 / WebAuthnに対応のWebサーバーを運用したい場合には

「Powered BLUE Web for SSO / IDaaS」を利用して、Webサイトの構築運用ができます。

自社管理で「新規にFIDO2 / WebAuthn 対応のWebサーバーを構築・運用」することに対応しています。

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください