複数のリバースプロキシ経由でアクセスさせることにより

• 負荷分散
• 経路分散

を図り、サイトの安全性を高める運用も可能です。

リバースプロキシの構成

リバースプロキシは、ターゲットのWordpressの前段に配置します。リバースプロキシ先の

• Webサイト名を隠蔽

することが出来ます。

WordPressがLAN内に設置の場合でも、リバースプロキシ経由でアクセスさせる運用に対応しています。

WordPressの改修不要

WordPress側に認証がない　もしくは　認証を強化したい場合、リバースプロキシで認証を行うことで、リダイレクト先のWordPressへアクセス時の認証の強化を図ることが出来ます。その際にWordPress / Web の改修は不要です。

リバースプロキシの認証としては、Microsoft Entra IDなどのidP とシングルサインオン連携できるSAML認証やOIDC認証で行います。

対応のリバースプロキシ

リバースプロキシとしては、SAML / OIDC認証に対応のID認識型リバースプロキシ

　「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

対応のidP

Microsoft Entra IDの他、SAML / OIDC認証をサポートの 一般的なidP に対応

• GMOトラストログイン
• Keycloak
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

アクセス手順（idPとリバースプロキシを連携）

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシ経由でバックエンドのWebサイトの表示

WordPress へSSO

WordPress側のWebを 「ID / パスワード」などの 認証で運用の場合、バースプロキシからWodrdPressのWebアプリケーションにユーザー情報「ID / パスワード」を代理入力＆代理認証を行いシングルサインオンを構成する運用にも対応しています。

これにより、WodrdPressのWebアプリケーションを改修することなく、SSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存で運用の Webアプリを改修をすることなく、SSOを実現

idP連携のリバースプロキシからWebへ代理認証でのSSO

Microsoft Entra ID / idP と リバースプロキシはSAMLやOIDCで認証を行います。

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています
   Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

SSOに必要な機器

1. idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 既存のWeb / WordPress（ 変更不要 ）
4. ブラウザ（ プラグイン不要 ）

SSO アクセス手順

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWordPressへ代理入力
4. WordPressのWebへ自動ログイン

各種Webへのシングルサインオン

一度のMicrosoft Entra ID / idP認証で、複数のWebシステムへSSOでアクセスできます

代理認証対応のリバースプロキシ導入のポイント

1. SAMLやOIDC認証に未対応のWebをSSO化できる
2. Webの改修不要
3. WebのOS不問
4. ユーザーからWebアプリへの ID / パスワード の入力操作は不要
5. ユーザーへのWebアプリの ID / パスワードの公開は不要
6. 一般的なブラウザで利用できる（プラグイン不要）

リバースプロキシの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用にも対応

お問合せ

ご質問やご相談など

KeycloakでのSSOシステム構成 パターン

Keycloakを利用した自社システムやSaaSのシングルサインオン構成

Powered BLUE アプライアンスとは

Powered BLUE アプライアンスは、Linuxベースの統合型アプライアンスです。Keycloakをはじめ、各種のOSSソフトウェアがプリインストールされています。

Powered BLUE アプライアンスを利用することで、Keycloakの導入や運用を簡単に行うことができます。またWebサイトやWordPress、roundcubeやMattermostなどの各種のサービスをシングルサインオンで運用できます。

SSO未対応Webは代理認証のリバースプロキシで対応

SAMLやOIDC認証に対応していない既存のWebアプリケーションについては、代理認証機能のリバースプロキシを利用することで、Webサイトの改修をすることなくシングルサインオンのメンバーとして組み込むことでSSOを実現します。

各種の機能に対応のPowered BLUE アプライアンス

• Keycloak / idP
• Mail / Web / DNS / ftp
• Web /  WordPress
• WebMail / roundcube
• ビジネスチャット / Mattermost
• 代理認証対応リバースプロキシ
• Private-CA (SSLクライアント証明書・発行・失効・認証）
• シスログサーバー

項目	Web	WebMail roundcube	ブログ WordPress	リバースプロキシ	代理認証リバースプロキシ SAML / OIDC 未対応WebのSSO
SSO対応 SAML / OIDC 認証

Keycloakアプライアンス（冗長構成に対応）

セキュリティや管理者の負担などを考慮したKeycloakのアプライアンスとして

　「Powered BLUE idP for Keycloak」

を利用出来ます。

Keycloak 設定

• データベース構成
• スタンドアローンやクラスター構成

クラスター構成

Mail / Web / DNS アプライアンス

インターネットサーバー機能のアプライアンスとして

　「Powered BLUE アプライアンス」

を利用出来ます。

項目	Web	MAIL	DNS	Firewall
機能
概要	SNI HSTS SSL証明書登録機能	SMTP/SMTPS POP/POPS IMAP/IMAPS DKIM/DMARC ドメイン認証	TXT SRV SPF	TCP/UDP ポート設定

SSO対応のWebサイトは

1. 一般的なコンテンツをアップロードのWebのサイト
2. WordPerssのWebサイト
3. roundcube / Webmail のWebサイト

の構築・運用に対応しています

一般的なWebサイト		WordPressのWebサイト		roundcubeのWebサイト
SSO		SSO		SSO

Keycloak でのSSO構成

• WebサイトにSAML / OIDC認証を設定

Webmail / roundcubeとKeycloak 連携時のシングルサインオン

1.  roudcube のログイン画面へアクセス
2.  初回は、idP / Keycloak へリダイレクトされて認証を求められます
3.  認証後に　roundcube のWebページが表示

代理認証対応リバースプロキシ・アプライアンス

idP連携のSAMLやOIDC認証の代理認証対応のID認識型リバースプロキシ

　「Powered BLUE Reverse-Proxy with SSO 」

を利用します。

代理認証対応のリバースプロキシでSSO

既存のWebサイトがSAMLやOIDC認証に未対応の場合、SAMLやOIDC認証対応の代理入力機能を持つリバースプロキシは、Keycloak / idPがユーザーの認証を行い、認証に成功するとリバースプロキシがWebアプリケーションにユーザー情報「ID / パスワード」を代理入力します。

これにより、既存のWebサイトを改修することなくSSOに対応させることができます。

特徴

1. ユーザーは、Webアプリの 「ID / パスワード」 の入力不要
2. ユーザーには、Webアプリの「ID / パスワード」の公開は不要
3. 既存Webは改修不要
4. ブラウザのみで利用（プラグイン不要）

構成

既存の「Webサイト」は WAN / DMZ / LAN の任意の場所の設置に対応しています
サードパーティ製のWebアプリや他社のWebサービスなどのSSO化も対応可能です

代理認証時のSSO手順

1. 代理認証のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
4. バックエンドのWebへ自動ログイン

ビジネスチャット・オープンソース版のMattermost でSSO

Slack 互換のMattermostは、オンプレ環境にも対応の高機能なチャットツールです。ただしSAMLやOIDC認証によるシングルサインオンに関しては有償版での提供となっており、標準の場合にはオープンソース版のTeam Edition ではSSO利用ができません。

オープンソース版のMattermost でシングルサインオンを構成する方法

1. 代理認証対応のリバースプロキシ
2. WebサイトでのMattermostの構築・運用

を連携させてSSOを構成します

代理認証対応のリバースプロキシとMattermostを同一サイトで運用のSSO構成

• ReverseProxy + Mattermost = オールインワンで運用

代理認証対応のリバースプロキシとWebアプリのMattermostの分離運用も可能

Powered BLUE Private-CAアプライアンス

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　SSLクライアント認証

SSLクライアント認証で Keycloakへの多要素認証（MFA）

1. SSLクライアント認証
2. ID/パスワード認証

SSLクライアント認証　〇

SSLクライアント認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃への対応	ブロック　〇	ブロック

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」での設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

サーバーのセルフチェック機能により

• 外部の監視サービスを利用しない運用に対応

アプライアンスの運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / ALTUS / VPSなど

ご質問やご相談など

idPとSP

• idP (identity Provider ) はユーザーのアカウントを管理および認証を行う機能
• SP（Service Provider ) はSAML認証時、ユーザー側が利用するアプリケーション

* OIDC認証時は、SPではなくRP(Relying Party)という名称になります

運用構成

• WordPressでSAML / OIDC認証を行う
• WordPressは任意のディレクトリにSAML / OIDC認証を設定
• WordPressにはユーザーアカウントの作成無しでも認証を行わせる
• idPとしては、iDaaS のAzure AD や Keycloak 他のidPと連携を行う
• WorsPressは、SAML / OIDC認証に対応のPowered BLUEを利用する

WordPress

WordPressは、SAML/OIDC認証に対応のWebアプライアンス

「Powered BLUE Web for SSO / IDaaS」

で構築運用します。

機能としては

• 仮想サイト機能
• WordPressの構築運用
• SAMLやOIDC認証（SP機能）
• SSLサーバー証明書登録（Let`s Encryptにも対応）
• Mail / DNS / 他

を有しており、GUIからすべての設定を行うことが出来ます。

WordPressの作成

「ブログを追加する」ボタンを押すと「WordPress」がセットアップされます

/sales にWordPressを配置の例

• トップディレクトリなど、任意のディレクトリにWordPressを配置出来ます

認証設定

• SAML認証　もしくは　OIDC認証　を設定します

* Web サーバーの機能として、SAMLやOIDC認証を有しています
* 任意のディレクトリにSAMLやOIDC認証を設定可能
* WordPress側にユーザーアカウントなしでSAMLやOIDC認証を設定可能
* WordPressの各種SAMLやOIDC認証のプラグインは使いません

例　top ページはSAML認証無しで運用　特定のディレクトリ以下にSAML認証を設定可能

1. /   　　 SAML 認証しない
2. /sales   SAML 認証する

idP（アイデンティティ・プロバイダ）

idPとしてはSAMLやOIDCに対応の

• Azure AD
• GMOトラストログイン
• OneLogin
• Okta
• G Suite
• CloudGate Uno
• OpenAM
• Keycloak
• 他

などと連携が出来ます。

Azure ADとのSAML認証の場合

• SAML認証を利用出来る「Azure AD Premium」が必要です

アプリの登録

• Azure ADへSAML認証の独自アプリとして登録します

xmlファイル

• idP側のxmlファイルとSP側のxmlファイルを、それぞれお互いに登録します

idp側のxmlを読み込み

• idPメタデータファイル(xml)をクリックして、SP側へ登録します

idPに読み込むメタデータファイルの指定（SP側のxmlファイル）

• SP側から出力のxmlファイルをAzure ADへ登録します

SSOでの認証ステップ

1.  WordPressのサイトへアクセス
2.  初回のみ idP へアクセス ( シングルサインオン ）
3.  idPの認証後にターゲットのWordPressサイトの表示

WordPressのWebサイトへのアクセス認証をスマートフォンやタブレットに内蔵の指紋認証や顔認証を使って行う構成です。

生体認証はIDパスワードのような「なりすまし」が可能な認証と異なり、第三者の「なりすまし」を防ぎ厳密な認証を行ってのWebへのアクセス運用が出来ます。

FIDO2/生体情報の保護

FIDO2とは、生体認証などを利用してWebへログインできる標準の規格です。

スマートフォンの生体認証はFIDO2に対応しており、指紋情報や顔情報などの生体情報をスマートフォンの外部に出すことなく、Webサイトへのアクセス認証を行うことが出来ます。

必要な機器や環境

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

Webシステム

生体認証対応idP連携  Web		運用先

* AWS / Azure やVMware / Hyper-V などのクラウドや仮想基盤での運用に対応

今回の構成

Web・システムとしては、生体認証対応のidP と連携の　「Powered BLUE Web for SSO / IDaaS」を利用して構築＆運用します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• WordPressで作成のWebを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい

【こんな用途に】

• シングルサインオンのWebを構築したい
• Azure AD の認証を利用したい
• 認証はOpenID Connectを利用したい
• 管理者の負担を増やさずにWebを運用したい

【必要な機器構成】

Azure AD　⇔　< OIDC >   ⇔   Web

• Azure AD / OP
• ターゲットWeb / RP

【OIDC対応Web / RP 】

今回は、OIDC認証やSAML認証に対応のWebアプライアンス　「Powered BLUE Web for SSO / IDaaS 」を利用します。

• マルチドメイン・マルチサイトでの構築運用に対応
• サイト毎にOIDC認証やSAML認証の異なるWeb認証での運用に対応
• サイト毎に個別のサイト管理者に権限を委譲での運用に対応
• ユーザーアカウント無しでの認証に対応
• GUIからの設定の対応
• 自社環境での運用に対応
• アプライアンスでの‘提供
• Let’s Encrypt対応
• WordPress対応
• OS　RockyLinux 8.x / RedHat 8.x に対応

【構成図と設定概要】

【OP / RP の設定手順】

• • • 1.1. 仮想サイト（Webサイト）の作成
    • 1.2. 仮想サイトにOIDC認証を設定
    • 1.3. Azure ADにOIDC認証を設定
    • 1.4. 仮想サイトにWebコンテンツをアップロード
    • 1.5. 動作確認

【Web / RPの設定】

「Powered BLUE Web for SSO / IDaaS」での設定例です

OIDC認証やSAML認証機能を有したマルチドメイン・マルチサイトで運用できるWebアプライアンスです。

【仮想サイトの作成】

OIDC認証を設定するWebサイト　「www.example.jp」 　を作成します。

Web認証として

• SAML 2.0
• OpenID Connect

を選択できます。

今回は「OpenID Connect」を選択します

【Azure ADの設定】

「Azure Active Directory」を選択

【アプリケーションの登録】

「アプリの登録」を選択

【アプリケーションの新規登録】

「＋新規登録」を選択

【アプリケーションの名称設定】

例　keycloak-oidc　（名称は適宜設定します）

「登録」ボタンを押します

「エンドポイント」を選択

「OpenID Connect メタデータ ドキュメント」をコピーしてweb側へ登録します

「Azureメタデータ」を選択します

【Azure ADからファイルの読み込み】

「Azure メタデータ設定ファイルのインポート」の項にAzure AD側の

• 「OpenID Connect メタデータ ドキュメント」

のURLをペーストして「インポート」ボタンを押します

【データのインポート】

Azure AD側の情報が登録されます

Web側の「リダイレクトURI 」をコピーしてAzure ADの「リダイレクトURI」へに登録します。

【プラットフォームを追加】

「＋プラットフォームを追加」で選択します。

「Webアプリケーション」を選択

「リダイレクトURI」へ「Web側のリダイレクトURI」を登録します

「構成」ボタンを押して、設定を保存します

【Azure AD】

「アプリケーション（クライアント）ID」 をWeb側の「クライアントID」の項に登録

「証明書とシークレット」を選択

【シークレットの作成】

「＋新しいクライアントシークレット」を押す

• 名称　適宜設定　例　for-keycloak-oidc
• 有効期間　例　6ケ月
• 「追加」ボタンを押す

*クライアントシークレットの有効期間は重要です

【クライアント・シークレット】

Azure ADの「シークレットの値」を　Web側の「シークレット」の項に登録します

「クライアントID」と「シークレット」に登録して「保存」ボタンを押します。

OIDCを有効にするに を入れて「保存ボタン」を押します

【認証ディレクトリ】

WebサイトにOIDC認証を適用するディレクトリを設定します

例　/test にOIDC認証を設定

• https://www.example.jp/　　　　 認証なし
• https://www.example.jp/test  に　OIDC認証

【OIDC認証対応のWeb サイト機能】

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。

https://www.example.jp/　以下に適宜、

①「Webコンテンツをアップロード」

もしくは

②「WordPress でコンテンツを作成」

します。

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

【Azure ADにログイン・ユーザー作成】

ここではAzure AD に新しいユーザーを作成します。

「+新しいユーザー」を選択

アカウント

• ユーザー名　keycloak-user
• 姓　user
• 名　keycloak
• パスワード　keycloak-test

＊　keycloak-user@tenant-name.onmicrosoft.com でE-mailアカウントが作成されます

【アクセス手順】

① https://www.example.jp/test にアクセス

② 初回は、Azure ADへリダイレクトされて認証を求められます

• アカウント　keycloak-user@tenant-name.onmicrosoft.com
• パスワード　keycloak-test

③ 認証後に　https://www.example.jp/test　のWebページが表示されます

【アプライアンスの簡単運用】

情シスの負担軽減での運用にも対応

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【アプライアンス運用先】

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

【KeycloakでのWeb認証構成】

ID管理のOPとしてはAzure ADの他に、Keycloakなどでも同様の構成が出来ます。

1. Azure ADの費用を抑えたい場合
2. 自社でOPを運用したい場合

には有効な選択枝です。

　Keycloak とSAMLやOIDC認証対応Webの構成例

• ID管理　Keycloak ( OpenID Provider / OP )
• OpenID 認証対応のWeb（ Relying Party / RP ）

【こんな用途に】

• Webサイトに認証を設定したい
• IDは一元管理したい
• 管理者の負担を少なくして運用したい
• Active Directoryのデータで認証したい（社内ADと連携）
• SSLクライアント認証やワンタイムパスワードなど多要素認証で運用したい（MFA）
• Azure ADなどは費用が高額になるので利用できない

【Keycloak / OP 】

一般のKeycloakを利用できます。

【Keycloak / アプライアンス 】

またKeycloakとしては、　「Powered BLUE for idP 」のKeycloakアプライアンスを利用することも出来ます。

【GUIからの設定 】

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの各種設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ内蔵
• SSLクライアント認証（多要素認証）
• SSLサーバー証明書の登録
• OSなどの自動パッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

コマンドラインからのプログラムのインストールや設定は不要

( 画面のイメージをクリックで拡大表示 ）

「Powered BLUE for idP 」では

１）Keycloakを直接443ポートでの運用

２）リバースプロキシとの同居での一体運用

の2方式に対応しています

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で運用

• リバースプロキシ経由でKeycloakへアクセスさせる構成です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  httpポート設定
443 / 8080 / 80  /etc

KeycloakのDB設定からHA構成

• DB選択や構成（ 内部DB / 外部DB ）
• スタンドアローンやクラスター構成

• クラスター構成

【Keycloakのバックアップ】

• Keycloakのデータバックアップやリストアに対応

【Keycloakのバージョンアップ 】

バージョンアップ前　例　18.0.1

バージョンアップ後　例　19.0.1

Keycloakへのアクセス(443)

【認証対応のWeb（RP）】

• 自前でOIDC認証対応のWebを構築して運用
• SaaSでの運用にも対応

Webとしては、OIDC認証やSAML認証に対応のアプライアンス　「Powered BLUE Web for SSO / IDaaS」を利用することも出来ます

• マルチドメイン・マルチサイトでの運用に対応
• サイト毎にOIDC認証やSAML認証の異なる認証での運用に対応
• サイト毎に個別のサイト管理者に権限を委譲での運用に対応
• ユーザーアカウント無しでの認証に対応
• GUIからの設定の対応
• 自社環境での運用に対応
• アプライアンスでの‘提供
• Let’s Encrypt対応
• WordPress対応
• OS　RockyLinux 8.x / RedHat 8.x に対応

【構成例】

• Keycloak / OP 　⇔　Web / RP
• OpenID Connect / OIDCでの認証

【設定手順の概要】

1. Keycloak / OP の設定
   • 1.1. レルムの作成
   • 1.2. クライアントの作成
   • 1.3. ロールの作成
   • 1.4. ユーザーの作成とロールの割り当て
   • 1.5. OIDC設定ファイル(json)のダウンロード
2. Webサイト / RP の設定
   • 2.1. 仮想サイトの作成
   • 2.2. KeycloakのOIDC設定ファイル（json)のアップロード
   • 2.3. OIDC認証の適用ディレクトの指定
   • 2.4. Webコンテンツのアップロード

【Keycloakの設定】

• Keycloakの管理GUIへは運用時のFQDN / IP でアクセスします
• IPアドレスでアクセスすると、生成されるURLなどもIPベースとなります

【レルムの作成】

名称設定　例　rev-o

作成後　rev-o

【クライアントの作成】

• クライアントID　例　oidc-demo-client　（名称は適宜付与）
• クライアントプロトコル　選択　openid-connect
• アクセスタイプ　選択　confidential
• 有効なリダイレクトURL  例　 https://www.example.jp/oidc/redirect_uri

＊　有効なリダイレクトURLは、Web / RP側のOIDCのURLを記載します

【ロールの追加】

ロールを割り当てられたユーザーのみがアクセスできます

例　oidc-demo-role

【ユーザーの作成】

• ユーザー名　demo
• メールアカウント　demo@example.jp

【パスワードの設定】

作成したユーザーの「クレデンシャル」を選択してパスワードを設定します

【ユーザーへロールのアサイン】

例　oidc-demo-role　をアサイン

【OIDCの設定ファイル】

Keycloak からOIDC設定ファイルのダウンロード

例　oidc-demo-client の編集をクリック

「インストール」タブをクリックしてjsonファイルを「ダウンロード」します

【JSONファイルのダウンロード】

【Web / RPの設定】

「Powered BLUE Web for SSO / IDaaS」での設定例です

OIDC認証やSAML認証に対応のWebサイト機能を有したアプライアンスです。

【仮想サイトの作成】

www.example.jp サイトを作成します

【KeycloakからダウンロードのJSONファイルの読み込み】

【データのインポート】

「初期設定」ボタンで読み込みデータを保存します

【OIDCの有効化】

「OIDCを有効にする」に を入れて「保存」ボタンを押して適用します

【認証ディレクトリ】

OIDC認証を適用するディレクトリを設定します

例　/test にOIDC認証を設定

• https://www.example.jp/　　　　 認証なし
• https://www.example.jp/test  に　OIDC認証を設定

【OIDC認証対応のWeb サイト】

• 一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応
• 任意のディレクトリに認証を設定

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

【アクセス手順】

① https://www.example.jp/test にアクセス

② 初回は、Keycloak へリダイレクトされて認証を求められます

• アカウント　demo@example.com
• パスワード　xxxxxxxx

③ 認証後に　https://www.example.jp/test　のWebページが表示

【アプライアンスの簡単運用】

情シスの負担軽減での運用にも対応

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

• 仮想基盤へ仮想サーバーのイメージインポートでの運用が可能

サーバーの自己監視機能や自動再起動機能により

• 外部の監視サービスを利用しない運用に対応

【アプライアンスの構成や運用先】

•     OS  RockyLinux 8.x  /  RedHat 8.x （OSは選択）
• 　Keycloak（アプリ）
• 　GUIでのサーバーやアプリの設定

クラウド環境や仮想基盤、及びオンプレなどの自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

【Keycloakを多要素認証で運用】

Keycloakのデフォルト認証は、ID/パスワード認証です。Keycloakの認証を強化する方法としては

• ワンタイムパスワード認証
• SSLクライアント認証

などを設定して多要素認証での運用が可能です。

SSLクライアント認証の構成

有効なSSLクライアント証明書の場合

① SP にアクセス
② idP / Keycloakの認証
（初回のみ / SSO / SSLクライアント認証）
③ 認証の成功後　ターゲットのWebを表示

有効なSSLクライアント証明書の無い場合

ワンタイムパスワードの認証手順

① ワンタイムパスワードの表示
② SPにアクセス
③ idp / Keycloakの認証（初回のみ）
ID / パスワード / ワンタイムパスワード入力
④ 認証の成功後　ターゲットWebを表示

ご質問やご相談など

一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

ユーザー側の機器としては、スマートフォンやタブレット、パソコンなどのFIDO2 / WebAuthn 生体認証に対応の機器からのアクセスに対応しています。

FIDO2対応のWebサイトとしては、一般的なWebコンテンツの他、WordPressで作成のWebサイトの生体認証の構築・運用にも対応しています。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証対応Webシステム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2生体認証対応のidPと連携のWeb・システムとしては、「Powered BLUE Web for SSO / IDaaS」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• ISMAPに対応

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【生体認証対応のWebサーバー】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

• Web サイトには、ユーザーアカウントは作成不要での運用に対応

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　WordPress の　メガネ　マークをクリック

WordPressをインストール＆セットアップします

• WordPressには、ユーザーアカウントは作成不要での運用に対応
• WordPressは最新版にアップデートできます

【生体認証器　PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Webへのアクセス手順】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応Webへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• スマートフォンの生体認証を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 固定予算内での運用を行いたい
• 国内のクラウド基盤で運用したい

【既存のWebへ生体認証でアクセスするには】

すでに既存で運用のWebサイトへ生体認証でアクセスさせるには

　生体認証対応のidPと連携のリバースプロキシ

で対応します。

既存のWebサイトを改修することなく「生体認証システム」の導入が可能です。

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

Webサイトの認証に、スマートフォンやタブレット、パソコンの指紋認証や顔認証を利用できます。

FIDO2対応のパスワードレス認証のWebサイトとしては、一般的なWebサイトの他、WordPressでのWebサイトの構築運用にも対応しています。

FIDO2規格

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザと認証idPサーバー間の規格）

FIDO2では、

認証器（セキュリティ・キー）を利用することにより「なりすましを防止」してパスワードレス認証を行います。

生体情報の保護

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

生体認証

FIDO2対応の生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。

スマートフォンやタブレット・ユーザーの場合には、内蔵の「指紋認証や顔認証」などを選択して利用します。

指紋認証の特徴

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10 / 11 の標準機能で指紋登録ができる

必要な機器や環境

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

今回の構成

FIDO2 生体認証対応の idP / Web システム

認証サーバー / idP （アイデンティティ・プロバイダー）

  idP「Powered BLUE for idP 」を利用します

Keycloakの機能を有したアプライアンスです

Webサーバー / SP （サービスプロバイダー）

  Web「Powered BLUE Web for SSO 」を利用します

idPとWebはSAML認証やOIDC認証で連携します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

* Web サイトには、ユーザーアカウントは作成不要での運用にも対応しています

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　「WordPress の」　メガネ　マークをクリック

WordPressをインストール＆セットアップします

* WordPressには、ユーザーアカウントは作成不要での運用に対応

*最新版のWordPressへアップデートできます

生体認証器（PCユーザー）

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

指紋認証器へ指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

Windowsでのセキュリティキー（指紋認証器）への指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• Webサイトのアクセスを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい
• VPNは負荷が高いので使いたくない

既存のWebへ生体認証でアクセスするには

すでに既存で運用のWebサイトへ生体認証 / パスワードレスでアクセスさせるには

　SAML/OIDC認証に対応のSSOリバースプロキシ

で対応します。

SAML / OIDC認証に対応のリバースプロキシ側からWebシステムへのユーザーID・パスワードの「代理入力」機能により

• パスワードレス認証
• シングルサインオン

での運用が可能です

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② idPでの生体認証
③ リバースプロキシからWebへID/パスワードの代理入力＆Webサイトへ自動ログイン

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

リバースプロキシは、生体認証の一つである「指紋認証」を利用してパスワードレス認証で運用します。強力な「本人確認」機能により「なりすまし」を防止することが可能です。パスワードレス認証機能のリバースプロキシは、VMware やHyper-Vでの運用に対応しています。複数のバックエンドWebへのアクセス処理を1台の生体認証対応のリバースプロキシで運用できます。

【ターゲットのWebなど】

サイボウズ		デスクネッツ		WordPress

【なりすまし防止＆リバースプロキシ構成】

LANに限らず、クラウドやWAN側に設置のWebについても

• 生体認証対応のリバースプロキシ経由でのアクセスに限定

することにより厳密な「本人確認」を行った上で、ターゲットWebへアクセスさせる運用に対応。

既存Web側に　「認証機能がない」　もしくは　「認証機能が脆弱」　なケースでも導入ができます。既存Web側の改修は不要です。

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2では、認証器を利用することによりフィッシングを防止してパスワードレス認証を行います。

【生体情報の保護】

認証器による生体情報の保護

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【利用のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

【生体認証】

FIDO2対応の生体認証としては

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。

【指紋認証の特徴】

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCから利用できる
• Windows10の標準機能で指紋登録ができる

【必要な機器や環境】

ユーザー側	汎用のPC
	ブラウザ
	生体認証器
システム	生体認証対応リバースプロキシ
運用先	VMware / Hyper-V

【今回の構成】

生体認証対応のidPと認証連携のリバースプロキシ・システムとしては 「Powered BLUE ReverseProxy for SSO / IDaaS」を利用します。

【VMware / Hyper-V 基盤へのインポート】

「Powered BLUE ReverseProxy for SSO / IDaaS」の仮想アプライアンス・イメージを VMware ESXiや Hyper-V 基盤へインポートします。

【リバースプロキシの設定】

、「Powered BLUE ReverseProxy for SSO / IDaaS」へリバースプロキシ先を登録します

• 複数のリバース先 / バックエンドの設定に対応
• リバース先のポート( http / https / 任意のポート番号）に対応
• 終端までSSL通信での運用に対応
• リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能
• TLSレベルの指定に対応

【生体認証器】

生体認証としては、「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。

【指紋認証器へ指紋登録の手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー(指紋認証器）への指紋登録方法】

* Windows10ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

【生体認証時のターゲットWebへのアクセス手順】

例　パスワードレスでの運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証  ）

• 生体認証対応リバースプロキシへアクセス（ IDのみ入力 / パスワードレス）
• セキュリティキーにタッチ（ 指紋認証 ）
• 認証後にターゲットのWebへリダイレクト

【こんな用途に】

• Webアクセス時の「なりすまし防止」＆「本人確認」を行いたい
• 既存Webサーバーの変更はしたくない
• ブラウザでアクセスさせたい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• パスワードレス認証システムを利用したい

【VMware / Hyper-V 以外での運用先】

生体認証対応のリバースプロキシ・システム　「Powered BLUE ReverseProxy for SSO / IDaaS」は

• AWS
• Azure
• FUJITSU Hybrid IT Service FJcloud-O（富士通のクラウド基盤）

などでの運用にも対応しています

【携帯端末の生体認証】

アンドロイドやiPhone / iPad の指紋認証や顔認証を利用したい場合には、携帯の生体認証に対応のリバースプロキシを利用

携帯の生体認証に対応のリバースプロキシ「Powered BLUE ReverseProxy for SSO / IDaaS」

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト