• 東京リージョン /  HVM / EBS-Backed

Powered BLUE では、以下のようなインターネットサーバー機能をAWS上の1台での運用にも対応しています

AMIの選択

サーバータイプを選択します

（例　t2.micro / t2.small / t2.medium などから選択）

運用環境　最小スペック  1CPU / 1GB Memory / Ether x 1

VPNでアクセスの場合には、グローバルIPはアサインの必要はありません
インターネット側からアクセスの場合には、グローバルIPのアサインが必要です
すでに保有している固定IP（Elastic IP) をアサインしても構いません （推奨）

サーバーの起動後に、GUIでウイザードを実行します。GUIへのアクセスポートは　http 81 / 444 番です　firewallには TCP 81/444番 を通過させる設定が必要です

サーバーへのアクセス    例　http://54.65.86.66:444

Start ボタンを押します

Accept ボタンを押します

管理サーバー名などを入力します

DNS などはAWSのデフォルトで設定されたものでも構いません。自社で独自に構築するのであれば、適宜指定します。

サーバーのIP/Gatewayなどは、変更せずにこのまま利用します。

adminのパスワードを入力します。

Languageに日本語を選択すると、GUI表示は日本語となります。

Time-Zoneなどを適宜選択します

ウイザードの終了後に、サーバーへ再ログインします

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

管理サイト

NTPサーバーを指定します

Powered BLUEは、管理サイトと仮想サイトを1個の同一ＩＰでの運用および異なるIPでの運用に対応しています

1個の同一ＩＰで管理サイトと仮想サイトを運用の場合 （グローバルIP=1個）

httpのアクセスの場合には、アクセスポートなどで振り分けを行います

管理サイトは444番　仮想サイト側は80番や443番でのアクセスとなります

SNI対応なので、仮想サイト側は複数のWebサイトの常時SSL化を固定IPアドレス1個での運用が出来ます

• 　　管理サイト-port 444　　IP 10.0.0.10    b860-demo.mubit.com
•             http://b860-demo.mubit.com：444/
• 　　仮想サイト1-port 80　IP 10.0.0.10    kasou.xxx-yyy-zzz.com
•             http://kasou.xxx-yyy-zzz.com/
•      仮想サイト2-port 443　IP 10.0.0.10    kasou2.xxx-yyy-zzz.com
•             https://kasou2.xxx-yyy-zzz.com/
•      仮想サイト3-port 443　IP 10.0.0.10    kasou3.xxx-yyy-zzz.com
•             https://kasou3.xxx-yyy-zzz.com/

尚、利用しているDNSに、管理サイト、仮想サイト1、仮想サイト2　IP 10.0.0.10

• 　　b860-demo.mubit.com
• 　　kasou.xxx-yyy-zzz.com
• 　　kasou2.xxx-yyy-zzz.com

の登録を行ないます

443番(SSL)で仮想サイトへアクセスの場合には、仮想サイトへ証明書 (自己証明やパブリックなサーバー証明書) を登録します　（Let’s Encryptにも対応）

管理サイトと仮想サイトに異なるIPをアサインの場合　(複数のグローバルIPをアサインする）

AWSのNetwork Interfaces から　アサインしたいサーバを選択してactionsタブのManagement Private IP Addressから自動もしくは手動でプライベートIPをアサインします。

• 既存　　プライベートIP 10.0.0.10  はグローバルIP 54.65.17.7 へアサイン済
• 新規　　プライベートIP 10.0.0.11 を入手

Elastic IPsからAllocate New addressのVPC タイプで新規のグローバルＩＰを入手します

新規にグローバルIP  54.65.47.1 を入手

サーバーを選択して、入手した新規のグローバルIPを新規のプライベートIPへアサインします

• グローバルIP  54.65.47.1 をプライベートIP 10.0.0.11へアサイン

一台のサーバーに2個のIPがアサインされています

• 既存　　プライベートIP 10.0.0.10  — グローバルIP 54.65.17.7 へアサイン
• 新規　　プライベートIP 10.0.0.11  — グローバルIP 54.65.47.7へアサイン

仮想サイトを作成

• 仮想サイトをプライベートIP 10.0.0.11 　サイト名　kasou.xxx-yyy-zzz.com で作成します

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【ログの長期保存やトラップ（オプション）】

syslog サーバーとしても運用が出来ます

• シスログ送信・中継・受信の３モードでの同時運用に対応
• 拠点間のログの安全な送受信
• port指定に対応 ( UDP / TCP / RELP / TLS )
• TLS認証に対応
• 送信キューに対応

• 複数サーバーのログ受信および保存

ログの保存期間 (設定例）

• 受信ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年

【Powered BLUE サーバー設定】

• AWSへの Powered BLUE サーバー設定後の引き渡しにも対応
• 社内監査対応など

Powered BLUEの　　デモサーバー

基本操作 / Web /  リバースプロキシ / SSLクライアント認証 / 仮想サイト などのデモが出来ます

ご質問やご相談など

ID管理のKeycloakとOIDC認証対応のリバースプロキシ機能の組み合わせで、認証連携を行う場合の構成例です。ターゲットのWebサイトには、OIDC認証に対応のリバースプロキシ経由で既存Webへアクセスさせることが出来ます。

従来から運用のWebアプリは、SSOに対応していないことがほとんどです。その場合にはリバースプロキシを経由することで、既存のWeb側の改修は不要で OpenD Connect 認証機能や代理入力&代理認証によりシングルサインオンでの運用に対応します。

• ID管理　Keycloak ( OpenID Provider / OP )
• 認証対応のリバースプロキシ（Relying Party / RP）

【こんな用途に対応】

• Keycloakの利用でidPの費用を抑えたい
• SAML / OIDC未対応のWebを改修不要でSSOしたい
• 自社WebをSaaS対応にしたい
• メーカー製Webアプリを改修不要でSSOで利用したい
• ユーザーにWebアプリの ID / パスワードを入力させたくない
• ユーザーにWebアプリの ID / パスワードを公開したくない
• ブラウザのみで利用したい
• Active Directoryで認証したい（社内ADと連携）
• 既存のWebサイトを多要素認証に対応させたい
• VPNは負荷が高いので利用は避けたい

【Keycloak / OP】

一般的なKeycloakを利用できます。

またKeycloakとしては、　「Powered BLUE for idP 」のKeycloakアプライアンスを利用することも出来ます。

Keycloakアプライアンスの機能

Keycloakのアプライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLクライアント認証
• SSLサーバー証明書の登録
• OSなどのパッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

コマンドラインからのプログラムのインストールや設定は不要

構成　例

①   リバースプロキシ構成（有・無）

ダイレクトアクセス・モード　Client ⇒   ( 443 / Keycloak )

• Keycloakを直接443番ポートで運用します

リバースプロキシ・モード　　Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

• リバースプロキシ経由でKeycloakへアクセスする運用です

②  パス設定　（Quarkusでも任意のパスを指定できます）
https:// idp.keycloak.com / auth /

③  http・https ポート設定
443 / 8080 / 80  /etc

スタンドアローンやクラスター構成　DBセットアップ

クラスター構成

keycloak バージョン管理

例　ver 18.0.1 から19.0.1 へアップグレード

keycloak バックアップ

【認証対応のリバースプロキシ（RP）】

リバースプロキシとしては、OIDC認証やSAML認証に対応の　「Powered BLUE Reverse-Proxy for SSO / iDaaS」を利用することが出来ます。

• マルチドメイン・マルチサイトでのリバースプロキシでの運用に対応
• サイト毎にOIDC認証やSAML認証の異なる認証での運用に対応
• サイト毎に個別のサイト管理者に権限を委譲での運用に対応
• 代理認証機能
• ヘッダー認証機能

【構成例】

今回のOIDC認証連携の構成パターンです

• Keycloak / OP 　⇔　Reverse-Proxy / RP  　⇔　Web
• OpenID Connect / OIDCでの認証

【設定手順の概要】

1. Keycloak / OP の設定
   • 1.1. レルムの作成
   • 1.2. クライアントの作成
   • 1.3. ロールの作成
   • 1.4. ユーザーの作成とロールの割り当て
   • 1.5. OIDC設定ファイル(json)のダウンロード
2. リバースプロキシ / RP の設定
   • 2.1. リバースプロキシの仮想サイトの作成
   • 2.2. KeycloakのOIDC設定ファイル（json)のアップロード
   • 2.3. OIDC認証の適用ディレクトの指定
   • 2.4. リバースプロキシの設定

【Keycloakの設定】

【レルムの作成】

名称設定　例　rev-o

作成後　rev-o

【クライアントの作成】

• クライアントID　例　oidc-demo-client　（名称は適宜付与）
• クライアントプロトコル　選択　openid-connect
• アクセスタイプ　選択　confidential
• 有効なリダイレクトURL  例　 https://www.example.jp/oidc/redirect_uri 

＊　リダイレクトURLは、リバースプロキシ / RP側のOIDCのURLを記載します

【ロールの追加】

ロールを割り当てられたユーザーのみがアクセスできます

例　oidc-demo-role

【ユーザーの作成】

• ユーザー名　demo
• メールアカウント　demo@example.jp

【パスワードの設定】

作成したユーザーの「グレデンシャル」を選択してパスワードを設定します

【ユーザーへロールをアサイン】

例　oidc-demo-role

【OIDCの設定ファイル】

Keycloak からOIDC設定ファイルのダウンロード

例　oidc-demo-client　編集をクリック

例　インストール　を選択

【JSONファイルのダウンロード】

keycloak / OP側 のjson形式の設定ファイルをダウンロードします

【 RPの設定】

Keycloakアプライアンス    「Powered BLUE Reverse-Proxy for SSO / iDaaS」でのOIDCの設定例です

【リバースプロキシのサイト作成】

リバースプロキシの仮想サイト　www.example.jp 　を作成します

【KeycloakからダウンロードのJSONファイルの読み込み】

【データのインポート】

「初期設定 」ボタンでデータを保存します

【OIDCの有効化】

「OIDCを有効にする」に を入れて「保存」ボタンを押して設定を適用します

【認証ディレクトリ】

OIDC認証を適用するディレクトリを設定します

例　/test にOIDC認証を設定

https://www.example.jp/test  　ディレクトリにOIDC認証を設定

【リバースプロキシを設定】

• リバース元　https://www.example.jp/test/　（OIDC認証）
• リバース先　https://www.xyz.com/

「変更を適用する」ボタンを押して適用します

client   ⇒　https://www.example.jp/test/　⇒　https://www.xyz.com/

【アクセス手順】

① https://www.example.jp/test にアクセス

② 初回は、Keycloak へリダイレクトされて認証を求められます

• アカウント　demo@example.jp
• パスワード　xxxxxxxx

③ 認証後にリバースプロキシ先の　https://www.xyz.com/　のWebページが表示

【keycloak連携 / SAMLやOIDC認証に非対応のWebを改修不要でSSO化】

KeycloakとSAML認証やOIDC認証（Open ID Connect）に未対応の既存Webへ、リバースプロキシから ユーザー情報 （ ID / パスワード ）を代理入力してシングルサインオンで運用する構成。

SAML / OIDC  未対応のWeb

【ID認識型リバースプロキシ】

リバースプロキシは、SAML / OIDC認証に対応の「ID認識型リバースプロキシ」

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能＆代理認証機能
• ヘッダー認証機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

【代理認証】

SAML / OIDC認証対応の「ID認識型リバースプロキシ」から、既存のWebサービスへ「ID / パスワード」を代理入力＆代理認証を行います。 *2

1. ユーザー操作でのWebサービスへの「ID / パスワード」の入力不要
2. ID / パスワード認証のWebサービスをSSOのメンバーとして構成

*2  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成での運用にも対応

【idP連携での既存Webの構成】

idPと連携してSAML認証やOIDC認証に未対応のレガシーな既存Webをシングルサインオンのメンバーとして構成。

• idPとリバースプロキシの認証連携（SAML / OIDC）
• リバースプロキシとWebでの代理認証
• 既存のWebシステムは WANやLAN の任意の場所に設置可能

【SSOに必要な機器】

1. 　idP / Keycloak
2. 　SAML / OIDC認証機能のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　既存のWebサービス （ Webの改修は不要 / エージェント不要 ）
4. 　ブラウザ（プラグイン不要）

【Keycloakとの代理認証・SSOでのステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス
3. Keycloak の認証後にリバースプロキシからバックエンドWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【各種WebへのSSO】

一度のidP / Keycloakの認証で、複数のWebへシングルサインオン

【SSLクライアント認証の併用（多要素認証/MFA）】

SSLクライアント認証でKeycloak / idPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【KeycloakとActive Directory連携でのSSO】

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

【アプライアンスの簡単運用】

情シスの負担軽減での運用に対応

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【運用先】

対応の環境

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

【お問合せ】

ご質問やご相談など

既存で運用中のWebサイトに認証機能が「ない」場合や、ID/パスワード認証のみで「認証機能が脆弱」な場合、セキュリティ部門などから認証機能を追加して多要素認証での運用や認証機能の強化を求められる場合があります。

【Webの改修は困難】

運用中のWebを改修して、認証機能を追加するには

• ターゲットのWebサーバーの台数が多い
• プログラム的に改修が難しい
• 改修のコストがかかりすぎる

などで、ターゲットのWebサイトを改修して認証機能の強化をしにくいケースがあります。

【Webの改修不要で認証を強化】

Web認証対応のリバースプロキシを中継することにより

• ターゲットのWebを改修不要
• Web認証機能を追加

することが出来ます

導入前

導入後

【認証機能対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種のWeb認証に対応の

• Powered BLUE リバースプロキシ・アプライアンス

を利用できます。

リバースプロキシのWeb認証としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しています。

【OTP認証機能対応のリバースプロキシ】

ワンタイムパスワード認証のリバースプロキシのモデルは

　Powered BLUE Reverse-Proxy / OTP

毎回、使い捨てのワンタイムパスワードで認証を行います。

【登録方法】

登録は簡単

• スマートフォンユーザーは「QRコード」をスキャン
• PCユーザーは「文字列コード」を登録

【アクセス手順】

① ワンタイムパスワードの表示
② リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
③ 2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

【Q＆A】

Q　利用できる無償のソフトウエアトークンは?
A　Google Authenticator / WinAuth  / Authy  / IIJ SmartKey / Microsoft Authenticatorなど

Q　複数のWebサーバーへのリダイレクトは設定できますか？
A　複数のWebサーバーへのリバースプロキシの設定に対応しています

Q　Powered BLUE リバースプロキシ・アプライアンスの提供形態は?
A　RockyLinuxやRedHatに対応のアプライアンスでの提供となります

Q　Powered BLUE リバースプロキシ・アプライアンスの稼働環境は?
A　AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro  他

Q　運用に際して、サードパーティの監視ソフトは必要ですか？
A　自己監視機能を有しており監視ソフトは不要で、ひとり情シスでの運用に対応しています

Q　ロードバランサー配下でも運用できますか?
A　冗長構成での運用にも対応しています

Q　自社管理で運用したいのですが?
A　Powered BLUE は自社管理で運用できるオールインワンのアプライアンスです

メールの送信者認証（SPF / DKIM / DMARC）やTLS通信にも対応しています。

【Powered BLUE 880 の主な機能】

Mail	Web	DNS	サービス監視	パッチ適用
SmartHost / Backuprelay DKIM / DMARC 送信ドメイン認証 SMTPへのSSL証明書登録	TLSレベル指定 SNI HSTS ACMEプロトコル / MDモジュール対応 WebへのSSL証明書登録	SPF TXT SRV	サービスの 自動再起動	パッチの 自動適用

【Powered BLUE 880】

Powered BLUE 880 はセットアップウィザードで設定が出来ます。

 Powered BLUE 880

【運用先】

Powered BLUE 880は、AWS / Azure / VMware / Hyper-V / VPS  / FUJITSU Hybrid IT Service FJcloud-O などでの運用に対応しており、セットアップウィザードからアプライアンスの設定します。

【セットアップウィザード】

【使用許諾】

【サーバーの基本設定】

• サーバー名 / IP / Networkや参照するDNSを入力
• 日本語モードを選択することで、日本語表示となります

（クリックで拡大）

【管理画面にログイン】

【使用するサービスの有効化】

個別サービスの on / off を選択します

• DNS / FTP / Web / 仮想サイト機能　（デフォルトはoff）

【DNS / FTP / Web / 仮想サイト機能　（サービスの有効化 / on ）】

【SMTPサービスの設定】

• POPS / IMAPS
• SMTP / TLS
• 送信メールのSmarthost 2重化（ スマートリレイ / バックアップリレイ ）
• 受信メールの配送経路指定
• DKIM / DMARC / SPF （ 送信ドメイン認証 ）

【SMTPサーバーのSSL証明書】

SMTPサーバーが利用するSSLサーバー証明書を登録できます。SSL証明書としては、Public / Private などSSL証明書を登録できます。

• 電子メールサーバー専用のSSL証明書の登録機能

【サーバーの時刻の設定】

• NTPサーバーを指定 （2重）

【SELinux 設定】

【Firewall 設定】

【Webサーバーの設定】

• SNI対応
• TLSレベル選択
• ACMEプロトコル / MDモジュール対応

【DNSサービスの設定】

• プライマリDNS / セカンダリDNS
• SPF / SRV / TXTレコード

【DKIM / DMARCの設定】

【SPFレコード / DMARCレコード / DKIM キーペアの作成】

【SMTPセキュリティ機能】

• VRFYコマンド     有効・無効
• HELOコマンド　不正なホスト / FQDNでないホスト接続　許可・拒否
• HELOコマンド　DNSで名前解決が出来ないホスト接続　   許可・拒否

【仮想サイトの作成】

• WebサイトへのSSLサーバー証明書登録（Public / Private / Let`s Encrypt )

【Webサイトの認証】

作成したWebサイトへのアクセスに、各種のWeb認証を設定できます

一般的なコンテンツのWebサイト		WordPressのWebサイト

• Basic認証
• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• FID02生体認証
• AD認証

複数のWeb認証を組み合わせて、多要素認証での運用にも対応

【2nd Ethernet】

サービスポートの Ethernet / eth0 と管理ポートの Ethernet / eth1 を分離する運用も可能です。

• 2nd EthernetにIPをアサイン

• 2nd Ethernetに管理画面アクセス用のFirewallを設定

【パッチのアップデート】

• 製品やOSの最新パッチを適用

【ひとり情シス対応】

• サーバーの自己監視やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能

【セキュリティ監査対応】

セキュリティのレベルを保持するために、管理GUIから以下のパラメーターなどを設定・調整します

• 最新パッチの適用
• 必要最小限のサービスのみ有効
• 暗号化のサービスの選択（例　imap ⇒ imaps  /  telnet ⇒ ssh & 証明書 )
• TLSレベルの選択
• Firewall調整
• SELinux調整
• 管理画面へのアクセス制限（アクセス元IP制限や2nd Ethernetの利用）
• プログラムバージョンの表示抑制
• 一般ユーザー権限の制限
• Web認証（多要素認証化 / SSLクライアント認証 / ワンタイムパスワード認証）
• ログの取得・保存・監査

【マイグレーション】

Powered BLUE の旧機種 B850 / B860 / B870 や Netshaker からのデータ移行にも対応

	⇒
旧機種		Powered BLUE 880

　マイグレーション対応機種

• 既存で運用のデスクネッツやサイボウズなど社内Web側の変更不要
• ターゲットWebは、WANやLAN側のどちらに設置の場合でもアクセス可能

こんな場合に有効

• Azure ADを利用している
• Azure ADで既存Webへのアクセス認証を強化したい
• 既存Webの改修はしたくない

Azure ADの認証方式

ID・パスワード認証に加えて、多要素認証での運用が可能です。

Azure ADで利用できる主な認証方式

*1　SIMスワップ攻撃に注意  / Salesforce ではSMS認証は禁止   / Google ではSMS 認証は非推奨に変更

ワンタイムパスワード認証

Azure ADへワンタイムパスワード認証でログインします。ソフトウエア・トークンなどを利用して、ワンタイムパスワードを表示させます。

無償で利用できるソフトウエア・トークンや対応の端末

製品名	iOS / Android	Windows	Mac	Linux
Google Authenticator
Microsoft Authenticator
IIJ SmartKey
Authy
WinAuth

ユーザーのQRコードの読み取り＆ワンタイムパスワードの表示

SSLクライアント認証

ユーザーに配布のSSLクライアント証明書でAzure ADへのアクセス認証を行います。

SSLクライアント証明書の発行＆SSLクライアント認証ができる製品としては、

　Powered BLUE Private CA

などが利用できます。

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器のセキュリティ

• Azure ADとの認証には、公開鍵暗号方式を利用
• 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとリバースプロキシはSAML認証連携
• ユーザーはリバースプロキシ経由でターゲットWebへアクセス

SAML認証に対応のリバースプロキシ

Azure AD（idP)と連携するリバースプロキシ（SP）としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のリバースプロキシ機能（SP・サービスプロバイダ）
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• 仮想アプライアンス
• ひとり情シスでの運用に対応

のアプライアンスです。

「Powered BLUE ReverseProxy for SSO / IDaaS 」はAzure AD側の「各種の認証方式」で認証連携できるリバースプロキシとして動作します。

Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

• WAN側やLAN側など任意の場所に設置可能
• リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

デスクネッツ		サイボウズ		SharePoint

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	ワンタイムパスワード認証 ソフトウエア・トークン
	SSLクライアント認証 SSLクライアント証明書
	生体認証 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応リバースプロキシ
運用先	VMware / Hyper-V / AWS

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　https://wp-sam.mubit.jp

Webサーバの有効化

Webサーバーを有効にする　にチェックを入れます

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

例　https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

idP側で作成のメタデータ（xml）をアップロードします

SAMLの認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

HA構成

　シングルAZ + ロードバランサー

マルチリージョンでリバースプロキシの冗長構成での運用

• リージョンA / 東日本データセンタ
• リージョンB / 西日本データセンタ

◆運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS

◆携帯端末の生体認証

アンドロイドやiPhone / iPad の指紋認証や顔認証に対応のリバースプロキシ

　携帯の生体認証に対応のリバースプロキシ

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

既存Web側に「認証機能がない」もしくは「認証機能が脆弱」の場合でも、既存Web側の改修不要で、顔認証や指紋認証などで認証機能を強化してアクセスさせる運用が可能です。

ターゲットのWebは、LAN側に設置の場合でもアクセスができます。

Azure ADの認証方式

Azure ADで利用できる主な認証方式

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

こんな場合に有効

• Azure ADを利用している
• Azure ADで生体認証を使いたい
• 既存Webへのアクセス認証を強化したい
• 既存Webの改修はしたくない
• 既存WebへAzure ADの生体認証の連携経由でアクセスさせたい

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器の安全性

• Azure ADとの認証には、公開鍵暗号方式を利用
• 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとリバースプロキシはSAML認証連携
• ユーザーはリバースプロキシ経由でターゲットWebへアクセス

SAML認証に対応のリバースプロキシ

Azure AD（idP)と連携するリバースプロキシ（SP）としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のリバースプロキシ機能（SP・サービスプロバイダ）
• アプライアンス
• ひとり情シス対応

のアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

• WAN側やLAN側など任意の場所に設置可能
• リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

SharePoint		デスクネッツ		サイボウズ

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	生体認証器 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応リバースプロキシ
運用先	VMware  / AWS / オンプレ

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　https://wp-sam.mubit.jp

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

例　https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

SAMLの認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

HA構成

　シングルAZ + ロードバランサー

マルチリージョンでリバースプロキシの冗長構成での運用

• リージョンA / 東日本データセンタ
• リージョンB / 西日本データセンタ

◆運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS
• オンプレ

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

SAML認証のWebサーバーを構築して、生体認証でアクセスさせる場合の構成例です。利用できるクライアント端末のユーザーに生体認証を行い、ターゲットWebへのアクセス運用に対応しています。

こんな場合に

• Azure ADを利用している
• Windows端末の認証を強化したい
• Webサイトの認証を強化したい
• 生体認証を利用したい
• 利用端末＆ユーザーの認証を強化したい

Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋リーダーなどを使うことで利用が出来ます。Windows Helloでは生体認証の補完としてPINによる認証もサポートしています。

Windows Hello

Windows Hello for Businessでは、顔認証や指紋認証を用いてAzure Active Directory（Azure AD）への認証に対応しています。

PINコード + 指紋認証
PINコード + 顔認証
Active Directory / グループポリシー

Windows Helloの特徴

•   Azure ADとの認証には、公開鍵暗号方式を利用
• 　生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADに対応のWeb

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のWebやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

SAML認証に対応のWebサーバー

Azure AD（idP)と連携するWebサーバー（SP）としては、SAMLやOIDC認証に対応した「Powered BLUE Web  for SSO/IDaaS」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML / OIDC認証対応のSP（サービスプロバイダ）機能
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• Let’s Encrypt （フリープラグインで提供）
• 仮想アプライアンス
• ひとり情シスでの運用に対応

のWebアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML / OIDC認証対応のWebサーバー側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、Webサーバーへアクセスさせることが出来ます。またグループアクセスでのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のWebサーバー側にはユーザーアカウントがないため、Webサーバー側からのアカウント漏洩の心配はありません。

SAML認証対応のWebサイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。

一般的なWebコンテンツのWebサイト		WordPressのWebサイト

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	生体認証器
システム	Azure AD Windows Hello for Business
	SAML認証対応Webシステム
運用先	VMware / Hyper-V / AWS

生体認証器

生体認証として、Windows Hello対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( Windows Hello 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( Windows Hello 顔認証を選択）

PINコードを入力

セットアップ

登録終了

Web / SP側の設定

Powered BLUE Web  for SSO/IDaaSにWebを運用する仮想サイトを作成

例　http://wp-sam.mubit.jp

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。

SSLのサーバー証明書としては

• サイトのSSL自己証明
• パブリックなSSLサーバー証明書
• Let’s EncryptでのSSLサーバー証明書

に対応しています。

WebサイトのSSL自己証明の場合

SSLを有効にする　にチェックを入れます

パブリックなSSLサーバー証明書の場合

必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。

• 「署名リクエストの作成」でファイルを保存
• 作成された「署名リクエスト」　ファイル　signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

• 公的機関で発行された、サーバー証明書を　「インポート」　します
• 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

「インストール」　ボタンをクリック

Let’s Encryptインストール後に　「有効にする」　にチェックを入れます

SAML2.0設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

idP側で作成のメタデータ（xml）をアップロードします

SAML2.0の認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

SSO認証のステップ

①   ターゲットWeb / SP へアクセス
②   初回のみ Azure AD / idP へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にターゲットのWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

◆運用先

SAML認証対応Webアプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

◉リバースプロキシとは

既存で運用のWebサーバーの前段に「リバースプロキシ」を設置します。リバースプロキシ経由で既存のWebサイトへのアクセス構成にします。

リバースプロキシには、各種のWeb認証機能を持たせることが出来ます

• ワンタイムパスワード認証
• SSLクライアント認証
• AD / LDAP 認証
• SAML認証
• OIDC認証
• FIDO2生体認証

認証機能対応のリバースプロキシ経由で、既存のWebへアクセスさせることにより多要素認証での運用が構成できます。リバースプロキシ先としては、LAN内に設置のWebサーバーへのアクセスも設定できます。

リバースプロキシは、導入に際して

• リダイレクト先の既存Webを隠蔽
• リダイレクト先の既存Webの改修は不要

◉認証機能に対応のリバースプロキシ

各種の認証機能に対応のリバースプロキシ・アプライアンスとしては、

　Powered BLUE Reverse-Proxy

を利用すると、簡単に多要素認証での構成を簡単に構築できます。

WAN側に設置のWebへのアクセスに際しても、認証対応のリバースプロキシ経由で運用することが可能です。

◉リバースプロキシの設定

• 複数のリバース先を設定可能
• リバース先のポート (80 / 443 / 任意のポート番号） を指定
• ターゲットのWebまでSSL通信での運用が可能
• リバースプロキシーに Let’s Encrypt も利用可能

◉対応の認証方式

【１】 リバースプロキシ & OTP / ワンタイムパスワード認証
【２】 リバースプロキシ & Private-CA + SSLクライアント認証
【３】 リバースプロキシ & OTP / ワンタイムパスワード認証 ＋ SSLクライアント認証
【４】 リバースプロキシ & AD / LADP 認証 ( Active Directory連携 )
【５】 リバースプロキシ & SSLクライアント認証＋AD / LDAP 認証
【６】 リバースプロキシ & SAML認証 やOIDC認証( idP連携 ）
【７】 リバースプロキシ & パスワードレス生体認証（ FIDO2 / WebAuthn )

◉OTP / ワンタイムパスワード認証

ソフトウエアトークン

Google Authenticator / Microsoft Authenticator などの無償のソフトウエア・トークンに対応

構成

リバースプロキシへのアクセス時の手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
3）2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy / OTP

◉Private-CA + SSLクライアント認証

Private CA 機能/SSLクライアント証明書の発行・管理および・認証とリバースプロキシまでを1台で運用

構成

SSLクライアント認証例

対応のモデルは
　Powered BLUE Private CA / Reverse-Proxy

◉OTP/ワンタイムパスワード認証 ＋ SSLクライアント認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）ワンタイムパスワード認証
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

対応のモデルは
　Powered BLUE WebStation

◉AD / LADP 認証 ( Active Directory連携 )

Active DirectoryやLDAPと連携

リバースプロキシへのアクセス時の手順

対応のモデルは
　　Powered BLUE Reverse-Proxy for AD / LDAP Auth

◉SSLクライアント認証＋AD / LDAP 認証

１）Private CA機能
２）SSLクライアント証明書の発行・管理・認証
３）AD認証連携
４）リバースプロキシ

までを1台で運用

構成

リバースプロキシへのアクセス時の手順

１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD / LDAP 認証
４）AD / LDAPの認証後にリバース先のWebページを表示

対応のモデルは
　Powered BLUE Reverse-Proxy for AD Auth

◉SAML認証やOIDC認証（idP連携）

iDaaS/idPと連携

Azure ADやiDaaSなどのidPと認証連携をして、SAML認証やOIDC認証に対応のリバースプロキシとして動作 します。

対応のidPなど

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他

リバースプロキシへのアクセス時の手順

①   SAML認証対応リバースプロキシへアクセス
②   初回のみ idP へアクセス ( シングルサインオン ）
③　idPの認証後にターゲットのWebサイトの表示

対応のモデルは
　Powered BLUE Reverse-Proxy for SSO / IDaaS

◉パスワードレス生体認証（ FIDO2 / WebAuthn )

FIDO2対応のリバースプロキシとして動作

生体認証器

生体認証としては、FIDO2 / WebAuthn に対応の指紋認証や顔認証などの「生体認証器」を利用します。

Android / iPhone / iPad では、スマートフォンに内蔵の「生体認証」機能を利用

アンドロイド携帯		iPhone / iPad

PCでは、USBタイプの「指紋認証器」などを利用

指紋を登録（PCの場合）

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

リバースプロキシへのアクセス時の手順（PCの場合）

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 指紋認証（セキュリティキーへタッチ）
③ 認証後にターゲットWebへリダイレクト

リバースプロキシへのアクセス時の手順（スマートフォンの場合）

アンドロイド携帯		iPhone / iPad

例　生体認証を利用したパスワードレス認証
（「スマートフォン の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス（IDのみ入力・パスワードレス認証）
② 生体認証（ スマートフォンの顔認証や指紋認証を利用 ）
③ 認証後にターゲットWebへリダイレクト

対応のモデルは
　　Powered BLUE ReverseProxy for SSO / IDaaS

◉冗長構成

リバースプロキシで同期を行いHA運用にも対応

◉運用先

認証対応のリバースプロキシの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

◉ターゲットWebアプリなど

リバースプロキシ先のWebアプリなど

サイボウズ

DeskNet’s

X-point

File-Blog

イントラマート

Active mail

Sharepoint

楽々Workflow

Poweregg

eValueNS

NIコラボスマート

Roundcube

WordPress

デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【WildflyからQuarkusへ】

• 従来までのKeycloakはWildflyに対応
• 新規のKeycloakはQuarkusに対応

【Keycloak / Quarkus対応アプライアンス】

　「Powered BLUE idP for Keycloak」

【アプライアンスの構成】

• 　OS  RockyLinux 8.x  /  RedHat 8.x
• 　Keycloak（アプリ）
• 　Quarkus
• 　GUIでのサーバーやアプリの設定

【Keycloakアプライアンス】

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成（スタンドアロン・クラスター・バックアップ）などの各種設定に対応しています。

• サーバーの設定（Network / Firewall )
• ウィザードによるKeycloakの構成や設定（スタンドアロンやクラスター）
• DB 設定（ H2 / MariaDB ）
• DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 ）
• Keycloak のバックアップ、リストア、バージョンアップ
• keycloak へのアクセスポート（ 80 / 443 )
• リバースプロキシ連携機能
• SSLクライアント認証
• SSLサーバー証明書の登録
• OSなどのパッチ適用
• アクティブモニタ（サーバーやサービス監視・再起動・管理者への通知）

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

【Keycloakの構成 】

( 画面のイメージをクリックで拡大表示 ）

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

1) リバースプロキシ経由でKeycloakへアクセス（リバースプロキシ+Keycloakを1台運用）

• Client  ⇒   443 / リバースプロキシ　 ⇒  80 / Keycloak

2) ダイレクトにKeycloak へアクセス(https/443)

• Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール）

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

• 自己証明のSSL証明書の作成機能
• パブリックなSSL証明書や中間証明書のインポート機能
• キーストアへのSSL証明書登録機能
• トラストストアへのSSL証明書登録機能

【Keycloak のGUIパス】

WildFlyベースまでのKeycloak の管理GUIのパス 　/auth

• https://xxx.yyy.zzz.ttt/auth

QuarkusベースでのKeycloak の管理GUIのパス

• https://xxx.yyy.zzz.ttt/

Powered BLUE idP アプライアンスは任意のパスおよびポート設定機能 　例　/xyz

• https://xxx.yyy.zzz.ttt/xyz

【Keycloakのバックアップ】

• バックアップやリストア

【Keycloakのバージョンアップ】

• ver 18.0.1 から　ver 19.0.1 へ　変更　（例）

アップデート後

【サーバーの自己監視機能】

• サーバーのモニタリングやサービスの自動再起動
• パッチの自動適用機能
• 管理者への通知機能

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

【idPの構成】

• 　idP – SP の構成

【SSOのステップ】

① ターゲットWeb（SP）へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン ）
③ idP / Keycloak の認証後にターゲットのWeb（SP）サイトの表示

【閉域網での運用に対応】

仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能

サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応

• 例　LGWANでidPを運用

【HAの構成】

• Keycloakのクラスター構成

【対応の運用先など】

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O（富士通） / IndigoPro（NTTPC） / VPSなど

【アプライアンスの提供形態】

• 運用環境に対応のアプライアンスでの提供

【KeycloakのSSLクライアント認証】

Keycloakへのアクセスは、デフォルトではID/Passwd認証です。認証機能を強化してKeycloakへのアクセスを　　「SSLクライアント認証」で運用することも出来ます。

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

Webサイトの認証に、スマートフォンやタブレット、パソコンの指紋認証や顔認証を利用できます。

FIDO2対応のパスワードレス認証のWebサイトとしては、一般的なWebサイトの他、WordPressでのWebサイトの構築運用にも対応しています。

FIDO2規格

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザと認証idPサーバー間の規格）

FIDO2では、

認証器（セキュリティ・キー）を利用することにより「なりすましを防止」してパスワードレス認証を行います。

生体情報の保護

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

生体認証

FIDO2対応の生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。

スマートフォンやタブレット・ユーザーの場合には、内蔵の「指紋認証や顔認証」などを選択して利用します。

指紋認証の特徴

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10 / 11 の標準機能で指紋登録ができる

必要な機器や環境

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

今回の構成

FIDO2 生体認証対応の idP / Web システム

認証サーバー / idP （アイデンティティ・プロバイダー）

  idP「Powered BLUE for idP 」を利用します

Keycloakの機能を有したアプライアンスです

Webサーバー / SP （サービスプロバイダー）

  Web「Powered BLUE Web for SSO 」を利用します

idPとWebはSAML認証やOIDC認証で連携します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

* Web サイトには、ユーザーアカウントは作成不要での運用にも対応しています

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　「WordPress の」　メガネ　マークをクリック

WordPressをインストール＆セットアップします

* WordPressには、ユーザーアカウントは作成不要での運用に対応

*最新版のWordPressへアップデートできます

生体認証器（PCユーザー）

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

指紋認証器へ指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

Windowsでのセキュリティキー（指紋認証器）への指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① Webへアクセス （IDのみ入力 / パスワードレス認証 ）
② idPでの生体認証
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• Webサイトのアクセスを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい
• VPNは負荷が高いので使いたくない

既存のWebへ生体認証でアクセスするには

すでに既存で運用のWebサイトへ生体認証 / パスワードレスでアクセスさせるには

　SAML/OIDC認証に対応のSSOリバースプロキシ

で対応します。

SAML / OIDC認証に対応のリバースプロキシ側からWebシステムへのユーザーID・パスワードの「代理入力」機能により

• パスワードレス認証
• シングルサインオン

での運用が可能です

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② idPでの生体認証
③ リバースプロキシからWebへID/パスワードの代理入力＆Webサイトへ自動ログイン

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください