Keycloakは、複数のアプリケーションやサービスへのログインを一度で行うことができ、ユーザーの登録や認証、権限管理、アクセス制御などの機能を提供するidP （ Identity Provider ）として動作するオープンソースのソフトウェアです。

構成のパーツ

desknet’sは変更不要

既存で運用中の desknet’s の改修や設定変更は不要です。

idP / Keycloak 連携・desknet’sへ代理入力のシングル・サインオン構成

KeycloakなどのidPと認証連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシで、代理認証を行いdesknet’sへのシングルサインオンを構成します。

* バックエンドの「desknet’s」は WANや LAN の任意の場所に設置での運用に対応
*「desknet’s」以外のWebアプリもSSO化に対応

パスワード管理

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者から desknet’s への「ID / パスワード」の入力不要
2. 利用者から「ID/パスワード」漏洩リスクを低減

*  SP機能のリバースプロキシと代理入力のリバースプロキシを分離して多段構成の運用にも対応

SSOで利用する機器

1. idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. desknet’s（改修不要）
4. ブラウザ（ プラグイン不要 ）

 対応のidP

Keycloakを利用できます。

またKeycloak以外にも、SAML / OIDC認証をサポートの idP に対応しています

• Microsoft Entra ID （旧名称 Azure AD）
• GMOトラストログイン
• 他

idPとリバースプロキシはSAML認証やOIDC認証で接続

Keycloakのアプライアンス　「Powered BLUE for idP 」も利用できます

Keycloakアプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　DB設定（シングル・クラスター構成）
• 　Keycloak のリバースプロキシ構成
• 　バックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

代理入力＆代理認証のリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用機能

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理認証のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP へアクセス（シングルサインオン）
3. idP の認証後にリバースプロキシから desknet’s へユーザー情報を代理入力
4. desknet’s へ自動ログイン

各種Web アプリへのSSO

一度のidP認証で、複数のWebアプリへSSOでアクセスできます

KeycloakとActive Directory連携でのSSO

Active DirectoryとKeycloakを連携

1. keycloakとActive Directoryの連携
2. Keycloakとリバースプロキシは、SAML / OIDC認証
3. リバースプロキシとWebは代理認証

Keycloakの多要素認証 （ MFA ）

SSLクライアント認証でidPやリバースプロキシへの認証を強化の構成

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書をインストールすると認証操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃への対応	ブロック　〇	ブロック

既存の認証方法とSSOの併用

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 社内からのアクセス（従来の ID / パスワード認証）
2. 社外からのアクセス（SSOでの認証）

の併用など柔軟な運用が可能です。

アプライアンスの運用先

クラウド環境や仮想基盤、オンプレミスなど自社管理での運用に対応

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

ご質問やご相談など

ID / パスワード認証で運用中のデスクネッツを改修することなく、SSLクライアント認証、ワンタイムパスワード認証やSSOで認証を強化する方法です。

• 社内からのアクセスは従来通り
• 社外からのアクセスは認証を強化

などの異なる認証方法での運用にも対応しています。

【VPNとリバースプロキシ】

社外からLAN側のオンプレミスのデスクネッツへのアクセス方法としては

1. VPNでのアクセス
2. リバースプロキシでのアクセス

などがあります。

【VPNアクセスの特徴】

• 専用のVPNクライアントが必要
• アクセス時の負荷が高い
• ネットワーク内にアクセスできる

アクセス集中時の速度低下が著しい

ネットワークに侵入されると被害が甚大

【リバースプロキシの特徴】

• ブラウザのみで利用（VPNのような専用クライアントは不要）
• アクセス時の負荷は低い
• アクセス先のWebサーバーのOSは問わない
• アクセス先のWebサーバーを隠蔽
• アクセス先のWebサーバーの改修不要
• アクセスできるWebサーバーを限定

【リバースプロキシでの認証】

追加の認証に関しては、各種の認証機能のリバースプロキシ・アプライアンス

Powered BLUE ReverseProxy

が対応しています。

【既存の認証方法とリバースプロキシの併用】

アクセス元によりデスクネッツへの認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. リバースプロキシでの認証（社外からのアクセス）

の併用などの柔軟な運用が可能です。

【1】ワンタイムパスワード認証対応のリバースプロキシ

ワンタイムパスワード認証のリバースプロキシ・アプライアンス

Powered BLUE Reverse-Proxy / OTP

リバースプロキシへのアクセスに、ワンタイムパスワード / OTPによる運用が出来ます。運用中のデスクネッツの改修は不要です。

ワンタイムパスワードは使い捨てのため、ID/パスワードが漏えいした場合でもリバースプロキシサイトへの第3者からの不正アクセスを防止する事が可能です。

トークン

Powered BLUE に対応のワンタイムパスワードを生成するトークンは、Google Authenticatorの仕様に対応の無償のソフトウエアトークンなどが利用できます。

スマフォやPCへの登録方法

• QRコードを写メルことで、スマフォに登録
• PCの場合には、文字コードで登録

構成図

アクセス手順

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID / ワンタイムパスワード入力
3）OTP認証の成功後　リバースプロキシ先のWebサイトの表示（desknet’sのID/Passwdを入力）

【２】SSLクライアント認証対応のリバースプロキシ

• SSLクライアント認証対応のリバースプロキシを構築＆運用
• SSLクライアント証明書の発行・失効やSSLクライアント認証の機能

Private-CAとSSLクライアント認証、リバースプロキシの各サーバー機能を1台で運用に対応しています。

SSLクライアント認証のリバースプロキシ・アプライアンス

Powered BLUE プライベートCA

リバースプロキシへのアクセスに、SSLクライアント認証での運用が出来ます。運用中のデスクネッツの改修は不要です。

SSLクライアント認証では、ワンタイムパスワードのようなキーボードからの入力が不要なためにシームレスでのWebアクセスでの運用が出来ます。

構成図

SSLクライアント証明書 〇　　SSLクライアント証明書 ✕

SSLクライアント認証時のアクセスコントロール

有効なSSLクライアント証明書を有している場合でも

• Webサイトへのアクセスコントロールが可能
• SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止

できます

1. 組織や部門でのアクセス制限
2. 曜日や時間帯でのアクセス制限
3. 特定ユーザーでのアクセス制限
4. 端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

【３】idP連携のシングルサインオン（デスクネッツの改修不要）

オンプレのデスクネッツへ iDaaS / idP を利用して、SAML / OIDC認証対応のリバースプロキシ経由で代理認証を行いシングルサインオンでアクセスさせる運用構成です。

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用してユーザーの「代理認証」を行い、デスクネッツへシングルサインオンで運用します。既存で運用中のデスクネッツの改修は不要です。

SAML / OIDC認証のID認識型リバースプロキシ・アプライアンス

Powered BLUE ReverseProxy for SSO / IDaaS

Azure AD連携のリバースプロキシからデスクネッツへ代理入力＆SSO

idPとしてMicrosoft Entra ID（旧名称 Azure AD）を利用時の構成

* 「デスクネッツ」は WAN / DMZ / LAN の任意の場所の設置に対応
* 「デスクネッツ」以外のWebアプリにも対応

代理認証

OIDC / SAML認証に対応のID認識型リバースプロキシからデスクネッツへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ユーザーから「ID / パスワード」 漏洩リスクを低減
3. デスクネッツを「SSOのメンバー」として構成

必要な機器構成

1. idP
2. SAML / OIDC認証のID認識型リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. デスクネッツ（ 改修不要 ）
4. ブラウザ（ プラグイン不要 ）

idP

idPとしては、Microsoft Entra ID（旧名称  Azure AD）の他に

一般的なSAML / OIDC認証をサポートのidP

• GMOトラストログイン
• Keycloak
• 他

にも対応

idPとリバースプロキシはSAML認証やOIDC認証で接続

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
2. 初回のみ Microsoft Entra ID（旧 Azure AD） / idP へアクセス
3. idP の認証後にリバースプロキシからへデスクネッツへ 「ID / パスワード 」の代理入力
4. デスクネッツへ自動ログイン

各種Web システムへのSSO

一度のMicrosoft Entra ID（旧 Azure AD） / idP認証で、複数のWebシステムへSSOでアクセスできます

【お問合せ】

ご質問やご相談など

デスクネッツの改修不要でSSO

OIDCやSAML認証に対応していない ID / パスワード認証 のオンプレのデスクネッツ場合、idP  と連携を行いシングルサインオンを行う手法として

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用してユーザーの「代理認証」を行い、デスクネッツへシングルサインオンで運用します。既存で運用中のデスクネッツの改修は不要です。

Azure AD連携のリバースプロキシからデスクネッツへ代理入力＆SSO

idPとしてMicrosoft Entra ID（旧名称 Azure AD）を利用時の構成

*「デスクネッツ」は WAN / DMZ / LAN の任意の場所の設置に対応しています
*「デスクネッツ」以外のWebアプリにも対応しています
*  Azure ADはMicrosoft Entra IDに名称が変更となりました（機能は変更なし）

代理認証

OIDC / SAML認証に対応のリバースプロキシからデスクネッツへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ユーザーから「ID / パスワード」 漏洩リスクを低減
3. デスクネッツを「SSOのメンバー」として構成

SSOでの必要な機器構成

1. idP
2. SAML / OIDC認証のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. デスクネッツ（ 改修不要 ）
4. ブラウザ（ プラグイン不要 ）

idP

Microsoft Entra ID（旧名称  Azure AD）の他に

一般的なidPとして SAML / OIDC認証をサポートの

• GMOトラストログイン
• Keycloak
• 他

にも広く対応

idPとリバースプロキシはSAML認証やOIDC認証で接続

リバースプロキシの特徴

1. バックエンドのWebを隠蔽
2. バックエンドのWebのOSに依存せずに導入できる
3. ブラウザのみで利用できる（VPNのような専用ソフトは不要）

リバースプロキシ・アプライアンス

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能  *1 ）
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

*1 　SAML認証時はSP （Service Provider）  OIDC認証時はRP（Relying Party）という名称です

代理入力のSSO利用ステップ

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ Microsoft Entra ID（旧 Azure AD） / idP へアクセス
3. idP 認証後にリバースプロキシからへデスクネッツへ 「ID / パスワード 」代理入力
4. デスクネッツへ自動ログイン

各種Web システムへのSSO

一度のMicrosoft Entra ID（旧 Azure AD） / idP認証で、複数のWebシステムへSSOでアクセスできます

SSLクライアント認証の併用（多要素認証）

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

既存の認証方法とSSOの併用

既存で運用中のデスクネッツへのアクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP / IDaaS 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。

ご質問やご相談など

【ターゲットのWebなど】

デスクネッツ		サイボウズ
Active Mail		IIS / Web

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

【リバースプロキシの特徴】

1. バックエンドのＷebの認証強化（例　リバースプロキシで認証を追加）
2. バックエンドのWebの改修不要で導入できる
3. バックエンドのWebを隠蔽
4. バックエンドのWebのOSに依存せずに導入できる
5. ブラウザのみで利用できる（VPNのような専用ソフトは不要）
6. VPNに比べて負荷が小さい

【生体認証対応リバースプロキシの構成】

生体認証に対応のidPとしては、「Powered BLUE for idP」アプライアンスを利用します。

idPと連携のリバースプロキシとしては、「Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応リバースプロキシ

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• 携帯端末の生体認証を利用したい
• パスワードレスで運用したい
• リモートワークで社内のWebへ安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• 既存で運用のデスクネッツやサイボウズなど社内Web側の変更不要
• ターゲットWebは、WANやLAN側のどちらに設置の場合でもアクセス可能

こんな場合に有効

• Azure ADを利用している
• Azure ADで既存Webへのアクセス認証を強化したい
• 既存Webの改修はしたくない

Azure ADの認証方式

ID・パスワード認証に加えて、多要素認証での運用が可能です。

Azure ADで利用できる主な認証方式

*1　SIMスワップ攻撃に注意  / Salesforce ではSMS認証は禁止   / Google ではSMS 認証は非推奨に変更

ワンタイムパスワード認証

Azure ADへワンタイムパスワード認証でログインします。ソフトウエア・トークンなどを利用して、ワンタイムパスワードを表示させます。

無償で利用できるソフトウエア・トークンや対応の端末

製品名	iOS / Android	Windows	Mac	Linux
Google Authenticator
Microsoft Authenticator
IIJ SmartKey
Authy
WinAuth

ユーザーのQRコードの読み取り＆ワンタイムパスワードの表示

SSLクライアント認証

ユーザーに配布のSSLクライアント証明書でAzure ADへのアクセス認証を行います。

SSLクライアント証明書の発行＆SSLクライアント認証ができる製品としては、

　Powered BLUE Private CA

などが利用できます。

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

【A】Windows Hello＋Azure AD

Windows Helloの生体認証（顔認証や指紋認証）を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

FIDO2対応の静脈認証器　富士通 /  PalmSecure Fシリーズ

【B】FIDO2＋Azure AD

FIDO2対応の生体認証（指紋認証や静脈認証など）を利用してAzure ADのログイン認証を行うことも出来ます。

*　Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器のセキュリティ

• Azure ADとの認証には、公開鍵暗号方式を利用
• 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

• ユーザーは生体認証対応のAzure ADへのログイン
• Azure ADとリバースプロキシはSAML認証連携
• ユーザーはリバースプロキシ経由でターゲットWebへアクセス

SAML認証に対応のリバースプロキシ

Azure AD（idP)と連携するリバースプロキシ（SP）としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー（認証機能を提供する側）
* SP  サービス・プロバイダー（認証機能を受ける側）

この製品は

• SAML認証対応のリバースプロキシ機能（SP・サービスプロバイダ）
• Web/Mail/DNS/ftp（インターネットサーバー機能）
• 仮想アプライアンス
• ひとり情シスでの運用に対応

のアプライアンスです。

「Powered BLUE ReverseProxy for SSO / IDaaS 」はAzure AD側の「各種の認証方式」で認証連携できるリバースプロキシとして動作します。

Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

グループアクセスコントロール　例

• 営業部・開発部・支店のみにアクセスを許可
• 管理職のみにアクセスを許可
• 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

• WAN側やLAN側など任意の場所に設置可能
• リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

デスクネッツ		サイボウズ		SharePoint

必要な機器や環境

ユーザー側	汎用のPC
	ブラウザ
	ワンタイムパスワード認証 ソフトウエア・トークン
	SSLクライアント認証 SSLクライアント証明書
	生体認証 Windows Hello / FIDO2
システム	Azure AD
	SAML認証対応リバースプロキシ
運用先	VMware / Hyper-V / AWS

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

指紋登録の手順

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択）

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

アカウントを選択

サインインオプションを選択 ( 顔認証を選択）

PINコードを入力

セットアップ

登録終了

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例　https://wp-sam.mubit.jp

Webサーバの有効化

Webサーバーを有効にする　にチェックを入れます

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

例　https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

SAML設定

SAMLのエンドポイントを指定します　　例　/

idP側のxmlのメタデータをSPへインポートします

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

idP側で作成のメタデータ（xml）をアップロードします

SAMLの認証をかけたいdirを指定します

例　/blog

https://wp-sam.mubt.jp/blog/  　にSAML認証が適用されます

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証＆シングルサインオン ）
③　Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

HA構成

　シングルAZ + ロードバランサー

マルチリージョンでリバースプロキシの冗長構成での運用

• リージョンA / 東日本データセンタ
• リージョンB / 西日本データセンタ

◆運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） / VPS

◆携帯端末の生体認証

アンドロイドやiPhone / iPad の指紋認証や顔認証に対応のリバースプロキシ

　携帯の生体認証に対応のリバースプロキシ

◆デモサーバー

　デモサーバー

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

リバースプロキシは、生体認証の一つである「指紋認証」を利用してパスワードレス認証で運用します。強力な「本人確認」機能により「なりすまし」を防止することが可能です。パスワードレス認証機能のリバースプロキシは、VMware やHyper-Vでの運用に対応しています。複数のバックエンドWebへのアクセス処理を1台の生体認証対応のリバースプロキシで運用できます。

【ターゲットのWebなど】

サイボウズ		デスクネッツ		WordPress

【なりすまし防止＆リバースプロキシ構成】

LANに限らず、クラウドやWAN側に設置のWebについても

• 生体認証対応のリバースプロキシ経由でのアクセスに限定

することにより厳密な「本人確認」を行った上で、ターゲットWebへアクセスさせる運用に対応。

既存Web側に　「認証機能がない」　もしくは　「認証機能が脆弱」　なケースでも導入ができます。既存Web側の改修は不要です。

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2では、認証器を利用することによりフィッシングを防止してパスワードレス認証を行います。

【生体情報の保護】

認証器による生体情報の保護

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【利用のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

【生体認証】

FIDO2対応の生体認証としては

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。

【指紋認証の特徴】

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCから利用できる
• Windows10の標準機能で指紋登録ができる

【必要な機器や環境】

ユーザー側	汎用のPC
	ブラウザ
	生体認証器
システム	生体認証対応リバースプロキシ
運用先	VMware / Hyper-V

【今回の構成】

生体認証対応のidPと認証連携のリバースプロキシ・システムとしては 「Powered BLUE ReverseProxy for SSO / IDaaS」を利用します。

【VMware / Hyper-V 基盤へのインポート】

「Powered BLUE ReverseProxy for SSO / IDaaS」の仮想アプライアンス・イメージを VMware ESXiや Hyper-V 基盤へインポートします。

【リバースプロキシの設定】

、「Powered BLUE ReverseProxy for SSO / IDaaS」へリバースプロキシ先を登録します

• 複数のリバース先 / バックエンドの設定に対応
• リバース先のポート( http / https / 任意のポート番号）に対応
• 終端までSSL通信での運用に対応
• リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能
• TLSレベルの指定に対応

【生体認証器】

生体認証としては、「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。

【指紋認証器へ指紋登録の手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー(指紋認証器）への指紋登録方法】

* Windows10ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

【生体認証時のターゲットWebへのアクセス手順】

例　パスワードレスでの運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証  ）

• 生体認証対応リバースプロキシへアクセス（ IDのみ入力 / パスワードレス）
• セキュリティキーにタッチ（ 指紋認証 ）
• 認証後にターゲットのWebへリダイレクト

【こんな用途に】

• Webアクセス時の「なりすまし防止」＆「本人確認」を行いたい
• 既存Webサーバーの変更はしたくない
• ブラウザでアクセスさせたい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• パスワードレス認証システムを利用したい

【VMware / Hyper-V 以外での運用先】

生体認証対応のリバースプロキシ・システム　「Powered BLUE ReverseProxy for SSO / IDaaS」は

• AWS
• Azure
• FUJITSU Hybrid IT Service FJcloud-O（富士通のクラウド基盤）

などでの運用にも対応しています

【携帯端末の生体認証】

アンドロイドやiPhone / iPad の指紋認証や顔認証を利用したい場合には、携帯の生体認証に対応のリバースプロキシを利用

携帯の生体認証に対応のリバースプロキシ「Powered BLUE ReverseProxy for SSO / IDaaS」

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

サイボウズ

デスクネッツ

使い捨てパスワード

ワンタイムパスワードは毎回異なる「使い捨てパスワード」で認証を行ないます。「ID/パスワード」と「ワンタイムパスワード」の2要素認証により、出先などから安全にリバースプロキシへアクセスさせることが出来ます。仮にID/パスワードが流出した場合でも、毎回異なる「ワンタイムパスワード」によりリバースプロキシへのアクセスは保護されます。

ワンタイムパスワード認証機能付のリバースプロキシ

今回利用する

「Powered BLUE 870/OTP-Rev」は、リバースプロキシへのアクセス時に

• ワンタイムパスワード認証
• ID/パスワード認証
• リバースプロキシによるリダイレクト

までを1台で構築＆運用出来るアプライアンスです。HA機能なども有しています。

ソフトウエアトークン対応

ワンタイムパスワードの生成では、OSSや無償で利用できるソフトウエアトークンに対応しており、導入時の利用者側の負担を抑えることができます。

ソフトウエアトークンの設定

ユーザーが利用するPCやモバイル端末で利用できる「無償のソフトウエアトークン」の設定例

Google Authenticator 　インストール & セットアップ方法
WinAuth 　インストール & セットアップ方法
Authy 　インストール & セットアップ方法
IIJ SmartKey 　インストール & セットアップ方法
Microsoft Authenticator 　 インストール＆セットアップ方法

ワンタイムパスワード認証の設定

Webアクセス時のワンタイム・パスワード認証を設定します

ユーザー認証設定

ユーザーへワンタイムパスワード認証を許可します

例　鈴木　二郎 へワンタイムパスワード認証を有効に設定

QRコード（共有鍵）の表示

• ソフトウエア・トークンを起動して、ユーザーごとのQRコード（2次元バーコード）をスマフォで読み撮り登録します
• QRコード読み撮りのカメラの無いPCなどもコードの設定で登録が出来ます
• QRコードは、ユーザー毎に異なります

QRコードの登録＆表示

リバースプロキシの設定画面

ワンタイムパスワード認証＆リバースプロキシ

https://xxx.yyy.com/ 　 —-> https://www.powered.blue/

＊複数のリバース先を指定できます

認証ステップ

１）ワンタイムパスワードを表示させる
２）リバースプロキシにアクセス（アカウントやワンタイムパスワードを入力）
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

HA / 冗長化

「Powered BLUE 870/OTP-Rev」はHA機能を有しており、ロードバランサー配下での運用やGSLB、Route53との組み合わせによるMulti-AZでの運用にも対応しています。

ロードバランサー配下での構成

• シングルAZ + ロードバランサー

マルチAZでの構成

• マルチAZ + GSLB or Route53
• リージョンA　日本データセンター
• リージョンB　米国データセンター

ワンタイムパスワード認証とSSLクライアント認証に対応のリバースプロキシ

「Powered BLUE Web Station」 は、Webサイトのワンタイムパスワード認証とSSLクライアント認証との併用（多要素認証）での運用にも対応。より高度な認証を必要とするケースでの運用にも対応しています。

• Webサイト構築・管理機能
• SSLクライアント認証＆ワンタイムパスワード認証に対応
• リバースプロキシ
• インターネットサーバー機能

までを1台で運用できる　　Powered BLUE Web Station も選択可能です

Webサイトに対して、SSLクライアント認証&ワンタイムパスワード認証の併用（多要素認証）およびリバースプロキシも同時に運用が出来ます。

SSLクライアント認証でのアクセスコントロール

• SSLクライアント認証の有効化

●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにＡさんのSSLクライアント証明書でのアクセスを禁止

認証ステップ

１）ワンタイムパスワードを表示させる
２）SSLクライアント認証後にリバースプロキシにアカウントやワンタイムパスワードを入力
３）ワンタイムパスワード認証後にリバースプロキシ先のWebが表示

デモサイト

Powered BLUE のデモサイトを用意しています

ワンタイムパスワード認証対応のリバースプロキシなどの動作を確認することが出来ます

　Powered BLUE 870 のデモサイト

ワンタイムパスワード認証機能付きWebサイトの アプライアンス「Powered BLUE 870/OTP 」の運用先としては、

• VMware / Hyper-V
• AWS/EC2 （AMI対応）
• Azure
• FUJITSU Hybrid IT Service FJcloud-O / 富士通
• Enterprise Cloud / NTT communications

などでも運用が可能です。

終わりに

ワンタイムパスワードやSSLクライアント認証でＷebサイトの認証を強化したい方、既存で運用のWebへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

既存で運用中のID / パスワード認証のデスクネッツ側の変更は不要

設置や構成

リバースプロキシ先のターゲットのdesknet’sは、LAN / WAN / DMZなど任意の場所に設置での運用に対応しています。

＊デスクネッツ以外のWebアプリにも対応

リバースプロキシ

1. リダイレクト先のWebのOSに依存せずに導入が出来る
2. ブラウザのみで利用が出来る
3. リダイレクト先のWebを隠蔽できる　（セキュリティ上のメリット）

パスワード＆代理認証

SAML / OIDC認証に対応のリバースプロキシが代理認証を行うため、

1. 利用者側でdesknet’sへの「ID / パスワード」の入力および管理不要
2. 運用中のdesknet’sは改修不要

SSO時に利用する機器

1. Azure AD / idP
2. SAML / OIDC認証に対応のリバースプロキシ（ ユーザー情報の代理入力機能 ）
3. desknet’s
4. ブラウザ（ プラグイン不要 ）

idP / Azure AD

Azure AD のSAML もしくは OIDC認証でリバースプロキシと連携します。

SAML/OIDC認証機能のSSOリバースプロキシ

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

リバースプロキシ・アプライアンスの機能

• リバースプロキシ機能
• SAMLやOIDC認証（SP / RP 機能 ）
• バックエンドWebへユーザー情報の代理入力機能
• GUIからの設定および運用

機能を有しており、任意の場所で自社管理でオールインワン運用を行うことが出来ます。

【既存の認証方法とSSOの併用】

アクセス元により認証方法を変えることも出来ます。

1. 従来の ID / パスワード認証（社内からのアクセス）
2. idP 連携によるSSO（社外からのアクセス）

の併用などの柔軟な運用が可能です。