Keycloakは、FIDO2（ファイド・ツー）に対応した生体認証をサポートしています。FIDO2は、生体認証の統一規格です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証を使用して、Keycloakにログインすることができます。

また、iPhoneやAndroidなどのスマートフォンもFIDO2に対応しています。普段利用している携帯端末の指紋認証や顔認証機能をそのまま、Keycloakのログイン認証に利用することができます。生体認証を利用することで、パスワードレス認証での運用も可能となり利便性も向上します。

ペアリングとアクセス許可

FIDO2の生体認証では、利用できる端末とユーザーがペアリングされて固定されるため、第3者のアクセスを防止できるメリットがあります。

　アクセス許可　＝　① 端末の固定　＋　② 指定のユーザー

例　会社が支給した「Aさん用の端末」を「Aさん」が利用する場合にアクセスを許可する

生体認証

生体認証は、パスワードに比べて安全性と利便性に優れています。パスワードは、忘れたり、盗まれたり、なりすまされたりするリスクがあります。一方、生体認証は、本人の身体的特徴を用いて認証を行うため、これらのリスクを軽減することができます。

生体認証の特徴は、以下のとおりです。

• 偽造やなりすましが困難
• 忘れたり、紛失したりする心配がない

生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびidPの認証を行う統一規格です。

FIDO2 のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っています。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows 10 / 11 やMacintosh、アンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

機種	アンドロイド	IPhone / iPad	Windows	Macintosh	ブラウザ
FIDO2対応

FIDO2での生体情報の保護

FIDO2では、ブラウザを経由してユーザ側の生体認証器とidP / Keycloakの通信を行います

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとidP / Keycloak サーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用します

　FIDO2では、生体情報はユーザーの保有する認証器外へ漏洩しません　

FIDO2の生体認証で必要な機器

1. Keycloak / idP
2. SAMLやOIDC認証に対応のWebやリバースプロキシ
3. スマートフォン（アンドロイド・iPhone・iPad）や　PC端末＋FIDO2対応の生体認証器
4. ブラウザ

システム側の環境

• idP / Keycloak
• SP / Web
• KeycloakとWebはSAML認証やOIDC認証で連携

idP / Keycloak		SAML / OIDC認証のWeb

ユーザー側の環境

iPhone / iPadの場合（内蔵の生体認証器を利用）

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合（内蔵の生体認証器を利用）

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合（USB接続の生体認証器を利用）

Windows 10 / 11 Macintosh		FIDO2対応のブラウザ		FIDO2・指紋認証器

機器の構成

① idP認証サーバー

FIDO2に対応のKeycloakのアプライアンス

idP 「Powered BLUE for idP 」

を利用します。

② SAML/OIDC認証に対応のWebサーバー

SAMLやOIDC認証のWebサイトを構築・運用する機能を有しているアプライアンス

SP 「Powered BLUE Reverse-Proxy with SSO 」

を利用できます。

③ SAML / OIDC認証に対応のリバースプロキシ（代理認証機能）

SAML / OIDC認証対応のリバースプロキシから既存のWebへ「ID / パスワード」を代理入力＆代理認証の機能を有しているアプライアンス

SP 「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用できます。

SAML / OIDC認証に未対応の既存のWebを改修不要でSSOのメンバーとして構成します。

SSO構成 ①＋②

• SAML/OIDC認証のWebサイトへアクセス

SSO構成 ①＋③

• SAML/OIDC認証対応のリバースプロキシから既存Webへ「ID / パスワード」を代理入力＆代理認証でSSO

*SAML/OIDCに未対応の既存Webを改修不要で、代理入力＆代理認証でSSO化に対応します

生体認証のSSO

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「iPhone / iPad の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ iPhoneのFace ID やTouch IDの認証機能を利用（初回のみ）
④ 認証後にWebへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「Android の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ Androidの顔認証や指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース
（「認証器の所持認証」+「生体認証」= 2要素認証）

3要素認証での運用のケース
（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ FIDO2の指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

各種Webへ生体認証でのSSO

一度のidP / Keycloakへの生体認証で、複数のWebシステムへのシングルサインオン

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」で設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

KeycloakやSP（Webやリバースプロキシ）の運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

生体認証対応 Keycloak	SAML / OIDC対応Web	SAML / OIDC対応リバースプロキシ

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

こんな場合に

• なりすましを防止したい
• スマートフォンの生体認証を利用したい
• 社員へ配布の端末からのみアクセスさせたい
• パスワードレス認証で運用したい
• 自社管理で生体認証システムを運用したい

ご質問やご相談など

既存で運用のWebサイトの認証について、スマートフォンの生体認証をWeb認証に利用して運用する方法です。

【生体認証】

生体認証により「なりすまし」を防止することが可能です。

スマートフォンの認証機能

• Face ID
• Touch ID

をWebアクセス時の認証に利用します。

【パスワードレス＆シングルサインオン】

既存のWebサイトへアクセスする際に

1. スマートフォンの生体認証（指紋認証や顔認証）で本人確認
2. idPと連携のSSO対応のリバースプロキシ経由で「既存のWeb」へ代理認証
3. ユーザーの操作は「パスワードレス＆シングルサインオン」でWebサイトへアクセス

で構成します。

【idP連携でリバースプロキシから代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応

【代理認証】

OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ターゲットWebを「SSOのメンバー」として構成

【FIDO2と生体情報の保護】

スマートフォンのFIDO2対応の生体認証をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【生体認証のステップ】

生体認証を利用したパスワードレス認証
（スマートフォンの「所持認証」+「生体認証」の2要素認証 ）

1. リバースプロキシへアクセス
2. idpでの認証（IDのみ入力 / パスワードレス / 生体認証）
3. 認証後にWebへ自動ログイン（ID/パスワードの代理入力）

【機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォン
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【リバースプロキシ・アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

Webサイトへアクセスする際に、iOSのTouch IDやFace IDなどの指紋認証や顔認証で本人確認を行います。

iPhone / iPadの生体認証をそのまま、Webアクセス時の認証に利用できます。

生体認証により

• なりすましの防止
• パスワードレス認証

での運用が出来ます。

【FIDO2の利用】

iPhone / iPad ではFIDO2の認証を利用します。FIDO2とはWebの認証に際して「生体認証キー」などで認証を行う標準の方式です。

【生体情報の保護】

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

   生体情報は、「iPhone / iPad」内に保存＆保護されます
  公開鍵暗号化方式を利用、「生体情報」が端末外へ漏洩することはありません。

【機器の構成図】

1. idP / 生体認証（WebとはSAMLやOIDC認証で連携）
2. Web /  idPとSAMLやOIDC認証で連携
3. iPhone / iPad（Face ID or Touch ID)
4. safari（ブラウザ）

【生体認証対応のidP / アイデンティティプロバイダー】

生体認証に対応のIDを管理するidPとして

Powered BLUE for idP

を利用できます。

• 生体認証対応のidP機能
• SAMLやOIDC認証機能
• GUIから設定や運用

を有しています。

【idP連携のWeb】

SAML / OIDC認証に対応のWeb・アプライアンスとして

Powered BLUE Web for SSO / IDaaS

を利用できます。

• Webサイト機能（マルチドメイン対応）
• SAMLやOIDC認証機能
• インターネットサーバー機能
• GUIから設定や運用機能

を有しています。

自社のWebサイトの構築＆運用に対応しています。

WordPressやRoundcubeも利用できます。

【Webサイト・生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID のユーザー

生体認証を利用したパスワードレス認証
（iPhone / iPad の「所持認証」+「生体認証」の2要素認証 ）

1. Webへアクセス （IDのみ入力 / パスワードレス ）
2. idP （生体認証）
3. 認証後にWebサイトの表示

【パスワードレス / 生体認証でのWebサイト運用　例】

一般的なWebサイト		WordPressのWebサイト		Roundcube / WebMail

15.6型のワイド画面でBlue-ray ディスクドライブやカメラ・マイク・Bluetoothも付属しておりZoomやteamsなどのWeb Meeting、仮想マシンの運用からWindows HelloやFIDO2の生体認証も可能で今でも十分に利用できるスペックのノートパソコンです。

Windows 8.1からWindows10経由でWindows11へアップグレード

数年前に

• 1TBの2.5インチHDDをWestern Digital 製1TBのSATA / 2.5インチSSDへ換装

• Windows 8.1 / 64bit から Windows 10 / 64bit へアップグレード

• バッテリーの交換（2回）

を実施

HDDからSSDへの換装　例

Windows11対応 SSDから大容量SSDへの換装 / 富士通ノートPC FMV LifeBook UH55 シリーズの場合

Windows10からWindows11へアップグレードの要件

Windows11の動作要件は

• Bios　UEFI
• CPU　第8世代
• TPM　2.0
• グラフィックス　DirectX 12
• メモリ　４GB
• ストレージ　64GB以上の空き容量
• Windows 10 / 64bit からのアップグレードに対応

などです。

現在のDynabook T554/76LBの仕様は

Bios UEFI	CPU	TPM 2.0	DirectX 12	メモリ	ストレージ 空き容量	Windows 10 / 64bit
〇	第4世代		〇	８GB	250GB	〇

dxdiagでDirectX のバージョンチェック

Windows11へアップグレードチェック

TPMやCPUが適合しないので、このままではWindows11へアップグレードはできません

【CPUチェックおよびTPMのチェックを回避させてインストールする方法】

Windows 11 のISOイメージをダウンロードします（例 22H2 )

非対応PCに対する処置では appraiserres.dll ファイルの削除は21H2では出来ましたが、22H2からはできなくなっています。

AIに聞いてみる

Q　どうすればWindows 11にアップグレードできますか

A　22H2からは ISOイメージのファイルの sources ディレクトリにある appraiserres.dll  ファイルをメモ帳で開いてすべてを選択したうえで削除したら上書き保存します。

( 0バイトの appraiserres.dll ファイルにする ）

これでインストールが可能です

インストール時には、途中で選択できる

• 最新モジュールのダウンロードなど

は選択しません。

せっかく修正した　「appraiserres.dll 」ファイルがオーバーライトされるのを回避させます。

修正したISOイメージからのインストール

ISOイメージは光学ドライブから読み込ませるよりも、内蔵のHDDやSSDに書き込んで、ダイレクトに読み込ませてインストールするほうが高速です

ダウンロード方法の変更を選択

更新プログラムをダウンロードしないを選択

windows10の既存環境を引き継ぐ場合

【ライセンスの有効活用】

Windows 7 / 8 などのライセンスを保有の場合には、Windows10 / Windows11のセットアップ時にWindows 7/ 8 などの古いライセンスを登録して使うこともできます。

1. Windows 7 / Professional ライセンスを入力
2. Windows 10 / Pro Edition になる
3. Windows 11 / Pro Edition になる

* Windows 7 / 32bit 版のOEM ライセンスの場合には、Windows 11 / 64bitには利用できません

Windows11の高速起動

高速起動の設定について

1. 2.5インチSSDに換装
2. F2 / Bios設定の「詳細の項」のブートスピードを「通常」から「高速」に設定変更

の場合では、パワーオン後12秒程でログイン画面表示となります

Windows10からのアップグレードでは、アカウントやデスクトップ環境もそのまま引き継がれるので操作など違和感なく使えます

Windows11でBlueray ディスクドライブを認識しない

Dynabook T554/76LBには、Pioneer製のBluerayディスクドライブが付属していますが、Windows10では認識していたBluerayディスクドライブがWindows11では認識されません。

またUSB接続のDVDドライブを接続しても認識されません。

エラーメッセージ

レジストリ内の構成情報が不完全であるか、または壊れているためにハードウエアデバイスを開始できません（コード19）

回避策

今回は、使っていない東芝のプログラム｢TOSHIBA Blu-ray Disc(TM)Player｣ を停止させて回避を行う

1. コンピューターの管理
2. システムツール
3. サービスとアプリケーション
4. サービス

から　TOSHIBA Optical Disc Drive Service（自動起動）　を選ぶ

TOSHIBA Optical Disc Drive Service　を「停止」するとドライブを認識します

TOSHIBA Optical Disc Drive Service　（自動起動）を　（無効）　に設定

Bluerayドライブを正常に認識＆動作

多分Windows11のクリーンインストールでは、この問題は発生しません（東芝製のアプリをインストールしないため）

修復ディスクの作成

Windows11 の修復ディスクを作成しておきます

1. コントロールパネル
2. システムとセキュリティ
3. バックアップと復元
4. システム修復ディスクの作成

復元ポイント

通常のWindowsの運用に際しては、ソフトやシステムの設定変更などの場合、事前に「復元ポイント」を作成すると、その後に不具合が発生した場合でも「復元ポイント」作成時の状態まで戻すことが可能です。

Bluetoothでペアリング・PhoneLinkを使う

ダイナブック T554/76LBモデルは、Bluetooth機能を有しています。Windows 10 / 11のPhoneLink機能で　iPhone / Andoroid などのスマートフォンとBluetoothで接続を行い、ノートPCからスマートフォンの

1. 通知をチェック
2. 電話を掛ける
3. メッセージを読み書きする

などをすることが可能です。

認証の強化・生体認証で使う

Windows HelloやFIDO2の生体認証で使う場合には、USB接続の指紋認証器を使うことが出来ます

接続例

WordPressのWebサイトへのアクセス認証をスマートフォンやタブレットに内蔵の指紋認証や顔認証を使って行う構成です。

生体認証はIDパスワードのような「なりすまし」が可能な認証と異なり、第三者の「なりすまし」を防ぎ厳密な認証を行ってのWebへのアクセス運用が出来ます。

FIDO2/生体情報の保護

FIDO2とは、生体認証などを利用してWebへログインできる標準の規格です。

スマートフォンの生体認証はFIDO2に対応しており、指紋情報や顔情報などの生体情報をスマートフォンの外部に出すことなく、Webサイトへのアクセス認証を行うことが出来ます。

必要な機器や環境

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

Webシステム

生体認証対応idP連携  Web		運用先

* AWS / Azure やVMware / Hyper-V などのクラウドや仮想基盤での運用に対応

今回の構成

Web・システムとしては、生体認証対応のidP と連携の　「Powered BLUE Web for SSO / IDaaS」を利用して構築＆運用します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• WordPressで作成のWebを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい

【Webメール】

Powered BLUE アプライアンスでは、Ajaxを利用したオープンソースのWebメールシステムであるRoundcubeとメールサーバーなどをオールインワン（1台）で運用することが出来ます。

【シングルサインオン】

SSLクライアント認証による多要素認証をはじめ、SAML認証やOpen ID Conenct / OIDC認証などのSSOでの運用にも対応しています。

【アプライアンス】

Powered BLUE アプライアンスでは、オープンソースのWebメールシステムであるRoundcubeのSSOでの運用に対応しています。

　Powered BLUE アプライアンス

SMTP	Mail-Box	DNS	Webサイト	Roundcube

送信ドメイン認証

SPF	DKIM	DMARC

【設定例】

適宜　SMTPやIMAPを有効化します

• 例　SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS を有効

• Roundcube / ウェブメールの有効化にチェック

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

• 例　user1 へ ウェブメールの使用を許可

【ロゴやスキン】

ロゴやスキンを設定できます

• 例　自社のロゴへ変更

【利用例】

• スキンの利用

デスクトップ用のスキン

スマートフォン用のスキン

【多要素認証やシングルサインオン】

Roundcube 標準の「ID / パスワード認証」の他に

• SSLクライアント認証
• SAML認証（シングルサインオン）
• OIDC認証（シングルサインオン）
• ワンタイムパスワード認証
• AD認証
• FIDO2生体認証（パスワードレス認証）

などでの運用にも対応しています。

【シングルサインオンでの構成】

• roundcube のSSO構成
• idPとSAML認証やOIDC認証でSSO
• Azure AD / Keycloak / トラストログインなどの各種 idPと連携

【RoundcubeとidP / Keycloak 連携時のシングルサインオン】

① Roudcube のログイン画面へアクセス

• 「Keycloakでログイン」を選択

② 初回は、idP / Keycloak へリダイレクトされて認証を求められます

• アカウント　demo@example.jp
• パスワード　xxxxxxxx

③ 認証後に　Roundcube のWebページが表示

【多要素認証での運用 】

Private-CAのアプライアンスとして

　「Powered BLUE プライベートCA」

を利用出来ます。

• 　Private-CA（SSLクライアント証明書の発行・失効）
• 　SSLクライアント認証

SSLクライアント認証で Keycloakへの多要素認証（MFA）

1. SSLクライアント認証
2. ID/パスワード認証

SSLクライアント認証　〇

SSLクライアント認証

Keycloakではワンタイムパスワード認証も利用が出来ます。

1. ワンタイムパスワード認証は、毎回「入力する」必要があります
2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

多要素認証の比較

認証	SSLクライアント認証	ワンタイムパスワード認証
認証操作	不要	毎回必要
判定のタイミング	ID / passwd 入力前に判定	ID / passwd 入力後に判定
リスト攻撃	ブロック　〇	ブロック

【メールクライアントとの併用運用】

シングルサインオンで運用時にもユーザーが利用の各種のメールクライアント・ソフト

• Thunderbird
• Becky!
• 他

との併用での運用に対応

【Powered BLUE アプライアンスの構成】

• OS  RedHat 8.x / RockyLinux 8.x 対応
• Web / DNS / SMTP / IMAP / POP
• DKIM / DMARC / SPF（送信元ドメイン認証）
• Roundcube（フリープラグイン）
• Let’s  Encrypt  対応（フリープラグイン）

【Powered BLUE アプライアンスの簡単運用】

ひとり情シスでの運用にも対応

• サーバーの自己監視機能やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能
• GUIでのサーバーやアプリの設定

【Powered BLUE アプライアンスの運用先】

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

【デモサーバー】

Powered BLUEの　　デモサーバー

SAML認証やAD連携などの機能は有償のProfessionalやEnterpriseプランでの提供となっており、無償のTeam Edition セルフホストプランでは利用ができません。

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition セルフホスト / 無償	Professional / 有償	Enterprise / 有償
idP連携 / SAML認証 OIDC認証

* Team Edition セルフホストはOSS版です

【Team Edition セルフホストプランの主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

• 費用を抑えて運用したい
• 自社の環境で運用したい
• SaaSを利用できない
• Slackから移行したい ( マイグレーション)

などの場合には、Team Edition セルフホストプランが利用できます。

【ID/パスワード認証のMattermost】

利用できるMattermostとしては

１）自社で構築のMattermost Team Edition セルフホストプラン

２）Mattermost　Team Edition セルフホストプランが利用できるアプライアンス　「Powered BLUE for Mattermost」も選択が可能です。

【MattermostのセルフホストプランでidP / Keycloak 連携のSSOで運用】

ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidP / Keycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

【代理認証】

idP / Keycloakと連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応

【必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホストプラン（ ID / パスワード認証 ）
4. 　ブラウザ（プラグイン不要）

【 idP / Keycloak】

KeycloakはSAMLやOIDC認証でリバースプロキシと接続します

  Keycloakのアプラアインス　「Powered BLUE for idP 」も利用できます

アプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　Keycloak のバックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

iDaaS / idPとしてSAML認証やOIDC認証をサポートの

• Azure AD
• GMOトラストログイン
• 他

なども利用が出来ます

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

【MattermostへのSSO利用ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス
3. idP / Keycloak の認証後にリバースプロキシから Mattermost へユーザー情報を代理入力
4. Mattermostへ自動ログイン

【各種Web システムへのSSO】

一度の idP / Keycloak 認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証 / MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【FIDO2生体認証】

なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」でのパスワードレス認証の運用が出来ます。

スマートフォンのFIDO2対応の生体認証（顔認証や指紋認証）をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【idP / Keycloak連携で代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* ユーザー端末とidPはFIDO2の生体認証

【Mattermostへのパスワードレス認証の利用ステップ】

スマートフォン端末（指紋認証・顔認証）

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

PC端末（指紋認証）

FIDO2対応　USB接続の指紋認証器

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

【Mattermost のこんな使い方に】

• 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない）
• シングルサインオンで運用したい
• パスワードレス認証で運用したい
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
• VMware / Hyper-V などの仮想環境で運用したい
• オンプレ環境で運用したい
• 自社管理で運用したい
• Slackから移行したい

ご質問やご相談など

既存で運用中のWebサイトに認証機能が「ない」場合や、ID/パスワード認証のみで「認証機能が脆弱」な場合、セキュリティ部門などから認証機能を追加して多要素認証での運用や認証機能の強化を求められる場合があります。

【Webの改修は困難】

運用中のWebを改修して、認証機能を追加するには

• ターゲットのWebサーバーの台数が多い
• プログラム的に改修が難しい
• 改修のコストがかかりすぎる

などで、ターゲットのWebサイトを改修して認証機能の強化をしにくいケースがあります。

【Webの改修不要で認証を強化】

Web認証対応のリバースプロキシを中継することにより

• ターゲットのWebを改修不要
• Web認証機能を追加

することが出来ます

導入前

導入後

【認証機能対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種のWeb認証に対応の

• Powered BLUE リバースプロキシ・アプライアンス

を利用できます。

リバースプロキシのWeb認証としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しています。

【OTP認証機能対応のリバースプロキシ】

ワンタイムパスワード認証のリバースプロキシのモデルは

　Powered BLUE Reverse-Proxy / OTP

毎回、使い捨てのワンタイムパスワードで認証を行います。

【登録方法】

登録は簡単

• スマートフォンユーザーは「QRコード」をスキャン
• PCユーザーは「文字列コード」を登録

【アクセス手順】

① ワンタイムパスワードの表示
② リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
③ 2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

【Q＆A】

Q　利用できる無償のソフトウエアトークンは?
A　Google Authenticator / WinAuth  / Authy  / IIJ SmartKey / Microsoft Authenticatorなど

Q　複数のWebサーバーへのリダイレクトは設定できますか？
A　複数のWebサーバーへのリバースプロキシの設定に対応しています

Q　Powered BLUE リバースプロキシ・アプライアンスの提供形態は?
A　RockyLinuxやRedHatに対応のアプライアンスでの提供となります

Q　Powered BLUE リバースプロキシ・アプライアンスの稼働環境は?
A　AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro  他

Q　運用に際して、サードパーティの監視ソフトは必要ですか？
A　自己監視機能を有しており監視ソフトは不要で、ひとり情シスでの運用に対応しています

Q　ロードバランサー配下でも運用できますか?
A　冗長構成での運用にも対応しています

Q　自社管理で運用したいのですが?
A　Powered BLUE は自社管理で運用できるオールインワンのアプライアンスです

スマートフォンやタブレットからは、端末に内蔵の指紋認証や顔認証の機能を利用してWebアクセス認証を行うことが出来ます。パソコンユーザーの場合には、FIDO2対応のUSBなどの生体認証器で利用ができます。

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 第3者がユーザー側の「認証器」を利用しても、認証されません（ なりすまし防止 ）
3. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
4. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )

などの特徴を有しています。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証対応のWebシステム 】

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を適用したい
• スマートフォンやタブレットの生体認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for Biometrics」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証に対応のリバースプロキシ　「Powered BLUE Reverse Proxy for Biometrics」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。