Keycloakは、FIDO2（ファイド・ツー）に対応した生体認証をサポートしています。FIDO2は、生体認証の統一規格です。この機能を活かし、指紋認証、顔認証、虹彩認証などの生体認証を使用して、Keycloakにログインすることができます。

また、iPhoneやAndroidなどのスマートフォンもFIDO2に対応しています。普段利用している携帯端末の指紋認証や顔認証機能をそのまま、Keycloakのログイン認証に利用することができます。生体認証を利用することで、パスワードレス認証での運用も可能となり利便性も向上します。

ペアリングとアクセス許可

FIDO2の生体認証では、利用できる端末とユーザーがペアリングされて固定されるため、第3者のアクセスを防止できるメリットがあります。

　アクセス許可　＝　① 端末の固定　＋　② 指定のユーザー

例　会社が支給した「Aさん用の端末」を「Aさん」が利用する場合にアクセスを許可する

生体認証

生体認証は、パスワードに比べて安全性と利便性に優れています。パスワードは、忘れたり、盗まれたり、なりすまされたりするリスクがあります。一方、生体認証は、本人の身体的特徴を用いて認証を行うため、これらのリスクを軽減することができます。

生体認証の特徴は、以下のとおりです。

• 偽造やなりすましが困難
• 忘れたり、紛失したりする心配がない

生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびidPの認証を行う統一規格です。

FIDO2 のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っています。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows 10 / 11 やMacintosh、アンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

機種	アンドロイド	IPhone / iPad	Windows	Macintosh	ブラウザ
FIDO2対応

FIDO2での生体情報の保護

FIDO2では、ブラウザを経由してユーザ側の生体認証器とidP / Keycloakの通信を行います

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとidP / Keycloak サーバー間の規格）

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用します

　FIDO2では、生体情報はユーザーの保有する認証器外へ漏洩しません　

FIDO2の生体認証で必要な機器

1. Keycloak / idP
2. SAMLやOIDC認証に対応のWebやリバースプロキシ
3. スマートフォン（アンドロイド・iPhone・iPad）や　PC端末＋FIDO2対応の生体認証器
4. ブラウザ

システム側の環境

• idP / Keycloak
• SP / Web
• KeycloakとWebはSAML認証やOIDC認証で連携

idP / Keycloak		SAML / OIDC認証のWeb

ユーザー側の環境

iPhone / iPadの場合（内蔵の生体認証器を利用）

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合（内蔵の生体認証器を利用）

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合（USB接続の生体認証器を利用）

Windows 10 / 11 Macintosh		FIDO2対応のブラウザ		FIDO2・指紋認証器

機器の構成

① idP認証サーバー

FIDO2に対応のKeycloakのアプライアンス

idP 「Powered BLUE for idP 」

を利用します。

② SAML/OIDC認証に対応のWebサーバー

SAMLやOIDC認証のWebサイトを構築・運用する機能を有しているアプライアンス

SP 「Powered BLUE Reverse-Proxy with SSO 」

を利用できます。

③ SAML / OIDC認証に対応のリバースプロキシ（代理認証機能）

SAML / OIDC認証対応のリバースプロキシから既存のWebへ「ID / パスワード」を代理入力＆代理認証の機能を有しているアプライアンス

SP 「Powered BLUE ReverseProxy for SSO / IDaaS」

を利用できます。

SAML / OIDC認証に未対応の既存のWebを改修不要でSSOのメンバーとして構成します。

SSO構成 ①＋②

• SAML/OIDC認証のWebサイトへアクセス

SSO構成 ①＋③

• SAML/OIDC認証対応のリバースプロキシから既存Webへ「ID / パスワード」を代理入力＆代理認証でSSO

*SAML/OIDCに未対応の既存Webを改修不要で、代理入力＆代理認証でSSO化に対応します

生体認証のSSO

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「iPhone / iPad の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ iPhoneのFace ID やTouch IDの認証機能を利用（初回のみ）
④ 認証後にWebへログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の2要素認証 ）

例　生体認証を利用した3要素認証
（「Android の所持認証」+「生体認証」＋「パスワード認証」の3要素認証 ）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ Androidの顔認証や指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース
（「認証器の所持認証」+「生体認証」= 2要素認証）

3要素認証での運用のケース
（「認証器の所持認証」+「パスワード認証」＋「生体認証」= 3要素認証）

① ターゲットWebへアクセス
② Keycloak認証 （初回のみ）
③ FIDO2の指紋認証機能を利用（初回のみ）
④ 認証後にWebへログイン

各種Webへ生体認証でのSSO

一度のidP / Keycloakへの生体認証で、複数のWebシステムへのシングルサインオン

Powered BLUE アプライアンスの基本構成

• 　OS  RockyLinux   /  RedHat
• 　各種のアプリ
• 　GUIでのサーバーやアプリの設定

管理者の負担軽減での運用

Powered BLUE アプライアンスの統一的なGUIで、関連のアプライアンスはすべて「同一のGUI」で設定できるため、管理者の負担を軽減してシステムの構築や運用に対応しています。

1. 　サーバーの自己監視やサービスの自動再起動機能
2. 　パッチのスケジュールアップデート機能
3. 　管理者への通知機能

KeycloakやSP（Webやリバースプロキシ）の運用先

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

生体認証対応 Keycloak	SAML / OIDC対応Web	SAML / OIDC対応リバースプロキシ

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

こんな場合に

• なりすましを防止したい
• スマートフォンの生体認証を利用したい
• 社員へ配布の端末からのみアクセスさせたい
• パスワードレス認証で運用したい
• 自社管理で生体認証システムを運用したい

ご質問やご相談など

既存で運用のWebサイトの認証について、スマートフォンの生体認証をWeb認証に利用して運用する方法です。

【生体認証】

生体認証により「なりすまし」を防止することが可能です。

スマートフォンの認証機能

• Face ID
• Touch ID

をWebアクセス時の認証に利用します。

【パスワードレス＆シングルサインオン】

既存のWebサイトへアクセスする際に

1. スマートフォンの生体認証（指紋認証や顔認証）で本人確認
2. idPと連携のSSO対応のリバースプロキシ経由で「既存のWeb」へ代理認証
3. ユーザーの操作は「パスワードレス＆シングルサインオン」でWebサイトへアクセス

で構成します。

【idP連携でリバースプロキシから代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応

【代理認証】

OIDC / SAML認証に対応のリバースプロキシがターゲットWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ターゲットWebを「SSOのメンバー」として構成

【FIDO2と生体情報の保護】

スマートフォンのFIDO2対応の生体認証をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【生体認証のステップ】

生体認証を利用したパスワードレス認証
（スマートフォンの「所持認証」+「生体認証」の2要素認証 ）

1. リバースプロキシへアクセス
2. idpでの認証（IDのみ入力 / パスワードレス / 生体認証）
3. 認証後にWebへ自動ログイン（ID/パスワードの代理入力）

【機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォン
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【リバースプロキシ・アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

Webサイトへアクセスする際に、iOSのTouch IDやFace IDなどの指紋認証や顔認証で本人確認を行います。

iPhone / iPadの生体認証をそのまま、Webアクセス時の認証に利用できます。

生体認証により

• なりすましの防止
• パスワードレス認証

での運用が出来ます。

【FIDO2の利用】

iPhone / iPad ではFIDO2の認証を利用します。FIDO2とはWebの認証に際して「生体認証キー」などで認証を行う標準の方式です。

【生体情報の保護】

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

   生体情報は、「iPhone / iPad」内に保存＆保護されます
  公開鍵暗号化方式を利用、「生体情報」が端末外へ漏洩することはありません。

【機器の構成図】

1. idP / 生体認証（WebとはSAMLやOIDC認証で連携）
2. Web /  idPとSAMLやOIDC認証で連携
3. iPhone / iPad（Face ID or Touch ID)
4. safari（ブラウザ）

【生体認証対応のidP / アイデンティティプロバイダー】

生体認証に対応のIDを管理するidPとして

Powered BLUE for idP

を利用できます。

• 生体認証対応のidP機能
• SAMLやOIDC認証機能
• GUIから設定や運用

を有しています。

【idP連携のWeb】

SAML / OIDC認証に対応のWeb・アプライアンスとして

Powered BLUE Web for SSO / IDaaS

を利用できます。

• Webサイト機能（マルチドメイン対応）
• SAMLやOIDC認証機能
• インターネットサーバー機能
• GUIから設定や運用機能

を有しています。

自社のWebサイトの構築＆運用に対応しています。

WordPressやRoundcubeも利用できます。

【Webサイト・生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID のユーザー

生体認証を利用したパスワードレス認証
（iPhone / iPad の「所持認証」+「生体認証」の2要素認証 ）

1. Webへアクセス （IDのみ入力 / パスワードレス ）
2. idP （生体認証）
3. 認証後にWebサイトの表示

【パスワードレス / 生体認証でのWebサイト運用　例】

一般的なWebサイト		WordPressのWebサイト		Roundcube / WebMail

WordPressのWebサイトへのアクセス認証をスマートフォンやタブレットに内蔵の指紋認証や顔認証を使って行う構成です。

生体認証はIDパスワードのような「なりすまし」が可能な認証と異なり、第三者の「なりすまし」を防ぎ厳密な認証を行ってのWebへのアクセス運用が出来ます。

FIDO2/生体情報の保護

FIDO2とは、生体認証などを利用してWebへログインできる標準の規格です。

スマートフォンの生体認証はFIDO2に対応しており、指紋情報や顔情報などの生体情報をスマートフォンの外部に出すことなく、Webサイトへのアクセス認証を行うことが出来ます。

必要な機器や環境

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

Webシステム

生体認証対応idP連携  Web		運用先

* AWS / Azure やVMware / Hyper-V などのクラウドや仮想基盤での運用に対応

今回の構成

Web・システムとしては、生体認証対応のidP と連携の　「Powered BLUE Web for SSO / IDaaS」を利用して構築＆運用します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

• トップページは、ワールドワイドに公開（認証無し）
• 特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可

一般的なWebデータのWebサイト	WordPressのWebサイト

Webへのアクセス手順

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

こんな場合に

• Webアクセス時の厳密な「本人確認」を行いたい
• WordPressで作成のWebを生体認証で運用したい
• スマートフォンやタブレットの生体認証で利用したい

SAML認証やAD連携などの機能は有償のProfessionalやEnterpriseプランでの提供となっており、無償のTeam Edition セルフホストプランでは利用ができません。

【Mattermost 各種プラン】

Mattermost プラン / 費用	Team Edition セルフホスト / 無償	Professional / 有償	Enterprise / 有償
idP連携 / SAML認証 OIDC認証

* Team Edition セルフホストはOSS版です

【Team Edition セルフホストプランの主な機能】

機能	内容
チーム数	無制限
ユーザー数	無制限
チャンネル数/ PlayBook数	無制限
HDD容量	無制限
画面共有
プラグイン
無制限のメッセージ検索と履歴
カード数＆ビュー	無制限
ファイル共有
ワークフローの自動化
プロジェクトマネジメント
レポートと統計
カスタム統合機能
ID / パスワード認証
SAML認証
OIDC認証

Team Edition セルフホストプランでも、ユーザー数、チーム数、チャンネル数やHDD容量などに制限はありません

• 費用を抑えて運用したい
• 自社の環境で運用したい
• SaaSを利用できない
• Slackから移行したい ( マイグレーション)

などの場合には、Team Edition セルフホストプランが利用できます。

【ID/パスワード認証のMattermost】

利用できるMattermostとしては

１）自社で構築のMattermost Team Edition セルフホストプラン

２）Mattermost　Team Edition セルフホストプランが利用できるアプライアンス　「Powered BLUE for Mattermost」も選択が可能です。

【MattermostのセルフホストプランでidP / Keycloak 連携のSSOで運用】

ID / パスワード認証のMattermost Team Edition セルフホストプランをAzure AdなどのidP / Keycloak連携で運用するには、SAML / OIDC認証に対応したID認識型のリバースプロキシを利用して、代理認証を行いMattermostへのシングルサインオンを構成します。

• Mattermostの改修は不要
• Mattermostの設置場所は、WAN / DMZ / LAN の任意の場所に対応

【代理認証】

idP / Keycloakと連携のSAML/OIDC認証対応のID認識型のリバースプロキシからMattermostへ「ID / パスワード」を代理入力＆代理認証を行います。

1. 　ユーザー操作でのMattermostへの「ID / パスワード」の入力不要
2. 　SAML / OIDC認証に未対応のMattermostをSSOのWebメンバーとして構成

* Mattermost以外の、SAML / OIDC認証に未対応の「Webシステム」のSSOにも対応

【必要な機器構成】

1. 　idP
2. 　SAML / OIDC認証機能のID認識型 リバースプロキシ（ ユーザー情報の代理入力機能 ）
3. 　Mattermost  Team Edition セルフホストプラン（ ID / パスワード認証 ）
4. 　ブラウザ（プラグイン不要）

【 idP / Keycloak】

KeycloakはSAMLやOIDC認証でリバースプロキシと接続します

  Keycloakのアプラアインス　「Powered BLUE for idP 」も利用できます

アプライアンスの機能

•    ウィザードによるKeycloakのセットアップ
• 　Keycloak のバックアップ、リストア、アップグレード
• 　SSLサーバー証明書登録 （ トラストストア対応 ）
• 　keycloak へのアクセスポート（ 80 / 443 )
• 　アクティブモニタ（サービス監視・再起動・管理者への通知）
•     SSLクライアント認証
• 　GUIからの操作設定

iDaaS / idPとしてSAML認証やOIDC認証をサポートの

• Azure AD
• GMOトラストログイン
• 他

なども利用が出来ます

【リバースプロキシ・アプライアンス】

リバースプロキシは、SAML / OIDC認証に対応のID認識型リバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【アプライアンスの機能】

• リバースプロキシ機能
• SAMLやOIDC認証
• バックエンドのWebへユーザー情報の代理入力機能
• SSLクライアント認証
• GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

【MattermostへのSSO利用ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス
3. idP / Keycloak の認証後にリバースプロキシから Mattermost へユーザー情報を代理入力
4. Mattermostへ自動ログイン

【各種Web システムへのSSO】

一度の idP / Keycloak 認証で、複数のWebシステムへSSOでアクセスできます

【SSLクライアント認証の併用（多要素認証 / MFA）】

SSLクライアント認証でidPやリバースプロキシへの認証を強化

1. idPとのSAML / OIDC認証
2. SSLクライアント認証

【FIDO2生体認証】

なりすましを防止して本人確認を確実に行えるFIDO2の「生体認証」でのパスワードレス認証の運用が出来ます。

スマートフォンのFIDO2対応の生体認証（顔認証や指紋認証）をWebアクセス時の認証に利用します。

FIDO2による認証では「生体情報」が端末外へ漏洩することはありません。

• 生体情報は「スマートフォン」内に保存＆保護されます

【idP / Keycloak連携で代理入力＆パスワードレスSSO運用時の構成】

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* ユーザー端末とidPはFIDO2の生体認証

【Mattermostへのパスワードレス認証の利用ステップ】

スマートフォン端末（指紋認証・顔認証）

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

PC端末（指紋認証）

FIDO2対応　USB接続の指紋認証器

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ idP / Keycloak へアクセス （IDのみ入力・パスワードレス）
3. idP / Keycloak の生体認証後にリバースプロキシからMattermostへユーザー情報を代理入力
4. Mattermostへ自動ログイン

【Mattermost のこんな使い方に】

• 費用を抑えて導入したい ( Professional / Enterpriseプランは費用面で利用が出来ない）
• シングルサインオンで運用したい
• パスワードレス認証で運用したい
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / VPS  などクラウド環境で運用したい
• VMware / Hyper-V などの仮想環境で運用したい
• オンプレ環境で運用したい
• 自社管理で運用したい
• Slackから移行したい

ご質問やご相談など

既存で運用中のWebサイトに認証機能が「ない」場合や、ID/パスワード認証のみで「認証機能が脆弱」な場合、セキュリティ部門などから認証機能を追加して多要素認証での運用や認証機能の強化を求められる場合があります。

【Webの改修は困難】

運用中のWebを改修して、認証機能を追加するには

• ターゲットのWebサーバーの台数が多い
• プログラム的に改修が難しい
• 改修のコストがかかりすぎる

などで、ターゲットのWebサイトを改修して認証機能の強化をしにくいケースがあります。

【Webの改修不要で認証を強化】

Web認証対応のリバースプロキシを中継することにより

• ターゲットのWebを改修不要
• Web認証機能を追加

することが出来ます

導入前

導入後

【認証機能対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種のWeb認証に対応の

• Powered BLUE リバースプロキシ・アプライアンス

を利用できます。

リバースプロキシのWeb認証としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しています。

【OTP認証機能対応のリバースプロキシ】

ワンタイムパスワード認証のリバースプロキシのモデルは

　Powered BLUE Reverse-Proxy / OTP

毎回、使い捨てのワンタイムパスワードで認証を行います。

【登録方法】

登録は簡単

• スマートフォンユーザーは「QRコード」をスキャン
• PCユーザーは「文字列コード」を登録

【アクセス手順】

① ワンタイムパスワードの表示
② リバースプロキシにアクセス　ID / パスワード / ワンタイムパスワード入力
③ 2要素認証の成功後　リバースプロキシ経由でターゲットのWebサイトの表示

【Q＆A】

Q　利用できる無償のソフトウエアトークンは?
A　Google Authenticator / WinAuth  / Authy  / IIJ SmartKey / Microsoft Authenticatorなど

Q　複数のWebサーバーへのリダイレクトは設定できますか？
A　複数のWebサーバーへのリバースプロキシの設定に対応しています

Q　Powered BLUE リバースプロキシ・アプライアンスの提供形態は?
A　RockyLinuxやRedHatに対応のアプライアンスでの提供となります

Q　Powered BLUE リバースプロキシ・アプライアンスの稼働環境は?
A　AWS / Azure / VMware / Hyper-V / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro  他

Q　運用に際して、サードパーティの監視ソフトは必要ですか？
A　自己監視機能を有しており監視ソフトは不要で、ひとり情シスでの運用に対応しています

Q　ロードバランサー配下でも運用できますか?
A　冗長構成での運用にも対応しています

Q　自社管理で運用したいのですが?
A　Powered BLUE は自社管理で運用できるオールインワンのアプライアンスです

スマートフォンやタブレットからは、端末に内蔵の指紋認証や顔認証の機能を利用してWebアクセス認証を行うことが出来ます。パソコンユーザーの場合には、FIDO2対応のUSBなどの生体認証器で利用ができます。

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 第3者がユーザー側の「認証器」を利用しても、認証されません（ なりすまし防止 ）
3. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
4. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )

などの特徴を有しています。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証対応のWebシステム 】

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を適用したい
• スマートフォンやタブレットの生体認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for Biometrics」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証に対応のリバースプロキシ　「Powered BLUE Reverse Proxy for Biometrics」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【ターゲットのWebなど】

デスクネッツ		サイボウズ
Active Mail		IIS / Web

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

【リバースプロキシの特徴】

1. バックエンドのＷebの認証強化（例　リバースプロキシで認証を追加）
2. バックエンドのWebの改修不要で導入できる
3. バックエンドのWebを隠蔽
4. バックエンドのWebのOSに依存せずに導入できる
5. ブラウザのみで利用できる（VPNのような専用ソフトは不要）
6. VPNに比べて負荷が小さい

【生体認証対応リバースプロキシの構成】

生体認証に対応のidPとしては、「Powered BLUE for idP」アプライアンスを利用します。

idPと連携のリバースプロキシとしては、「Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応リバースプロキシ

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• 携帯端末の生体認証を利用したい
• パスワードレスで運用したい
• リモートワークで社内のWebへ安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

• iPhone / iPad / アンドロイド端末の指紋認証や顔認証（ Touch ID – Face ID )
• PCの生体認証

などを利用してリバースプロキシへの生体認証経由で、ターゲットWebへアクセスさせる構成例です。紛失や盗用されにくい生体認証を使用することにより「なりすまし」を防止することが可能です。認証方式としては、Webアクセス時の生体認証の標準規格である FIDO2 / WebAuthn を利用します。

【リバースプロキシの特徴】

1. バックエンドのWebのOSに依存しない
2. バックエンドのWebを隠蔽できる（セキュリティ上のメリット）
3. ブラウザのみで利用できる（プラグイン不要）

【既存Webの改修不要】

リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを中継することで「生体認証機能を付加＆パスワードレス認証」での運用に対応しています。

例　IIS / Web		例　WordPress

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【生体認証のポイント】

• 生体情報は偽造しにくい
• 生体情報は覚える必要がない
• パスワードレス認証に対応

【必要な機器構成】

1. idP（生体認証対応）
2. SAML / OIDC認証機能のSSOリバースプロキシ（代理認証機能）
3. スマートフォンや生体認証キー
4. ブラウザ（プラグイン不要）

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

　idP「Powered BLUE for idP 」が利用できます

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

【生体認証対応リバースプロキシ】

生体認証連携に対応のリバースプロキシとしては、「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、生体認証の標準規格  「FIDO2 / WebAuthn 」に対応のidPと連携してSAML/OIDC認証で動作します。

【携帯ユーザー】

スマートフォンやタブレットのユーザーは、自身の保有する携帯端末内の生体認証器が使えるため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格  FIDO2 / WebAuthn に対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の FIDO2に標準対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【必要なユーザー環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【Webへ代理認証でのパスワードレス＆SSO構成】

SAML認証やOIDC認証に未対応のWeb

SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」へリバースプロキシからの代理認証でシングルサインオンで運用できます

• ターゲットWebの設置先　LAN / WAN/ DMZ
• ターゲットWebの改修は不要
• ターゲットWebへのリバースプロキシからの「ID/パスワード」の代理入力＆代理認証
• 生体認証によりパスワードレス認証でのSSOに対応

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ Face ID やTouch IDの認証機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ アンドロイド端末の顔認証や指紋認証の機能を利用 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ リバースプロキシからターゲットWebへ「代理認証」＆自動ログイン

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• スマートフォンの生体認証を利用したい
• パスワードレス認証で運用したい
• 海外や出張先のホテルからも安全にWebアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証連携に対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。