社内設置のデスクネッツやサイボウズなどのWebへのアクセスに際して、Azure ADでの顔認証や指紋認証などの生体認証(Windows HelloやFIDO2)やワンタイムパスワード認証、SSLクライアント認証に連携したリバースプロキシ経由で、認証機能を強化してアクセスさせる構成例です。
- 既存で運用のデスクネッツやサイボウズなど社内Web側の変更不要
- ターゲットWebは、WANやLAN側のどちらに設置の場合でもアクセス可能
こんな場合に有効
- Azure ADを利用している
- Azure ADで既存Webへのアクセス認証を強化したい
- 既存Webの改修はしたくない
Azure ADの認証方式
ID・パスワード認証に加えて、多要素認証での運用が可能です。
Azure ADで利用できる主な認証方式
認証方式 |
内容 |
認証操作 |
SMS 認証 *1 | 毎回異なるパスワード | 入力が手間 |
ワンタイムパスワード認証 | 毎回異なるパスワード | 入力が手間 |
SSLクライアント認証 | SSLクライアント証明書の配布 | 操作は簡単 |
Windows Hello | 認証器が必要 | 操作は簡単 |
FIDO2 | 認証器が必要 | 操作は簡単 |
*1 SIMスワップ攻撃に注意 / Salesforce ではSMS認証は禁止 / Google ではSMS 認証は非推奨に変更
ワンタイムパスワード認証
Azure ADへワンタイムパスワード認証でログインします。ソフトウエア・トークンなどを利用して、ワンタイムパスワードを表示させます。
無償で利用できるソフトウエア・トークンや対応の端末
製品名 | iOS / Android | Windows | Mac | Linux |
Google Authenticator | ✔ | |||
Microsoft Authenticator | ✔ | |||
IIJ SmartKey | ✔ | |||
Authy | ✔ | ✔ | ✔ | ✔ |
WinAuth | ✔ |
ユーザーのQRコードの読み取り&ワンタイムパスワードの表示
SSLクライアント認証
ユーザーに配布のSSLクライアント証明書でAzure ADへのアクセス認証を行います。
SSLクライアント証明書の発行&SSLクライアント認証ができる製品としては、
などが利用できます。
生体認証
MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、
【A】Windows Helloの生体認証
【B】FIDO2の生体認証
の2方式が利用可能です。
【A】Windows Helloに対応の生体認証器
Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。
顔認証 | ノートPCなどに付属のWindows Helloに対応のカメラ | マスク装着では認証不可 |
指紋認証 | USB接続のWindows Helloに対応の指紋認証器 | 10本の指が登録できる |
【A】Windows Hello+Azure AD
Windows Helloの生体認証(顔認証や指紋認証)を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。
【B】FIDO2に対応の生体認証器
FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。
指紋認証 | USB接続のFIDO2に対応の指紋認証器 | 10本の指が登録できる |
静脈認証 | USB接続のFIDO2に対応の静脈認証器 | 非接触での認証が可能 |
FIDO2対応の静脈認証器 富士通 / PalmSecure Fシリーズ
【B】FIDO2+Azure AD
FIDO2対応の生体認証(指紋認証や静脈認証など)を利用してAzure ADのログイン認証を行うことも出来ます。
* Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です
Windows HelloやFIDO2の特徴
Windows HellowやFIDO2で利用する認証器のセキュリティ
- Azure ADとの認証には、公開鍵暗号方式を利用
- 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません
Azure ADの認証連携に対応のリバースプロキシ
Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。
- ユーザーは生体認証対応のAzure ADへのログイン
- Azure ADとリバースプロキシはSAML認証連携
- ユーザーはリバースプロキシ経由でターゲットWebへアクセス
SAML認証に対応のリバースプロキシ
Azure AD(idP)と連携するリバースプロキシ(SP)としては、SAML認証に対応した「Powered BLUE ReverseProxy for SSO / IDaaS 」を利用します。
* idP アイデンティ・プロバイダー(認証機能を提供する側)
* SP サービス・プロバイダー(認証機能を受ける側)
この製品は
- SAML認証対応のリバースプロキシ機能(SP・サービスプロバイダ)
- Web/Mail/DNS/ftp(インターネットサーバー機能)
- 仮想アプライアンス
- ひとり情シスでの運用に対応
のアプライアンスです。
「Powered BLUE ReverseProxy for SSO / IDaaS 」はAzure AD側の「各種の認証方式」で認証連携できるリバースプロキシとして動作します。
Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。
ユーザーアカウント不要
SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。
グループアクセスコントロール 例
- 営業部・開発部・支店のみにアクセスを許可
- 管理職のみにアクセスを許可
- 社員・会員・代理店のみにアクセスを許可
SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。
ターゲットWebや設置場所
リバースプロキシ経由でアクセスさせるターゲットWebは
- WAN側やLAN側など任意の場所に設置可能
- リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保
例 社内のグループウエアやWebへのアクセス
デスクネッツ | サイボウズ | SharePoint |
必要な機器や環境
ユーザー側 |
汎用のPC | ||
ブラウザ | |||
ワンタイムパスワード認証 ソフトウエア・トークン |
|||
SSLクライアント認証 SSLクライアント証明書 |
|||
生体認証 Windows Hello / FIDO2 |
|||
システム |
Azure AD | ||
SAML認証対応リバースプロキシ | |||
運用先 |
VMware / Hyper-V / AWS |
生体認証器
生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。
|
指紋登録の手順
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
指紋登録方法
* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます
アカウントを選択
サインインオプションを選択 ( 指紋認証を選択)
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
顔認証の登録方法
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます
アカウントを選択
サインインオプションを選択 ( 顔認証を選択)
PINコードを入力
セットアップ
登録終了
リバースプロキシ・SP側の設定
SAML認証に対応のリバースプロキシの設定
Powered BLUE Reverse Proxy for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成
例 https://wp-sam.mubit.jp
Webサーバの有効化
Webサーバーを有効にする にチェックを入れます
リバースプロキシの設定
作成した仮想サイトにリバースプロキシを設定します
例 https://wp-sam.mubit.jp/blog/ ⇒ https://sni-1.mubit.jp/blog/
SAML設定
SAMLのエンドポイントを指定します 例 /
idP側のxmlのメタデータをSPへインポートします
idP側のxmlのメタデータをインポートします
SP側のxmlのメタデータをダウンロードします
idP側で作成のメタデータ(xml)をアップロードします
SAMLの認証をかけたいdirを指定します
例 /blog
https://wp-sam.mubt.jp/blog/ にSAML認証が適用されます
Azure AD / idPの設定
Azure AD の前提条件
- Azure AD Premium
- Wndows Hello for Business ( Windows Helloの場合 )
エンタープライズ アプリケーションブレード
自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。
- お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Azure Active Directory ポータルにサインインします。
- Azure Active Directory を選択
- [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
- (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
- [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。
- 新しいアプリケーションの表示名を入力します。
- [追加] を選択します。
この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。
SAMLを選択
① 基本的なSAML構成を選択
SP側のxmlを読み込み
メタデータファイルをクリック
idPに読み込むメタデータファイルの指定(SP側のxmlファイル)
もしくは、以下の項目をxmlの内容に沿って記述します
Azure AD SAML の設定例
SAMLの項目
SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。
エンティティID
https://wp-sam.mubit.jp/endpoint/metadata
応答URL (Assertion Consumer Service URL )
https://wp-sam.mubit.jp/endpoint/postResponse
サインオンURL
https://wp-sam.mubit.jp/develop-dep/
リレー状態
空欄でも可能
ログアウトURL
空欄でも可能
② ユーザー属性とクレーム
必要に応じて設定
③ SAML署名
idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します
Validate
idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。
例 現在のユーザーとしてサインイン
エラーが表示される場合には、メッセージをコピーします
エラーが表示される場合には、メッセージをクリップボードに貼り付けると修正方法が、サジェスチョンされます
エラーを適宜修正して、正常にアクセス出来ればセットアップは終了です。
ターゲットWebへのアクセス手順
① 認証対応のリバースプロキシへアクセス
② 初回のみ Azure AD へアクセス ( 生体認証&シングルサインオン )
③ Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示
* SP initiated SAML および idP initiated SAMLに対応
HA構成
シングルAZ + ロードバランサー
マルチリージョンでリバースプロキシの冗長構成での運用
- リージョンA / 東日本データセンタ
- リージョンB / 西日本データセンタ
◆運用先
SAML認証対応リバースプロキシ・アプライアンスの運用先など
- VMwareESXi / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS
◆携帯端末の生体認証
アンドロイドやiPhone / iPad の指紋認証や顔認証に対応のリバースプロキシ
◆デモサーバー
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。