月別アーカイブ: 2022年3月

社内のデスクネッツやサイボウズへAzure ADの生体認証やワンタイムパスワード認証などの多要素認証でアクセス / リバースプロキシを利用

社内設置のデスクネッツやサイボウズなどのWebへのアクセスに際して、Azure ADでの顔認証や指紋認証などの生体認証(Windows HelloやFIDO2)やワンタイムパスワード認証、SSLクライアント認証に連携したリバースプロキシ経由で、認証機能を強化してアクセスさせる構成例です。

  • 既存で運用のデスクネッツやサイボウズなど社内Web側の変更不要
  • ターゲットWebは、WANやLAN側のどちらに設置の場合でもアクセス可能

 

こんな場合に有効

  • Azure ADを利用している
  • Azure ADで既存Webへのアクセス認証を強化したい
  • 既存Webの改修はしたくない

 

 

Azure ADの認証方式

ID・パスワード認証に加えて、多要素認証での運用が可能です。

 

Azure ADで利用できる主な認証方式

 認証方式
 内容
 認証操作
  SMS 認証 *1  毎回異なるパスワード  入力が手間
  ワンタイムパスワード認証  毎回異なるパスワード  入力が手間
  SSLクライアント認証  SSLクライアント証明書の配布  操作は簡単
  Windows Hello  認証器が必要  操作は簡単
  FIDO2  認証器が必要  操作は簡単

*1 SIMスワップ攻撃に注意  / Salesforce ではSMS認証は禁止   / Google ではSMS 認証は非推奨に変更

 

 

ワンタイムパスワード認証

Azure ADへワンタイムパスワード認証でログインします。ソフトウエア・トークンなどを利用して、ワンタイムパスワードを表示させます。

 

無償で利用できるソフトウエア・トークンや対応の端末

製品名 iOS / Android Windows Mac Linux
Google Authenticator
Microsoft Authenticator
IIJ SmartKey
Authy
WinAuth

 

ユーザーのQRコードの読み取り&ワンタイムパスワードの表示

 

 

SSLクライアント認証

ユーザーに配布のSSLクライアント証明書でAzure ADへのアクセス認証を行います。

 

SSLクライアント証明書の発行&SSLクライアント認証ができる製品としては、

 Powered BLUE Private CA

などが利用できます。

 

 

 

生体認証

MicrosoftのAzure AD ( idP ) へのログイン認証では、多要素認証として顔認証や指紋認証などの生体認証をサポートしています。Azure ADで生体認証を利用する場合には、

【A】Windows Helloの生体認証
【B】FIDO2の生体認証

の2方式が利用可能です。

 

 

 

 

【A】Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋認証器などを使うことで利用が出来ます。Windows Helloの補完としてPINによる認証もサポートしています。

顔認証 ノートPCなどに付属のWindows Helloに対応のカメラ マスク装着では認証不可
指紋認証 USB接続のWindows Helloに対応の指紋認証器 10本の指が登録できる

 

 

【A】Windows Hello+Azure AD

Windows Helloの生体認証(顔認証や指紋認証)を利用してAzure ADの認証を行う場合には、Windows Hello for Business を使います。

 

 

 

 

【B】FIDO2に対応の生体認証器

FIDO2に対応の生体認証器は、主にUSB接続の指紋認証タイプの製品が多いです。静脈認証の製品もあります。Windows 10 / 11のPCでは、簡単にFIDO2機器への指紋の登録が出来ます。指紋の登録方法は、Windows Helloの場合と同様です。

指紋認証 USB接続のFIDO2に対応の指紋認証器 10本の指が登録できる
静脈認証 USB接続のFIDO2に対応の静脈認証器 非接触での認証が可能

 

FIDO2対応の静脈認証器 富士通 /  PalmSecure Fシリーズ

 

 

【B】FIDO2+Azure AD

FIDO2対応の生体認証(指紋認証や静脈認証など)を利用してAzure ADのログイン認証を行うことも出来ます。

* Windows Hello やFIDO2ともに、ログイン認証時の操作方法は同一です

 

 

Windows HelloやFIDO2の特徴

Windows HellowやFIDO2で利用する認証器のセキュリティ

  • Azure ADとの認証には、公開鍵暗号方式を利用
  • 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

 

 

 

Azure ADの認証連携に対応のリバースプロキシ

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のリバースプロキシやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

  • ユーザーは生体認証対応のAzure ADへのログイン
  • Azure ADとリバースプロキシはSAML認証連携
  • ユーザーはリバースプロキシ経由でターゲットWebへアクセス

 

 

 

SAML認証に対応のリバースプロキシ

Azure AD(idP)と連携するリバースプロキシ(SP)としては、SAML認証に対応したPowered BLUE ReverseProxy for SSO / IDaaS 」を利用します。

* idP  アイデンティ・プロバイダー(認証機能を提供する側)
* SP  サービス・プロバイダー(認証機能を受ける側)

 

この製品は

  • SAML認証対応のリバースプロキシ機能(SP・サービスプロバイダ)
  • Web/Mail/DNS/ftp(インターネットサーバー機能)
  • 仮想アプライアンス
  • ひとり情シスでの運用に対応

のアプライアンスです。

Powered BLUE ReverseProxy for SSO / IDaaS 」はAzure AD側の「各種の認証方式」認証連携できるリバースプロキシとして動作します。

Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

 

 

ユーザーアカウント不要

SAML認証対応のリバースプロキシ側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、リバースプロキシへアクセスさせることが出来ます。また「グループアクセス」でのコントロールに対応しています。

 

グループアクセスコントロール 例

  • 営業部・開発部・支店のみにアクセスを許可
  • 管理職のみにアクセスを許可
  • 社員・会員・代理店のみにアクセスを許可

SP機能のリバースプロキシ側にはユーザーアカウントがないため、リバースプロキシ側からの「アカウント漏洩」の心配はありません。

 

 

 

ターゲットWebや設置場所

リバースプロキシ経由でアクセスさせるターゲットWebは

  • WAN側やLAN側など任意の場所に設置可能
  • リバースプロキシ経由でのアクセスに限定することで、セキュリティを確保

 

例 社内のグループウエアやWebへのアクセス

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-proxy-11.png https://www.mubit.co.jp/sub/products/blue/img2/share-point-2-2.png
デスクネッツ サイボウズ SharePoint

 

 

 

 

必要な機器や環境

ユーザー側

 汎用のPC https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
ワンタイムパスワード認証
ソフトウエア・トークン
SSLクライアント認証
SSLクライアント証明書
生体認証
Windows Hello / FIDO2		 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

システム

 Azure AD

SAML認証対応リバースプロキシ

運用先

 VMware / Hyper-V / AWS

 

 

生体認証器

生体認証として、Windows HelloやFIDO2対応の「指紋認証器」の登録手順です。

 

 

指紋登録の手順

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

 

アカウントを選択

サインインオプションを選択 ( 指紋認証を選択)

 

 

 

セキュリティキー(指紋認証器)にタッチ

 

 

 

「セキュリティキーの指紋」のセットアップを選択

 

 

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

「指紋認証器」へ指紋の登録

 

 

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

 

 

他の指も登録できます(合計10本まで)

 

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

 

アカウントを選択

 

サインインオプションを選択 ( 顔認証を選択)

 

 

PINコードを入力

 

セットアップ

 

登録終了

 

 

 

リバースプロキシ・SP側の設定

SAML認証に対応のリバースプロキシの設定

Powered BLUE Reverse Proxy  for SSO/IDaaSにリバースプロキシを運用する仮想サイトを作成

例 https://wp-sam.mubit.jp

 

Webサーバの有効化

Webサーバーを有効にする にチェックを入れます

 

 

リバースプロキシの設定

作成した仮想サイトにリバースプロキシを設定します

 

例 https://wp-sam.mubit.jp/blog/  ⇒  https://sni-1.mubit.jp/blog/

 

 

SAML設定

SAMLのエンドポイントを指定します  例 /

idP側のxmlのメタデータをSPへインポートします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

 

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

 

idP側で作成のメタデータ(xml)をアップロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-14.png

 

SAMLの認証をかけたいdirを指定します

例 /blog

https://wp-sam.mubt.jp/blog/   にSAML認証が適用されます

 

 

 

Azure AD / idPの設定

Azure AD の前提条件

  • Azure AD Premium
  • Wndows Hello for Business  ( Windows Helloの場合 )

 

エンタープライズ アプリケーションブレード

自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。

  • お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Azure Active Directory ポータルにサインインします。
  • Azure Active Directory を選択
  • [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  • (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
  • [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。

  1. 新しいアプリケーションの表示名を入力します。
  2. [追加] を選択します。

この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。

 

 

SAMLを選択

 

① 基本的なSAML構成を選択

 

SP側のxmlを読み込み

メタデータファイルをクリック

 

idPに読み込むメタデータファイルの指定(SP側のxmlファイル)

もしくは、以下の項目をxmlの内容に沿って記述します

 

Azure AD SAML の設定例

SAMLの項目

SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。

エンティティID

https://wp-sam.mubit.jp/endpoint/metadata

 

応答URL (Assertion Consumer Service URL )

https://wp-sam.mubit.jp/endpoint/postResponse

 

サインオンURL

https://wp-sam.mubit.jp/develop-dep/

 

リレー状態

空欄でも可能

 

ログアウトURL

空欄でも可能

② ユーザー属性とクレーム

必要に応じて設定

③ SAML署名

idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します

 

Validate

idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。

例 現在のユーザーとしてサインイン

エラーが表示される場合には、メッセージをコピーします

エラーが表示される場合には、メッセージをクリップボードに貼り付けると修正方法が、サジェスチョンされます

エラーを適宜修正して、正常にアクセス出来ればセットアップは終了です。

 

 

ターゲットWebへのアクセス手順

①   認証対応のリバースプロキシへアクセス
②   初回のみ Azure AD へアクセス ( 生体認証&シングルサインオン )
③ Azure ADの認証後にリバースプロキシ経由でターゲットWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

 

 

HA構成

 シングルAZ + ロードバランサー

 

 

マルチリージョンでリバースプロキシの冗長構成での運用

  • リージョンA / 東日本データセンタ
  • リージョンB / 西日本データセンタ

 

 

 

運用先

SAML認証対応リバースプロキシ・アプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS

 

 

携帯端末の生体認証

アンドロイドやiPhone / iPad の指紋認証や顔認証に対応のリバースプロキシ

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif 携帯の生体認証に対応のリバースプロキシ

 

 

デモサーバー

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサーバー

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。