月別アーカイブ: 2022年6月

IISのWebサイトをFIDO2の生体認証で構築運用 / パスワードレス認証に対応

WindowsのWebサーバー(IIS)へのアクセスを生体認証の標準認証方式である FIDO2 / WebAuthn の指紋認証や顔認証などの認証で運用させる構成です。

スマートフォンやタブレットからは、端末に内蔵の指紋認証や顔認証の機能を利用してWebアクセス認証を行うことが出来ます。パソコンユーザーの場合には、FIDO2対応のUSBなどの生体認証器で利用ができます。

 

 

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

  1. パスワードを覚える必要がない ( パスワードレス認証 )
  2. 第3者がユーザー側の「認証器」を利用しても、認証されません( なりすまし防止 )
  3. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
  4. 携帯端末やPCおよびブラウザなどはFIDO2に対応済( 生体認証の標準規格 )

などの特徴を有しています。

 

 

 

【携帯ユーザー】

 

 

 

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

 

 

【PCユーザー

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

 

 

 

 

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

 

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

【生体認証対応のWebシステム 】

Web認証システムとしては、生体認証の標準規格である FIDO2 / WebAuthn に対応のPowered BLUE Web for Biometrics」アプライアンス・システムを利用します。

FIDO2 / WebAuthn の生体認証に対応のWebサイトの自社構築・運用に対応しています。

 

 

 

 

【Webアクセス時の生体認証のステップ】

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応Webへアクセス (IDのみ入力 / パスワードレス
② 生体認証 ( 2要素目の認証
③ 認証後にWebサイトの表示

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応Webへアクセス (IDのみ入力 / パスワードレス
② 生体認証 ( 2要素目の認証
③ 認証後にWebサイトの表示

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証

(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応のWebへアクセス (IDのみ入力 / パスワードレス
② 指紋認証 ( 2要素目の認証
③ 認証後にWebサイトの表示

 

 

 

【多要素認証】

生体認証に加えて

  • SSLクライアント認証
  • ワンタイムパスワード認証
  • AD認証
  • LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

 

 

 

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

  • 本人確認をきっちりと行いたい
  • 生体認証を適用したい
  • スマートフォンやタブレットの生体認証を利用したい
  • パスワードレス認証でアクセスしたい
  • 自社管理で生体認証のWebサイトを構築運用したい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない

 

 

【運用先】

Powered BLUE Web for Biometrics」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証に対応のリバースプロキシ Powered BLUE Reverse Proxy for Biometrics」アプライアンス・システムを利用します。

 

生体認証に対応のリバースプロキシを中継することで

  • 既存Webの改修不要で生体認証を導入

できます。

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。