FIDO2とWebAuthn対応 / パスワードレス認証のリバースプロキシで社内Webへアクセス / 生体認証は簡単

社内Webへのアクセスに際して、生体認証(指紋認証)のリバースプロキシ経由でアクセスさせることにより利用者の「本人確認」を行った上で、パスワードレス認証でターゲットのWebシステムへアクセスさせることができます。

 

パスワードレス認証のリバースプロキシを利用

個別のWebサイトをそれぞれ、FIDO2の生体認証&パスワードレスに対応するには手間がかかります。FIDO2 / WebAuthn対応のリバースプロキシで生体認証を行った上で、既存のWebサイトにアクセスさせることで

  • 「セキュアにターゲットWebへアクセス」

を構築&運用できます。

 

リバースプロキシのメリット

リバースプロキシは、ターゲットWebへの中継用途で利用します。リバースプロキシは

  • リダイレクト先を隠蔽できる

特徴を有しています。

リバースプロキシで生体認証を行うことで

  • 複数のターゲットWebへのセキュアなアクセス

が可能です。

また、ターゲットWeb側を変更することなく

  • リバースプロキシを設置するだけ

での運用に対応しています。

 

 

FIDO2規格

FIDO2は、生体認証に際して認証機器とブラウザ、およびターゲットWeb側の認証を行う統一規格です。FIDO2は、CTAPとWebAuthnの規格から構成されます

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

生体情報の保護

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」の外へ漏洩しません

 

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

  • Chrome
  • Edge
  • Firefox
  • Safari

 

対応の生体認証

生体認証には

  • 指紋認証
  • 静脈認証
  • 顔認証
  • 虹彩認証

などがあります。

これらの認証機能から、FIDO2で使いたい認証を選択して利用します。

 

 

今回の構成

生体認証対応のリバースプロキシ・システムとしては、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for Biometrics」を利用します。

 

 

 

リバースプロキシの設定

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します

  • 複数のリバース先 / バックエンドの設定に対応
  • リバース先のポート( http / https / 任意のポート番号)に対応
  • 終端までSSL通信での運用に対応
  • リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能

 

生体認証器

生体認証としては、「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。

 

 

 

セキュリティキーへ指紋登録の手順

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

Windowsでのセキュリティキーへの指紋登録方法

* Windows10ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

 

アカウントを選択

 

サインインオプション&セキュリティキーを選択

 

セキュリティキーにタッチ

 

 

指紋登録のセットアップを選択

 

セキュリティキーにpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

本人の確認(キーに設定したPINコードの入力)

 

 

指紋の登録

 

指紋センサーにタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

他の指も登録できます(合計10本まで)

 

 

生体認証時のターゲットWebへのアクセス手順

例 パスワードレスでの運用のケース

(「生体認証」+「所持認証」の 2要素認証 )

  • 生体認証対応リバースプロキシへアクセス( IDのみ入力 / パスワードレス
  • セキュリティキーにタッチ( 指紋認証
  • 認証後にターゲットのWebへリダイレクト

 

 

 

例 3 要素認証での運用のケース

(「生体認証」+「所持認証」+「パスワード認証」)

  • 生体認証対応リバースプロキシへアクセス( 2要素目 ID & パスワード認証
  • セキュリティキーにタッチ( 3要素目 指紋認証
  • 認証後にターゲットのWebへリダイレクト

 

 

こんな用途に

  • リモートワーク時の「なりすまし防止」&「本人確認」をきっちりと行いたい
  • 社内側のWebサーバーの変更はしたくない
  • ブラウザでアクセスさせたい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない
  • 生体認証時にActive DirectoryやLDAPと連携をしたい

 

 

運用先の環境

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Reverse Proxy for Biometrics」の運用先としては、

  • VMware / Hyper-V
  • AWS/EC2
  • Azure
  • FUJITSU Hybrid IT Service FJcloud-O / 富士通

などでの運用に対応しています。

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE  のデモサイト

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。