社内Webへのアクセスに際して、生体認証(指紋認証や顔認証)のリバースプロキシ経由でアクセスさせることにより利用者の「本人確認」を行った上で、パスワードレス認証でターゲットのWebシステムへアクセスさせることができます。
生体認証対応のリバースプロキシを利用
アンドロイド携帯・iPhone ・iPad やWindows PCなどの端末から、生体認証リバースプロキシへのアクセスに対応しています。
個別のWebサイトをそれぞれ、FIDO2の生体&パスワードレス認証に対応するには手間がかかります。FIDO2 / WebAuthn対応のリバースプロキシで生体認証を行った上で、既存のWebサイトにアクセスさせることで
- 「セキュアにターゲットWebへアクセス」
を構築&運用できます。
リバースプロキシのメリット
リバースプロキシは、ターゲットWebへの中継用途で利用します。
リバースプロキシは
- リダイレクト先のWebサイトを隠蔽できる
- リダイレクト先のWebサイトの改修不要
- ブラウザのみで利用できる(プラグイン不要)
FIDO2規格
FIDO2は、生体認証に際して認証機器とブラウザ、およびターゲットWeb側の認証を行う統一規格です。
FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。
- 主要なブラウザは、すべてFIDO2に対応済
- Windows やアンドロイドなどもFIDO2に対応済
- iPhone / iPad はSafari (ブラウザ)が対応済
生体情報の保護
FIDO2は、CTAPとWebAuthnの規格から構成されます
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザとRPサーバー間の規格)
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」の外へ漏洩しません
FIDO2対応のブラウザ
現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは
- Chrome
- Edge
- Firefox
- Safari
対応の生体認証
FIDO2対応の生体認証には
- 指紋認証
- 静脈認証
- 顔認証
- 虹彩認証
などがあります。
これらの認証機能から、使いたい認証を選択して利用します。
今回の構成
生体認証対応のリバースプロキシ・システムとしては
認証サーバー
idP 「Powered BLUE for idP 」
認証を受けるリバースプロキシサーバー
SP 「Powered BLUE Reverse-Proxy with SSO 」
を利用します。
リバースプロキシ側からWebシステムへのユーザーID・パスワードの代理入力機能により
- パスワードレス認証
- シングルサインオン
での運用が可能です。
* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応
リバースプロキシの設定
、「Powered BLUE Reverse-Proxy with SSO 」へリバースプロキシ先を登録します
- 複数のリバース先 / バックエンドの設定に対応
- リバース先のポート( http / https / 任意のポート番号)に対応
- 終端までSSL通信での運用に対応
- リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能
ユーザー側の環境
iPhone / iPadの場合 (内蔵の生体認証器を利用)
 |
 |
 |
||
| iOS 14以降 | ブラウザ / Safari | Touch ID / Face ID |
アンドロイドの場合(内蔵の生体認証器を利用)
 |
|
|
||
| Android 7 以降 | FIDO2対応のブラウザ | 指紋認証 / 顔認証 |
汎用PCの場合(USB接続の生体認証器を利用)
|
|
 |
||
| Windows 10 / 11 | FIDO2対応のブラウザ | FIDO2・生体認証器 |
生体認証器(PC対応)
PCから利用の場合、生体認証としてはFIDO2対応の「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。
 |
 |
 |
 |
生体認証器へ指紋登録の手順
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
 |
 |
Windowsでのセキュリティキーへの指紋登録方法
* Windows10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます
アカウントを選択
サインインオプション&セキュリティキーを選択
セキュリティキーにタッチ
指紋登録のセットアップを選択
セキュリティキーにpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(キーに設定したPINコードの入力)
指紋の登録
指紋センサーにタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
生体認証時のターゲットWebへのアクセス手順
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 顔認証や指紋認証 )
③ 認証後にターゲットのWebへリダイレクト
Android + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( 顔認証や指紋認証 )
③ 認証後にターゲットのWebへリダイレクト
PC + FIDO2・指紋認証キー のユーザー
 |
|
例 パスワードレスでの運用のケース
(「認証器の所持認証」+「生体認証」の 2要素認証 )
- 生体認証対応リバースプロキシへアクセス( IDのみ入力 / パスワードレス)
- セキュリティキーにタッチ( 指紋認証 )
- 認証後にターゲットのWebへリダイレクト
例 3 要素認証での運用のケース
(「認証器の所持認証」+「パスワード認証」+「生体認証」の 3要素認証 )
- 生体認証対応リバースプロキシへアクセス( 2要素目 ID & パスワード認証 )
- セキュリティキーにタッチ( 3要素目 指紋認証 )
- 認証後にターゲットのWebへリダイレクト
こんな用途に
- リモートワーク時の「本人確認」をきっちりと行いたい
- 既存のWebサーバーの変更はしたくない
- 携帯端末の生体認証を利用したい
- ブラウザでアクセスさせたい
- 海外や出張先のホテルからも安全にアクセスしたい
- VPNは負荷が高いので使いたくない
- 生体認証時にActive DirectoryやLDAPと連携をしたい
運用先の環境
 |
 |
「Powered BLUE Reverse-Proxy with SSO 」の運用先としては、
- VMware / Hyper-V
- AWS/EC2
- Azure
- FUJITSU Hybrid IT Service FJcloud-O / 富士通
- VPS
などでの運用に対応しています。
デモサイト
Powered BLUE のデモサイトを用意しています
操作や動作を確認することが出来ます
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。