社内のサイボウズやデスクネッツ、WordPress、SharePointなどのWebサイトへアクセスする際に、FIDO2/WebAuthn対応のリバースプロキシで生体認証機能を利用して「本人確認」を行った後に、既存の社内Webへアクセスさせる運用の構成です。
リバースプロキシは、生体認証の一つである「指紋認証」を利用してパスワードレス認証で運用します。強力な「本人確認」機能により「なりすまし」を防止することが可能です。パスワードレス認証機能のリバースプロキシは、VMware やHyper-Vでの運用に対応しています。複数のバックエンドWebへのアクセス処理を1台の生体認証対応のリバースプロキシで運用できます。
【ターゲットのWebなど】
サイボウズ | デスクネッツ | WordPress |
【なりすまし防止&リバースプロキシ構成】
LANに限らず、クラウドやWAN側に設置のWebについても
- 生体認証対応のリバースプロキシ経由でのアクセスに限定
することにより厳密な「本人確認」を行った上で、ターゲットWebへアクセスさせる運用に対応。
既存Web側に 「認証機能がない」 もしくは 「認証機能が脆弱」 なケースでも導入ができます。既存Web側の改修は不要です。
【FIDO2規格】
FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザとRPサーバー間の規格)
FIDO2では、認証器を利用することによりフィッシングを防止してパスワードレス認証を行います。
【生体情報の保護】
認証器による生体情報の保護
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
【利用のブラウザ】
現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは
- Chrome
- Edge
- Firefox
- Safari
【生体認証】
FIDO2対応の生体認証としては
- 指紋認証
- 静脈認証
- 顔認証
- 虹彩認証
などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。
【指紋認証の特徴】
- 10本の指が登録でき、どの指でも認証ができる
- 認証精度が安定している
- 認証器が豊富
- USBタイプはPCへの接続が簡単
- 汎用のPCから利用できる
- Windows10の標準機能で指紋登録ができる
【必要な機器や環境】
ユーザー側 |
汎用のPC | ||
ブラウザ | |||
生体認証器 | |||
システム |
生体認証対応リバースプロキシ | ||
運用先 |
VMware / Hyper-V |
【今回の構成】
生体認証対応のidPと認証連携のリバースプロキシ・システムとしては 「Powered BLUE ReverseProxy for SSO / IDaaS」を利用します。
【VMware / Hyper-V 基盤へのインポート】
「Powered BLUE ReverseProxy for SSO / IDaaS」の仮想アプライアンス・イメージを VMware ESXiや Hyper-V 基盤へインポートします。
【リバースプロキシの設定】
、「Powered BLUE ReverseProxy for SSO / IDaaS」へリバースプロキシ先を登録します
- 複数のリバース先 / バックエンドの設定に対応
- リバース先のポート( http / https / 任意のポート番号)に対応
- 終端までSSL通信での運用に対応
- リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能
- TLSレベルの指定に対応
【生体認証器】
生体認証としては、「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。
【指紋認証器へ指紋登録の手順】
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
【Windowsでのセキュリティキー(指紋認証器)への指紋登録方法】
* Windows10ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます
アカウントを選択
サインインオプション&セキュリティキーを選択
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
【生体認証時のターゲットWebへのアクセス手順】
例 パスワードレスでの運用のケース
(「認証器の所持認証」+「生体認証」の2要素認証 )
- 生体認証対応リバースプロキシへアクセス( IDのみ入力 / パスワードレス)
- セキュリティキーにタッチ( 指紋認証 )
- 認証後にターゲットのWebへリダイレクト
【こんな用途に】
- Webアクセス時の「なりすまし防止」&「本人確認」を行いたい
- 既存Webサーバーの変更はしたくない
- ブラウザでアクセスさせたい
- 海外や出張先のホテルからも安全にアクセスしたい
- VPNは負荷が高いので使いたくない
- パスワードレス認証システムを利用したい
【VMware / Hyper-V 以外での運用先】
生体認証対応のリバースプロキシ・システム 「Powered BLUE ReverseProxy for SSO / IDaaS」は
- AWS
- Azure
- FUJITSU Hybrid IT Service FJcloud-O(富士通のクラウド基盤)
などでの運用にも対応しています
【携帯端末の生体認証】
アンドロイドやiPhone / iPad の指紋認証や顔認証を利用したい場合には、携帯の生体認証に対応のリバースプロキシを利用
携帯の生体認証に対応のリバースプロキシ「Powered BLUE ReverseProxy for SSO / IDaaS」
【デモサイト】
Powered BLUE のデモサイトを用意しています
操作や動作を確認することが出来ます