サイボウズやデスクネッツなど社内Webへパスワードレス認証機能のリバースプロキシでアクセス / VMwareやHyper-Vで運用

社内のサイボウズやデスクネッツ、WordPress、SharePointなどのWebサイトへアクセスする際に、FIDO2/WebAuthn対応のリバースプロキシで生体認証機能を利用して「本人確認」を行った後に、既存の社内Webへアクセスさせる運用の構成です。

リバースプロキシは、生体認証の一つである「指紋認証」を利用してパスワードレス認証で運用します。強力な「本人確認」機能により「なりすまし」を防止することが可能です。パスワードレス認証機能のリバースプロキシは、VMware やHyper-Vでの運用に対応しています。複数のバックエンドWebへのアクセス処理を1台の生体認証対応のリバースプロキシで運用できます。

 

【ターゲットのWebなど

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/02/cybozu-setup-ssl-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/03/ca-site-dir2.png
サイボウズ デスクネッツ WordPress

 

 

【なりすまし防止&リバースプロキシ構成】

LANに限らず、クラウドやWAN側に設置のWebについても

  • 生体認証対応のリバースプロキシ経由でのアクセスに限定

することにより厳密な「本人確認」を行った上で、ターゲットWebへアクセスさせる運用に対応。

既存Web側に 「認証機能がない」 もしくは 「認証機能が脆弱」 なケースでも導入ができます。既存Web側の改修は不要です。

 

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

FIDO2では、認証器を利用することによりフィッシングを防止してパスワードレス認証を行います。

 

 

【生体情報の保護】

認証器による生体情報の保護

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

【利用のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

  • Chrome
  • Edge
  • Firefox
  • Safari

 

【生体認証】

FIDO2対応の生体認証としては

  • 指紋認証
  • 静脈認証
  • 顔認証
  • 虹彩認証

などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。

 

【指紋認証の特徴】

  • 10本の指が登録でき、どの指でも認証ができる
  • 認証精度が安定している
  • 認証器が豊富
  • USBタイプはPCへの接続が簡単
  • 汎用のPCから利用できる
  • Windows10の標準機能で指紋登録ができる

 

【必要な機器や環境】

ユーザー側

汎用のPC https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png

ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
生体認証器 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/bio-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

システム

生体認証対応リバースプロキシ

運用先

VMware / Hyper-V

 

 

 

【今回の構成】

生体認証対応のidPと認証連携のリバースプロキシ・システムとしては https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE ReverseProxy for SSO / IDaaS」を利用します。

 

 

 

 

【VMware / Hyper-V 基盤へのインポート】

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE ReverseProxy for SSO / IDaaS」の仮想アプライアンス・イメージを VMware ESXiや Hyper-V 基盤へインポートします。

 

 

 

【リバースプロキシの設定】

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE ReverseProxy for SSO / IDaaS」へリバースプロキシ先を登録します

  • 複数のリバース先 / バックエンドの設定に対応
  • リバース先のポート( http / https / 任意のポート番号)に対応
  • 終端までSSL通信での運用に対応
  • リバースプロキシーのWebサイトに Let’s Encrypt の利用が可能
  • TLSレベルの指定に対応

 

 

 

 

【生体認証器】

生体認証としては、「指紋認証」を選択します。USBタイプの製品は接続が簡単で便利です。

 

 

 

【指紋認証器へ指紋登録の手順】

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

 

【Windowsでのセキュリティキー(指紋認証器)への指紋登録方法】

* Windows10ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

 

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー(指紋認証器)にタッチ

 

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

本人の確認(指紋認証器に設定したPINコードの入力)

 

「指紋認証器」へ指紋の登録

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます(合計10本まで)

 

 

【生体認証時のターゲットWebへのアクセス手順】

例 パスワードレスでの運用のケース

(「認証器の所持認証」+「生体認証」の2要素認証  )

 

  • 生体認証対応リバースプロキシへアクセス( IDのみ入力 / パスワードレス
  • セキュリティキーにタッチ( 指紋認証 )
  • 認証後にターゲットのWebへリダイレクト

 

 

 

【こんな用途に】

  • Webアクセス時の「なりすまし防止」&「本人確認」を行いたい
  • 既存Webサーバーの変更はしたくない
  • ブラウザでアクセスさせたい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない
  • パスワードレス認証システムを利用したい

 

 

【VMware / Hyper-V 以外での運用先】

生体認証対応のリバースプロキシ・システム https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE ReverseProxy for SSO / IDaaS」は

  • AWS
  • Azure
  • FUJITSU Hybrid IT Service FJcloud-O(富士通のクラウド基盤)

などでの運用にも対応しています

 

 

携帯端末の生体認証

アンドロイドやiPhone / iPad の指紋認証や顔認証を利用したい場合には、携帯の生体認証に対応のリバースプロキシを利用

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif携帯の生体認証に対応のリバースプロキシ「Powered BLUE ReverseProxy for SSO / IDaaS

 

 

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE  のデモサイト