FIDO2 / WebAuthn対応のWebサイトを構築・運用する構成例です。Webサイトへのアクセスに際しては、「なりすまし」防止機能に優れた「生体認証」を利用することでパスワードレス認証でのWebサイトのアクセス認証の運用が可能です。

Webサイトの認証に、スマートフォンやタブレット、パソコンの指紋認証や顔認証を利用できます。

FIDO2対応のパスワードレス認証のWebサイトとしては、一般的なWebサイトの他、WordPressでのWebサイトの構築運用にも対応しています。

FIDO2規格

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

CTAP（利用者側の認証機器とブラウザ間の規格）
WebAuthn（ブラウザと認証idPサーバー間の規格）

FIDO2では、

認証器（セキュリティ・キー）を利用することにより「なりすましを防止」してパスワードレス認証を行います。

生体情報の保護

認証器（セキュリティ・キー）による「認証」および「生体情報」の保護

生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

FIDO2対応のブラウザ

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

Chrome
Edge
Firefox
Safari

生体認証

FIDO2対応の生体認証には

指紋認証
静脈認証
顔認証
虹彩認証

などがあります。

パソコン・ユーザーの場合にはこれらの認証方式から、使いやすい「指紋認証」を選択して利用します。

スマートフォンやタブレット・ユーザーの場合には、内蔵の「指紋認証や顔認証」などを選択して利用します。

指紋認証の特徴

10本の指が登録でき、どの指でも認証ができる
認証精度が安定している
認証器が豊富
USBタイプはPCへの接続が簡単
汎用のPCで利用できる
Windows10 / 11 の標準機能で指紋登録ができる

必要な機器や環境

汎用PCの場合


Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

iPhone / iPadの場合


iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合


Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

今回の構成

FIDO2 生体認証対応の idP / Web システム

認証サーバー / idP （アイデンティティ・プロバイダー）

idP「Powered BLUE for idP 」を利用します

Keycloakの機能を有したアプライアンスです

Webサーバー / SP （サービスプロバイダー）

Web「Powered BLUE Web for SSO 」を利用します

idPとWebはSAML認証やOIDC認証で連携します。

生体認証対応のWebサーバー

一般的なWebデータのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。任意のディレクトリに「生体認証」を設定できます。

例

トップページは、ワールドワイドに公開（認証無し）
特定のディレクトリは、「生体認証」で会員や社員のみにアクセス許可


一般的なWebデータのWebサイト	WordPressのWebサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

* Web サイトには、ユーザーアカウントは作成不要での運用にも対応しています

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　「WordPress の」　メガネ　マークをクリック

WordPressをインストール＆セットアップします

* WordPressには、ユーザーアカウントは作成不要での運用に対応

*最新版のWordPressへアップデートできます

生体認証器（PCユーザー）

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

指紋認証器へ指紋登録の手順

利用者はUSBタイプの「指紋認証器」をPCへ接続
利用者の指紋を「指紋認証器」へ登録

Windowsでのセキュリティキー（指紋認証器）への指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

アカウントを選択

サインインオプション&セキュリティキーを選択

セキュリティキー（指紋認証器）にタッチ

「セキュリティキーの指紋」のセットアップを選択

セキュリティキー（指紋認証器）にpinコードを設定

新規使用時や初期化時にpinコードを設定します
pinコードは、指紋などの登録や再登録時にも使用します（重要）

本人の確認（指紋認証器に設定したPINコードの入力）

「指紋認証器」へ指紋の登録

指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

他の指も登録できます（合計10本まで）

Webへのアクセス手順

Android ＋指紋認証 / 顔認証のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証）

① 生体認証対応Webへアクセス（IDのみ入力 / パスワードレス認証）
② idPでの生体認証
③ 認証後にWebサイトの表示

iPhone / iPad ＋ Touch ID / Face ID のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証）

① Webへアクセス（IDのみ入力 / パスワードレス認証）
② idPでの生体認証
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キーのユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証）

① Webへアクセス（IDのみ入力 / パスワードレス認証）
② idPでの生体認証
③ 認証後にWebサイトの表示

こんな場合に

Webアクセス時の厳密な「本人確認」を行いたい
Webサイトのアクセスを生体認証で運用したい
スマートフォンやタブレットの生体認証で利用したい
VPNは負荷が高いので使いたくない

既存のWebへ生体認証でアクセスするには

すでに既存で運用のWebサイトへ生体認証 / パスワードレスでアクセスさせるには

　SAML/OIDC認証に対応のSSOリバースプロキシ

で対応します。

SAML / OIDC認証に対応のリバースプロキシ側からWebシステムへのユーザーID・パスワードの「代理入力」機能により

パスワードレス認証
シングルサインオン

での運用が可能です

* idPとリバースプロキシはSAML認証やOIDC認証での認証連携
* 既存のWebサイトの改修は不要
* 既存のWebサイトは WAN / DMZ / LAN の任意の場所の設置に対応