FIDO2対応 / 生体認証のWebをFUJITSU Hybrid IT Service FJcloud-Oに構築運用 / スマートフォンやPCからアクセス

FIDO2 / WebAuthn対応のWebサイトを富士通の国産クラウド基盤 https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif FUJITSU Hybrid IT Service FJcloud-O 」に構築・運用する構成例です。Webサイトへのアクセスに際しては、「なりすまし」防止機能に優れた「生体認証」を利用することでパスワードレス認証でのWebサイトのアクセス認証の運用が出来ます。

ユーザー側の機器としては、スマートフォンやタブレット、パソコンなどのFIDO2 / WebAuthn 生体認証に対応の機器からのアクセスに対応しています。

FIDO2対応のWebサイトとしては、一般的なWebコンテンツの他、WordPressで作成のWebサイトの生体認証の構築・運用にも対応しています。

 

【FIDO2 / WebAuthnとは】

 

 

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証(パスワードレス認証)が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

  • 指紋認証器
  • 顔認証器
  • 静脈認証器

などがあります。

 

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

  1. 主要なブラウザは、すべてFIDO2に対応済
  2. Windows やアンドロイドなどもFIDO2に対応済
  3. iPhone / iPad はSafari (ブラウザ)が対応済

 

 

【携帯ユーザー】

 

 

 

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

 

 

【PCユーザー

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

 

 

 

 

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

【システム環境】

 
生体認証対応Webシステム 運用先

 

 

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

 

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

 

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

  • パスワードを覚える必要がない ( パスワードレス認証 )
  • 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
  • 第3者がユーザー側の「認証器」を利用しても、認証されません(なりすまし防止)

 

 

 

 

【今回の構成】

FIDO2生体認証対応のidPと連携のWeb・システムとしては、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gifPowered BLUE Web for SSO / IDaaS」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

 

 

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

  • 回線費用は無償(ベストエフォート)
  • オブジェクトストレージからのダウンロードも無償(ベストエフォート)
  • Firewall無償
  • リモートコンソールでの管理画面へのアクセス
  • OpenStack準拠
  • API / Ansible / OpenStack Horizon からコントロール可能
  • 単一ゾーンでのSLA 99.99%
  • アンチ・アフィニティをサポート
  • ISMAPに対応

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

 

 

 

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

 

FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

  • リージョン East3 / West3

「FUJITSU Hybrid IT Service FJcloud-O」 でインスタンスを作成します。

  • サーバー名指定
  • サーバータイプ選択
  • パブリックイメージ選択
  • HDD サイズ指定 例 30GB

 

FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする 例

ご利用者側では、セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。

 

 

 

【生体認証対応のWebサーバー】

Webサイトの機能は

  • 一般的なWebコンテンツのWebサイト
  • WordPerssで作成のWebサイト

などの構築&運用に対応

 

Webページの任意のディレクトリに生体認証を設定できます

運用例

  • トップページは、ワールドワイドに公開
  • 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

 

一般的なWebコンテンツのサイト WordPressのサイト

 

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

  • Web サイトには、ユーザーアカウントは作成不要での運用に対応

 

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール&セットアップが出来ます

 

フリープラグインを選択

リストアップされた WordPress の メガネ マークをクリック

 

WordPressをインストール&セットアップします

  • WordPressには、ユーザーアカウントは作成不要での運用に対応
  • WordPressは最新版にアップデートできます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/04/key-cloak-5.png

 

 

【生体認証器 PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/finger-1.jpg

 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/bio-1.png

 

 

【指紋認証器の登録手順】

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

【Windowsでのセキュリティキー(指紋認証器)への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

 

1)アカウントを選択

 

 

2)サインインオプション&セキュリティキーを選択

 

 

3)セキュリティキー(指紋認証器)にタッチ

 

 

 

4)「セキュリティキーの指紋」のセットアップを選択

 

 

5)セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

6)本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

7)「指紋認証器」へ指紋の登録

 

 

8)指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

 

 

 

9)他の指も登録できます(合計10本まで)

 

 

 

 

【Webへのアクセス手順】

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応Webへアクセス (IDのみ入力 / パスワードレス
② 生体認証 ( 2要素目の認証
③ 認証後にWebサイトの表示

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応Webへアクセス (IDのみ入力 / パスワードレス
② 生体認証 ( 2要素目の認証
③ 認証後にWebサイトの表示

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

 

パスワードレス認証で運用のケース

(「認証器の所持認証」+「生体認証」の2要素認証 )

1)生体認証対応Webへアクセス(IDのみ入力 / パスワードレス

2)セキュリティキーにタッチ(指紋認証

3)認証後にターゲットのWebサイトが表示されます

 

3要素認証で運用のケース

(「パスワード認証」+「認証器の所持認証」+「生体認証」 の3要素認証 )

 

1)生体認証対応Webへアクセス(ID & パスワード認証

2)セキュリティキーにタッチ(指紋認証

3)認証後にターゲットのWebサイトが表示されます

 

 

 

 

【こんな場合に】

  • Webアクセス時に確実な「本人確認」を行いたい
  • パスワードレスでのWeb認証を行いたい
  • スマートフォンの生体認証を利用したい
  • 海外や出張先のホテルからも安全にアクセスしたい
  • VPNは負荷が高いので使いたくない
  • 固定予算内での運用を行いたい
  • 国内のクラウド基盤で運用したい

 

 

【既存のWebへ生体認証でアクセスするには】

すでに既存で運用のWebサイトへ生体認証でアクセスさせるには

 生体認証対応のidPと連携のリバースプロキシ

で対応します。

既存のWebサイトを改修することなく「生体認証システム」の導入が可能です。

 

 

 

 

 

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE  のデモサイト

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください