生体認証のSSO対応Webを構築運用 / Windows Helloの顔認証や指紋認証でWebアクセス

Windows Hello for Businessでは、顔認証や指紋認証などの生体認証を用いてAzure Active Directory(Azure AD)への認証を行うことが出来ます。顔認証や指紋認証でWindows端末へログオンして、そのままSAML認証対応のWebサーバーやMicrosoft 365、SaaSなどへシングル・サインオンでアクセスする運用ができます。

SAML認証のWebサーバーを構築して、生体認証でアクセスさせる場合の構成例です。利用できるクライアント端末のユーザーに生体認証を行い、ターゲットWebへのアクセス運用に対応しています。

 

 

こんな場合に

  • Azure ADを利用している
  • Windows端末の認証を強化したい
  • Webサイトの認証を強化したい
  • 生体認証を利用したい
  • 利用端末&ユーザーの認証を強化したい

 

 

Windows Helloに対応の生体認証器

Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋リーダーなどを使うことで利用が出来ます。Windows Helloでは生体認証の補完としてPINによる認証もサポートしています。

顔認証 ノートPCなどに付属のWindows Helloに対応のカメラ マスク装着では認証不可
指紋認証 USB接続のWindows Helloに対応の指紋認証器 10本の指が登録できる

 

 

Windows Hello

Windows Hello for Businessでは、顔認証や指紋認証を用いてAzure Active Directory(Azure AD)への認証に対応しています。

 PINコード + 指紋認証   ✔
 PINコード + 顔認証   ✔
 Active Directory / グループポリシー   ✔

 

 

 

 

Windows Helloの特徴

  • https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/key-4-1.png  Azure ADとの認証には、公開鍵暗号方式を利用
  • https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/key-3-1.png 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません

 

 

Azure ADに対応のWeb

Azure ADはSAML認証方式をサポートしており、SAML認証に対応のWebやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。

 

 

SAML認証に対応のWebサーバー

Azure AD(idP)と連携するWebサーバー(SP)としては、SAMLやOIDC認証に対応したPowered BLUE Web  for SSO/IDaaS」を利用します。

 

 

 

 

 

 

* idP  アイデンティ・プロバイダー(認証機能を提供する側)
* SP  サービス・プロバイダー(認証機能を受ける側)

 

この製品は

  • SAML / OIDC認証対応のSP(サービスプロバイダ)機能
  • Web/Mail/DNS/ftp(インターネットサーバー機能)
  • Let’s Encrypt (フリープラグインで提供)
  • 仮想アプライアンス
  • ひとり情シスでの運用に対応

のWebアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。

 

ユーザーアカウント不要

SAML / OIDC認証対応のWebサーバー側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、Webサーバーへアクセスさせることが出来ます。またグループアクセスでのコントロールに対応しています。

グループアクセスコントロール 例

  • 営業部・開発部・支店のみにアクセスを許可
  • 管理職のみにアクセスを許可
  • 社員・会員・代理店のみにアクセスを許可

SP機能のWebサーバー側にはユーザーアカウントがないため、Webサーバー側からのアカウント漏洩の心配はありません。

 

 

SAML認証対応のWebサイト機能

一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。

一般的なWebコンテンツのWebサイト WordPressのWebサイト

 

 

必要な機器や環境

ユーザー側

汎用のPC https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
生体認証器 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/bio-1.png

システム

Azure AD

Windows Hello for Business

SAML認証対応Webシステム

運用先

VMware / Hyper-V / AWS

 

 

生体認証器

生体認証として、Windows Hello対応の「指紋認証器」の登録手順です。

 

 

指紋登録の手順

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

 

指紋登録方法

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

 

アカウントを選択

 

 

サインインオプションを選択 ( Windows Hello 指紋認証を選択)

 

 

 

セキュリティキー(指紋認証器)にタッチ

 

 

 

「セキュリティキーの指紋」のセットアップを選択

 

 

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

「指紋認証器」へ指紋の登録

 

 

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

 

 

他の指も登録できます(合計10本まで)

 

 

 

顔認証の登録方法

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます

 

アカウントを選択

 

サインインオプションを選択 ( Windows Hello 顔認証を選択)

 

 

PINコードを入力

 

セットアップ

 

登録終了

 

 

 

Web / SP側の設定

Powered BLUE Web  for SSO/IDaaSにWebを運用する仮想サイトを作成

例 http://wp-sam.mubit.jp

 

仮想サイトのSSL化

リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。

SSLのサーバー証明書としては

  • サイトのSSL自己証明
  • パブリックなSSLサーバー証明書
  • Let’s EncryptでのSSLサーバー証明書

に対応しています。

 

WebサイトのSSL自己証明の場合

SSLを有効にする にチェックを入れます

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/B870-saml-2.png

 

パブリックなSSLサーバー証明書の場合

必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/csr-1.png

  • 「署名リクエストの作成」でファイルを保存
  • 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付

signing-req-1

  • 公的機関で発行された、サーバー証明書を 「インポート」 します
  • 中間証明書のインポートにも対応しています

SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/12/ssl-import-1.png

 

Let’s Encryptの場合

フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします

FreeSSLを選択

 

「インストール」 ボタンをクリック

 

Let’s Encryptインストール後に 「有効にする」 にチェックを入れます

 

 

SAML2.0設定

SAMLのエンドポイントを指定します  例 /

idP側のxmlのメタデータをSPへインポートします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

 

idP側のxmlのメタデータをインポートします

SP側のxmlのメタデータをダウンロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-13.png

 

idP側で作成のメタデータ(xml)をアップロードします

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/b870-saml-14.png

 

SAML2.0の認証をかけたいdirを指定します

例 /blog

https://wp-sam.mubt.jp/blog/   にSAML認証が適用されます

 

 

 

 

idPの設定

idP/IDaaSでSAML2.0をサポートしていれば、Powered BLUE Web for SSO/IDaaSと接続が出来ます。

今回はidPとしてAzure ADを利用します

 

Azure AD の前提条件

  • Azure AD Premium

 

エンタープライズ アプリケーションブレード

自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。

  • お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Azure Active Directory ポータルにサインインします。
  • Azure Active Directory を選択
  • [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  • (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
  • [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。

  1. 新しいアプリケーションの表示名を入力します。
  2. [追加] を選択します。

この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。

 

 

SAMLを選択

① 基本的なSAML構成を選択

 

idp側のxmlを読み込み

メタデータファイルをクリック

 

idPに読み込むメタデータファイルの指定(SP側のxmlファイル)

もしくは、以下の項目をxmlの内容に沿って記述します

Azure AD SAML の設定例

SAMLの項目

SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。

エンティティID

https://wp-sam.mubit.jp/endpoint/metadata

 

応答URL (Assertion Consumer Service URL )

https://wp-sam.mubit.jp/endpoint/postResponse

 

サインオンURL

https://twp-sam.mubit.jp/develop-dep/

 

リレー状態

空欄でも可能

 

ログアウトURL

空欄でも可能

② ユーザー属性とクレーム

必要に応じて設定

③ SAML署名

idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します

 

Validate

idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。

 

 

 

SSO認証のステップ

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/03/azure-auth-5.png

①   ターゲットWeb / SP へアクセス
②   初回のみ Azure AD / idP へアクセス ( 生体認証&シングルサインオン )
③ Azure ADの認証後にターゲットのWebサイトの表示

* SP initiated SAML および idP initiated SAMLに対応

 

 

運用先

SAML認証対応Webアプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS

 

 

 

デモサーバー

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサーバー

 

 

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。