Windows Hello for Businessでは、顔認証や指紋認証などの生体認証を用いてAzure Active Directory(Azure AD)への認証を行うことが出来ます。顔認証や指紋認証でWindows端末へログオンして、そのままSAML認証対応のWebサーバーやMicrosoft 365、SaaSなどへシングル・サインオンでアクセスする運用ができます。
SAML認証のWebサーバーを構築して、生体認証でアクセスさせる場合の構成例です。利用できるクライアント端末のユーザーに生体認証を行い、ターゲットWebへのアクセス運用に対応しています。
こんな場合に
- Azure ADを利用している
- Windows端末の認証を強化したい
- Webサイトの認証を強化したい
- 生体認証を利用したい
- 利用端末&ユーザーの認証を強化したい
Windows Helloに対応の生体認証器
Windows Helloとは、Windowsへログインする際に顔認証や指紋認証などの生体認証機能を提供する機能です。Windows 10 / 11のPCに搭載されており、Windows Hello対応のWebカメラや指紋リーダーなどを使うことで利用が出来ます。Windows Helloでは生体認証の補完としてPINによる認証もサポートしています。
| 顔認証 | ノートPCなどに付属のWindows Helloに対応のカメラ | マスク装着では認証不可 |
| 指紋認証 | USB接続のWindows Helloに対応の指紋認証器 | 10本の指が登録できる |
Windows Hello
Windows Hello for Businessでは、顔認証や指紋認証を用いてAzure Active Directory(Azure AD)への認証に対応しています。
| PINコード + 指紋認証 | ✔ |
| PINコード + 顔認証 | ✔ |
| Active Directory / グループポリシー | ✔ |
Windows Helloの特徴
Azure ADとの認証には、公開鍵暗号方式を利用- 生体情報はユーザー側の認証器に格納されAzure ADなどの外部へは漏洩しません
Azure ADに対応のWeb
Azure ADはSAML認証方式をサポートしており、SAML認証に対応のWebやSaaSなどはAzure ADの認証連携でSSOでの運用が出来ます。
SAML認証に対応のWebサーバー
Azure AD(idP)と連携するWebサーバー(SP)としては、SAMLやOIDC認証に対応した「Powered BLUE Web for SSO/IDaaS」を利用します。
* idP アイデンティ・プロバイダー(認証機能を提供する側)
* SP サービス・プロバイダー(認証機能を受ける側)
この製品は
- SAML / OIDC認証対応のSP(サービスプロバイダ)機能
- Web/Mail/DNS/ftp(インターネットサーバー機能)
- Let’s Encrypt (フリープラグインで提供)
- 仮想アプライアンス
- ひとり情シスでの運用に対応
のWebアプライアンスです。Azure / AWSなどのクラウド環境や、VMware / Hyper-Vなどの仮想環境でオールインワンで運用することが出来ます。
ユーザーアカウント不要
SAML / OIDC認証対応のWebサーバー側にはユーザーアカウントを作成することなくidP/Azure ADによるSAML認証を行い、Webサーバーへアクセスさせることが出来ます。またグループアクセスでのコントロールに対応しています。
グループアクセスコントロール 例
- 営業部・開発部・支店のみにアクセスを許可
- 管理職のみにアクセスを許可
- 社員・会員・代理店のみにアクセスを許可
SP機能のWebサーバー側にはユーザーアカウントがないため、Webサーバー側からのアカウント漏洩の心配はありません。
SAML認証対応のWebサイト機能
一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築・運用に対応しています。
 |
|
|
| 一般的なWebコンテンツのWebサイト | WordPressのWebサイト |
必要な機器や環境
ユーザー側 |
汎用のPC | |
|
| ブラウザ | |
||
| 生体認証器 | |
 |
|
システム |
Azure AD
Windows Hello for Business |
 |
|
| SAML認証対応Webシステム | |
||
運用先 |
VMware / Hyper-V / AWS | |
|
生体認証器
生体認証として、Windows Hello対応の「指紋認証器」の登録手順です。
|
|
 |
指紋登録の手順
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
 |
 |
指紋登録方法
* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます
アカウントを選択
サインインオプションを選択 ( Windows Hello 指紋認証を選択)
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
顔認証の登録方法
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「顔認証の登録」が出来ます
アカウントを選択
サインインオプションを選択 ( Windows Hello 顔認証を選択)
PINコードを入力
セットアップ
登録終了
Web / SP側の設定
Powered BLUE Web for SSO/IDaaSにWebを運用する仮想サイトを作成
例 http://wp-sam.mubit.jp
仮想サイトのSSL化
リバースプロキシを運用するWebサイトのSSL化を行ないます。SAML認証に際しては、WebサイトのSSL化が必須です。
SSLのサーバー証明書としては
- サイトのSSL自己証明
- パブリックなSSLサーバー証明書
- Let’s EncryptでのSSLサーバー証明書
に対応しています。
WebサイトのSSL自己証明の場合
SSLを有効にする にチェックを入れます
パブリックなSSLサーバー証明書の場合
必要情報を記載して「署名リクエストの作成」ボタンで作成したテキストを、SSLサーバー証明書を発行する機関へ送付します。
- 「署名リクエストの作成」でファイルを保存
- 作成された「署名リクエスト」 ファイル signig-request.txt を、公的なSSLサーバー証明書の発行機関へ送付
- 公的機関で発行された、サーバー証明書を 「インポート」 します
- 中間証明書のインポートにも対応しています
SSLサーバー証明書が発行されたら「インポート」ボタン操作でSSLサーバー証明書をインポートします
Let’s Encryptの場合
フリープラグイン機能を利用して、Let’s Encryptプログラムをインポートします
FreeSSLを選択
「インストール」 ボタンをクリック
Let’s Encryptインストール後に 「有効にする」 にチェックを入れます
SAML2.0設定
SAMLのエンドポイントを指定します 例 /
idP側のxmlのメタデータをSPへインポートします
idP側のxmlのメタデータをインポートします
SP側のxmlのメタデータをダウンロードします
idP側で作成のメタデータ(xml)をアップロードします
SAML2.0の認証をかけたいdirを指定します
例 /blog
https://wp-sam.mubt.jp/blog/ にSAML認証が適用されます
idPの設定
idP/IDaaSでSAML2.0をサポートしていれば、Powered BLUE Web for SSO/IDaaSと接続が出来ます。
今回はidPとしてAzure ADを利用します
Azure AD の前提条件
- Azure AD Premium
エンタープライズ アプリケーションブレード
自社独自のSAMLベースWebを登録の場合には、[エンタープライズ アプリケーション] ブレードを使用して、アプリケーションを Microsoft ID プラットフォームに接続します。
- お使いの Microsoft ID プラットフォーム管理者アカウントを使用して、Azure Active Directory ポータルにサインインします。
- Azure Active Directory を選択
- [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
- (省略可能だが推奨) [ギャラリーから追加する] 検索ボックスに、アプリケーションの表示名を入力します。 検索結果にアプリケーションが表示されたら、それを選択し、この手順の残りをスキップします。
- [ギャラリー以外のアプリケーション] を選択します。 [独自のアプリケーションの追加] ページが表示されます。
- 新しいアプリケーションの表示名を入力します。
- [追加] を選択します。
この方法でアプリケーションを追加することにより、事前に統合されたアプリケーションに似たエクスペリエンスを提供します。 まず、アプリケーションのサイドバーから、 [シングル サインオン] を選択します。 次の画面 ( [シングル サインオン方式の選択] ) は、SSO を構成するためのオプションを示しています。
SAMLを選択
① 基本的なSAML構成を選択
idp側のxmlを読み込み
メタデータファイルをクリック
idPに読み込むメタデータファイルの指定(SP側のxmlファイル)
もしくは、以下の項目をxmlの内容に沿って記述します
Azure AD SAML の設定例
SAMLの項目
SP側のxmlの内容に従って、以下の項目を設定します。SP側のxmlファイルのアップロードでの登録も出来ます。
エンティティID
https://wp-sam.mubit.jp/endpoint/metadata
応答URL (Assertion Consumer Service URL )
https://wp-sam.mubit.jp/endpoint/postResponse
サインオンURL
https://twp-sam.mubit.jp/develop-dep/
リレー状態
空欄でも可能
ログアウトURL
空欄でも可能
② ユーザー属性とクレーム
必要に応じて設定
③ SAML署名
idP/Azure AD側のフェデレーションメタデータ(XML)をダウンロードして、SP側に登録します
Validate
idPおよびSP側の設定が正しければ、「Validate] ボタンをクリックすると SP側のWebページが表示されます。
SSO認証のステップ
① ターゲットWeb / SP へアクセス
② 初回のみ Azure AD / idP へアクセス ( 生体認証&シングルサインオン )
③ Azure ADの認証後にターゲットのWebサイトの表示
* SP initiated SAML および idP initiated SAMLに対応
◆運用先
SAML認証対応Webアプライアンスの運用先など
- VMwareESXi / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O / IndigoPro / VPS
◆デモサーバー
終わりに
デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。