スマートフォンのTouch IDやFace IDの生体認証に連携のリバースプロキシで代理認証を行い社内WebへパスワードレスでSSO

既存のWebサイトへアクセスする際に、iPhoneやアンドロイド携帯、PCなどの指紋認証や顔認証で本人確認を行い、生体認証のidPに連携のリバースプロキシ経由で社内Webへシングルサインオンを行う構成です。

 

 

 

 

 

ターゲットのWebサイトへアクセスさせる場合に、生体認証により「パスワードレス認証」および「なりすましを防止」することが可能です。

またターゲットWeb側にSAMLやOIDC認証機能がない場合でも、リバースプロキシを利用することで代理認証で「シングルサインオン」での運用に対応しています。

リバースプロキシを経由することで「ターゲットWebの改修不要」で既存のシステムへ導入できます。

 

 

 

 

【FIDO2の利用と生体情報の保護】

 

 

FIDO2の認証を利用します。FIDO2とはWebの認証に際して「生体認証キー」などで認証を行う標準の方式です。

認証器(セキュリティ・キー)による「認証」および「生体情報」の保護

  生体情報は、スマートフォンなどの「認証器」内に保存&保護されます
公開鍵暗号方式(公開鍵・秘密鍵)では、生体情報は「認証器」外へ漏洩しません

 

 

 

 

 

 

【idP / 生体認証サーバー】

 

 

 

 

生体認証に対応のidPとして

Powered BLUE for idP

が利用できます。

  • 生体認証対応のidP
  • SAMLやOIDC認証機能
  • GUIから設定や運用

を有しています。

 

 

【生体認証機能のidPに連携のリバースプロキシ】

 

 

 

 

 

リバースプロキシとしては、SAMLやOIDC認証&代理入力機能に対応の Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

  • リバースプロキシ機能
  • SAMLやOIDC認証
  • バックエンドのWebへユーザー情報の代理入力機能
  • GUIから設定や運用

を有しており、任意の場所で自社管理でオールインワンでの運用を行うことが出来ます。

 

 

 

【必要な機器や環境】

ユーザー側端末

 iPhone / iPad の場合
ブラウザ
生体認証器  Touch ID / Face ID

 

ユーザー側端末

 Android の場合
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
生体認証器 顔認証 指紋認証

 

ユーザー側端末

 汎用PC の場合 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
FIDO2・生体認証器 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

 

 

 

システム側

idP / 生体認証対応 リバースプロキシ SAML/OIDCに未対応のWeb

 

 

 

パスワードレス認証でWebへのSSO

  • idP / 生体認証(パスワードレス認証)
  • SAML / OIDC認証対応のSSOリバースプロキシ(Webへの代理入力・代理認証機能)
  • ターゲットWebへのSSO

* idPとリバースプロキシは、SAMLもしくはOIDC認証で連携
* ターゲットWebは、WAN / DMZ / LAN の任意の場所に設置
* ターゲットWebの改修不要

 

【代理認証】

SAML / OIDC認証対応のリバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

  1.  ユーザー操作でのWebへの「ID / パスワード」の入力不要
  2.  SAML / OIDC認証に未対応のWebをSSOのメンバーとして構成

 

 

【パスワードレス&SSOのステップ】

iPhone / iPad  + Touch ID / Face ID のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力 Webへログイン

 

 

Android  + 指紋認証 / 顔認証のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力 Webへログイン

 

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② idP / 生体認証
③ 認証後にリバースプロキシからターゲットWeb へID/パスワード代理入力 Webへログイン

 

 

 

各種Web システムへのSSO

一度の idP認証で、複数のWebシステムへSSOでアクセスできます

 

 

 

 

 

【こんな用途に適しています】

  •  本人確認をきっちりと行いたい
  •  既存Webの改修はせずに認証機能を強化したい
  •     パスワードレスで認証したい
  •  ブラウザのみでアクセスさせたい
  •  VPNは負荷が高いので使いたくない

 

 

【運用先】

 

生体認証対応idPやリバースプロキシやアプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。