iPhone / iPadのTouch IDやFace IDの生体認証に対応のリバースプロキシ経由で社内Webへアクセス

既存のWebサイトへアクセスする際に、iOSのTouch IDやFace IDなどの指紋認証や顔認証で本人確認を行い、生体認証対応のリバースプロキシ経由でターゲットのWebへアクセスさせる構成です。

リモートワークなどでターゲットのWebサイトへアクセスさせる場合に生体認証により「なりすまし」を防止することが可能です。リバースプロキシを利用することでターゲットWeb側を改修することなく既存のシステムへ導入できます。またターゲットWeb側に認証機能がない場合でも、リバースプロキシを利用することで生体認証機能を付加&パスワードレス認証での運用に対応しています。

 

【WebAuthnの利用と生体情報の保護】

生体認証対応のリバースプロキシは、iOSの標準ブラウザであるSafariとTouch ID / Face IDの生体認証機能を利用してWebAuthnにより公開鍵暗号化方式でユーザー認証を行います。

公開鍵暗号方式では、ユーザーの生体情報は iPhone / iPad端末側にとどまり外部へ漏洩することはありません。

 

  WebAuthnでは生体情報は、「iPhone / iPad」内に保存&保護されます
公開鍵暗号方式(公開鍵・秘密鍵)では、生体情報は「認証器」外へ漏洩しません

 

 

 

【生体認証対応リバースプロキシ】

iOSのTouch ID / Face IDの生体認証に対応のリバースプロキシとしては、Powered BLUE Reverse Proxy for Biometrics」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、FIDO2 / WebAuthnに対応しています。

 

 

 

【必要な機器や環境】

ユーザー側端末

iPhone / iPad の場合
ブラウザ
生体認証器  Touch ID / Face ID

ユーザー側端末

汎用PC の場合 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png
ブラウザ https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
FIDO2・生体認証器 https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

システム

生体認証対応
リバースプロキシ&RPサーバー

運用先

VMware / AWS

 

 

 

 

【ネットワーク構成 】

  • ターゲットWebの設置先 LAN / WAN
  • リバースプロキシ経由でのターゲットWebアクセスに限定

 

 

 

【生体認証のステップ】

iPhone / iPad  + Touch ID / Face ID のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( 2要素目の認証 )
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証  生体認証
③ 認証後にリバース先のターゲットWebへリダイレクト

 

 

リバースプロキシの設定

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例 https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

 

 

【認証の組合せ】

生体認証に加えて

  • SSLクライアント認証
  • ワンタイムパスワード認証
  • AD認証
  • LDAP認証

などの認証の組合せでの運用にも対応しています

 

 

 

【こんな用途に適しています】

  •  本人確認をきっちりと行いたい
  •  既存Webサーバーの改修はせずに認証機能を強化したい
  •  ブラウザでアクセスさせたい
  •  海外や出張先のホテルからも安全にアクセスしたい
  •  VPNは負荷が高いので使いたくない

 

 

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。