スマートフォン / タブレット / PCの生体認証に対応のリバースプロキシ経由で社内Webへアクセス / FIDO2やWebAuthnを利用 / 既存Webの改修不要

ターゲットのWebサイトへアクセスさせる際に

  • iPhone / iPad / アンドロイド端末の指紋認証や顔認証( Touch ID – Face ID )
  • PCの生体認証

 

 

などを利用してリバースプロキシへの生体認証経由で、ターゲットWebへアクセスさせる構成例です。紛失や盗用されにくい生体認証を使用することにより「なりすまし」を防止することが可能です。認証方式としては、Webアクセス時の生体認証の標準規格である FIDO2 / WebAuthn を利用します。

【リバースプロキシの特徴】

  1. バックエンドのWebのOSに依存しない
  2. バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
  3. ブラウザのみで利用できる(プラグイン不要)

 

 

 

【既存Webの改修不要】

リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを中継することで「生体認証機能を付加&パスワードレス認証」での運用に対応しています。

例 IIS / Web 例 WordPress

 

 

【FIDO2 / WebAuthnとは】

 

 

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証(パスワードレス認証)が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

  • 指紋認証器
  • 顔認証器
  • 静脈認証器

などがあります。

 

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

  1. 主要なブラウザは、すべてFIDO2に対応済
  2. Windows やアンドロイドなどもFIDO2に対応済
  3. iPhone / iPad はSafari (ブラウザ)が対応済

 

 

 

【生体認証のポイント】

  • 生体情報は偽造しにくい
  • 生体情報は覚える必要がない
  • パスワードレス認証に対応

 

 

【必要な機器構成】

  1. idP(生体認証対応)
  2. SAML / OIDC認証機能のSSOリバースプロキシ(代理認証機能)
  3. スマートフォンや生体認証キー
  4. ブラウザ(プラグイン不要)

 

 

【 idP】

生体認証 / SAML認証 / OIDC認証に対応のidP

 idP「Powered BLUE for idP 」が利用できます

 

【idPとリバースプロキシはSAML認証やOIDC認証で接続】

 

 

 

【生体認証対応リバースプロキシ】

生体認証連携に対応のリバースプロキシとしては、Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。

このリバースプロキシ・アプライアンスは、生体認証の標準規格  「FIDO2 / WebAuthn 」に対応のidPと連携してSAML/OIDC認証で動作します。

 

 

 

 

 

【携帯ユーザー】

スマートフォンやタブレットのユーザーは、自身の保有する携帯端末内の生体認証器が使えるため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格  FIDO2 / WebAuthn に対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。

 

 

【PCユーザー

PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の FIDO2に標準対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

 

 

 

 

【必要なユーザー環境】

iPhone / iPadの場合

iOS 14以降 ブラウザ / Safari Touch ID / Face ID

 

アンドロイドの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png
Android 7 以降 FIDO2対応のブラウザ 指紋認証 / 顔認証

 

汎用PCの場合

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/10/uh55-1.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/brauza-3.png https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png
Windows 10 / 11 FIDO2対応のブラウザ FIDO2・生体認証器

 

 

 

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

  • CTAP(利用者側の認証機器とブラウザ間の規格)
  • WebAuthn(ブラウザとRPサーバー間の規格)

 

 

 

 

 

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存&保護されます
  公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません

 

 

 

 

 

Webへ代理認証でのパスワードレス&SSO構成

SAML認証やOIDC認証に未対応のWeb

 

SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」へリバースプロキシからの代理認証でシングルサインオンで運用できます

  • ターゲットWebの設置先 LAN / WAN/ DMZ
  • ターゲットWebの改修は不要
  • ターゲットWebへのリバースプロキシからの「ID/パスワード」の代理入力&代理認証
  • 生体認証によりパスワードレス認証でのSSOに対応

 

 

 

 

 

【生体認証のステップ】

iPhone / iPad  + Touch ID / Face ID  のユーザー

例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( Face ID やTouch IDの認証機能を利用 )
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン

 

 

 

Android  + 指紋認証 / 顔認証 のユーザー

例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
生体認証 ( アンドロイド端末の顔認証や指紋認証の機能を利用 )
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン

 

 

 

PC + FIDO2・指紋認証キー のユーザー

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fido-usb-1.png

例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )

① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証  生体認証
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン

 

 

リバースプロキシの設定

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例 https://bio-auth.mubit.com/blog ⇒  https://sni-1.mubit.jp/blog/

 

 

【多要素認証】

生体認証に加えて

  • SSLクライアント認証
  • ワンタイムパスワード認証
  • AD認証
  • LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

 

 

 

【こんな用途に適しています】

  • 本人確認をきっちりと行いたい
  • 既存Webサーバーの改修はせずに認証機能を追加&強化したい
  • ブラウザでアクセスさせたい
  • スマートフォンの生体認証を利用したい
  • パスワードレス認証で運用したい
  • 海外や出張先のホテルからも安全にWebアクセスしたい
  • VPNは負荷が高いので使いたくない

 

 

【運用先】

 

 

 

 

 

生体認証連携に対応リバースプロキシ・アプライアンスの運用先など

  • VMwareESXi / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) /  VPS / 他

 

 

終わりに

詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。