ターゲットのWebサイトへアクセスさせる際に
- iPhone / iPad / アンドロイド端末の指紋認証や顔認証( Touch ID – Face ID )
- PCの生体認証
などを利用してリバースプロキシへの生体認証経由で、ターゲットWebへアクセスさせる構成例です。紛失や盗用されにくい生体認証を使用することにより「なりすまし」を防止することが可能です。認証方式としては、Webアクセス時の生体認証の標準規格である FIDO2 / WebAuthn を利用します。
【リバースプロキシの特徴】
- バックエンドのWebのOSに依存しない
- バックエンドのWebを隠蔽できる(セキュリティ上のメリット)
- ブラウザのみで利用できる(プラグイン不要)
【既存Webの改修不要】
リバースプロキシを中継することで、ターゲットWeb側を改修することなく既存のシステムへの導入が出来ます。ターゲットWeb側に認証機能がない場合でも、生体認証対応のリバースプロキシを中継することで「生体認証機能を付加&パスワードレス認証」での運用に対応しています。
例 IIS / Web | 例 WordPress |
【FIDO2 / WebAuthnとは】
FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証(パスワードレス認証)が可能です。またFIDO2 / WebAuthn では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。
FIDO2 / WebAuthn に対応の「生体認証デバイス」としては
- 指紋認証器
- 顔認証器
- 静脈認証器
などがあります。
FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。
- 主要なブラウザは、すべてFIDO2に対応済
- Windows やアンドロイドなどもFIDO2に対応済
- iPhone / iPad はSafari (ブラウザ)が対応済
【生体認証のポイント】
- 生体情報は偽造しにくい
- 生体情報は覚える必要がない
- パスワードレス認証に対応
【必要な機器構成】
- idP(生体認証対応)
- SAML / OIDC認証機能のSSOリバースプロキシ(代理認証機能)
- スマートフォンや生体認証キー
- ブラウザ(プラグイン不要)
【 idP】
生体認証 / SAML認証 / OIDC認証に対応のidP
idP「Powered BLUE for idP 」が利用できます
【idPとリバースプロキシはSAML認証やOIDC認証で接続】
【生体認証対応リバースプロキシ】
生体認証連携に対応のリバースプロキシとしては、「Powered BLUE Reverse-Proxy with SSO 」アプライアンスを利用します。
このリバースプロキシ・アプライアンスは、生体認証の標準規格 「FIDO2 / WebAuthn 」に対応のidPと連携してSAML/OIDC認証で動作します。
【携帯ユーザー】
スマートフォンやタブレットのユーザーは、自身の保有する携帯端末内の生体認証器が使えるため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。
【PCユーザー】
PCのユーザーは、USB接続のFIDO2対応の生体認証器(例 指紋認証器)などを利用します。Windows 10 / 11 は生体認証の FIDO2に標準対応しており、利用に際して「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。
【必要なユーザー環境】
iPhone / iPadの場合
iOS 14以降 | ブラウザ / Safari | Touch ID / Face ID |
アンドロイドの場合
Android 7 以降 | FIDO2対応のブラウザ | 指紋認証 / 顔認証 |
汎用PCの場合
Windows 10 / 11 | FIDO2対応のブラウザ | FIDO2・生体認証器 |
【生体情報の保護】
FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザとRPサーバー間の規格)
FIDO2 / WebAuthnでは
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
【Webへ代理認証でのパスワードレス&SSO構成】
SAML認証やOIDC認証に未対応のWeb |
SAML認証やOIDC認証に「未対応のWeb」や「レガシーなWeb」へリバースプロキシからの代理認証でシングルサインオンで運用できます
- ターゲットWebの設置先 LAN / WAN/ DMZ
- ターゲットWebの改修は不要
- ターゲットWebへのリバースプロキシからの「ID/パスワード」の代理入力&代理認証
- 生体認証によりパスワードレス認証でのSSOに対応
【生体認証のステップ】
iPhone / iPad + Touch ID / Face ID のユーザー
例 生体認証を利用したパスワードレス認証
(「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( Face ID やTouch IDの認証機能を利用 )
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン
Android + 指紋認証 / 顔認証 のユーザー
例 生体認証を利用したパスワードレス認証
(「Android の所持認証」+「生体認証」の 2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 生体認証 ( アンドロイド端末の顔認証や指紋認証の機能を利用 )
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン
PC + FIDO2・指紋認証キー のユーザー
例 生体認証を利用したパスワードレス認証
(「認証器の所持認証」+「生体認証」の2要素認証 )
① 生体認証対応リバースプロキシへアクセス (IDのみ入力 / パスワードレス )
② 指紋認証 ( 2要素目の認証 生体認証 )
③ リバースプロキシからターゲットWebへ「代理認証」&自動ログイン
【リバースプロキシの設定】
アプライアンスの設定は、すべてGUIから行えます。
リバースプロキシの設定例
例 https://bio-auth.mubit.com/blog/ ⇒ https://sni-1.mubit.jp/blog/
【多要素認証】
生体認証に加えて
- SSLクライアント認証
- ワンタイムパスワード認証
- AD認証
- LDAP認証
などの組合せによる、多要素認証での運用にも対応しています
【こんな用途に適しています】
- 本人確認をきっちりと行いたい
- 既存Webサーバーの改修はせずに認証機能を追加&強化したい
- ブラウザでアクセスさせたい
- スマートフォンの生体認証を利用したい
- パスワードレス認証で運用したい
- 海外や出張先のホテルからも安全にWebアクセスしたい
- VPNは負荷が高いので使いたくない
【運用先】
生体認証連携に対応リバースプロキシ・アプライアンスの運用先など
- VMwareESXi / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他
終わりに
詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。