Passkey認証のSSOリバースプロキシ

社内WebへPakkeyでSSO

 
 




 

Passkey認証に対応のリバースプロキシ

「Powered BLUE ReverseProxy for SecureAccess 」は、Passkey認証のリバースプロキシです。


現在運用中の既存Webシステムを改修することなく
   Passkey認証対応のリバースプロキシで既存Webへアクセス
させることの出来るアプライアンスです。


SSO機能リバースプロキシ・アプライアンスの主な機能


この製品はidPと連携して「ID認識型リバースプロキシ」( IAP: Identity Aware Proxy ) として動作します。

 Passkey認証のリバースプロキシ
 idPとPasskey認証で連携
 Passkey認証に未対応のWebシステムをSSOメンバーとして構成
 リダイレクト先のWebへのユーザー情報の代理入力
 リダイレクト先のWebへのHTTPヘッダ方式でのユーザー情報の転送










Passkey認証(パスワードレス認証)


FIDOアライアンスが推進するパスキー認証は、スマートフォンなどの生体認証情報(指紋、顔認証、虹彩認証など)を利用して、ウェブサイトの認証を行う方法です。

   安全性:パスワードの推測や漏洩のリスクに比べ、Passkey認証は生体認証情報に基づいているため安全です。
   利便性:パスワードを覚える必要がなく、スマートフォンの生体認証機能で簡単にログインできます。
   汎用性:スマートフォン以外のPCなどの様々なデバイスと連携して利用ができます。




クロスデバイス認証とは

クロスデバイス認証とは、スマートフォンのパスキー認証を利用して、認証機能を持たないPCなどの端末からターゲットのWebへ認証連携でアクセスさせる機能です。

Passkey認証 ✅ クロスデバイス認証  クロスデバイス認証



Bluetooth利用時のクロスデバイス認証のアクセス手順

① PC端末のブラウザでパスキー認証のターゲットのリバースプロキシへ
② PC端末のブラウザにQRコードを表示
③ QRコードをスマートフォンでスキャン
④ スキャンしたQRコードをスマートフォンでパスキー認証
⑤ Bluetooth通信によりスマートフォンとPC間で認証連携
⑥ PC端末のブラウザでターゲットのリバースプロキシ先のWebサイトへアクセス







同期パスキーとデバイスバウンドパスキー

FIDO2の拡張規格である 「Passkey 」認証 では、秘密鍵の保存に関して

① デバイス間で同期できる同期パスキー( Synced passkeys )
② デバイスに依存して保存・利用するデバイスバウンドパスキー( Device bound passkeys )

の2種類のパスキーをサポートしています。




主な相違
項目
1. 同期パスキー
2.デバイスバウンドパスキー
保存方法 クラウドサービスを利用 特定のデバイス内に保存
利用方法 複数のデバイスで利用可能 1つのデバイスのみ利用可能
メリット 紛失・故障時の復旧が容易 より高い安全性
デメリット セキュリティリスクがやや高い 複数のデバイスで利用できない




パスキー対応ネットワーク構成

機器構成
 Passkey認証連携のリバースプロキシ
 Passkey認証のidP / Keycloak
 クライアントの機器 ( スマートフォンやPC端末 )
 既存のWeb (改修不要 )
 ブラウザ ( プラグイン不要 )


 



同期パスキーを利用の場合
 iCloudキーチェーン
 Googleパスワードマネージャー

などのプラットフォーマーが運用するクラウドサービスと連携






パスキー認証のidP

Keycloakを簡単に構築運用できる Powered BLUE for idP」を利用します



Keycloakアプライアンスの主な機能

 サーバーの設定(Network / Firewall )
 ウィザードによるKeycloakの構成(スタンドアロンやクラスター)
 DB設定
 Keycloak のバックアップ、リストア、アップグレード
 SSLサーバー証明書登録 ( トラストストア対応 )
 keycloak へのアクセスポート ( 80 / 443 )
 リバースプロキシ構成 ( 80 / 443 )
 アクティブモニタ(サービス監視・再起動・管理者への通知)
 ベースOS AlmaLinux 9.x / RockyLinux 9.x / RedHat 9.x に対応









代理認証

Passkey認証対応のリバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証

 ユーザー操作でのWebへの「ID / パスワード」の入力不要
 Passkey認証に未対応のWebをSSOのメンバーとして構成

 




Passky認証連携でのSSO構成パターン

Passkey認証のリバースプロキシ経由でのSSO
 idP側と Passkey認証でリバースプロキシ連携
 リバースプロキシからバックエンドのWeb側へ 「ID / パスワード」を代理入力
 バックエンドのWebは改修不要






Passky認証の構成パターン

同期パスキーの機器構成
パスキー認証 = ① Passkey認証端末 + ② ユーザー



クロスデバイス認証 = ① PC端末 + ②Passkey認証端末 + ③ ユーザー






デバイスバウンドパスキーの機器構成
パスキー認証 = ① PC端末 + ②USB認証器 + ③ ユーザー




USB認証器
   


指紋認証 例
 



代理入力・SSOでのPasskey認証のステップ



① Passkey認証対応のリバースプロキシへアクセス
② 初回のみ Passkey認証 idP / Keycloakへアクセス
③ Passkey認証後にリバースプロキシからWebへユーザー情報を代理入力
④ リダイレクト先のWebへ自動ログイン






各種WebへのSSO

一度のidP / KeycloakのPasskey認証で、複数のWebへシングルサインオン



          

リバースプロキシ設定

 リバース先のポート ( http / https / 任意のポート番号 ) を指定に対応
 リダイレクト先のWebまでSSL通信での運用に対応 (全経路でのSSL通信)
 リバースプロキシーに Let's Encrypt の利用に対応




リバースプロキシパラメータ設定
 パス調整 (ヘッダー置換 / URL置換 / 文字列置換 / 画像パス置換)
 クッキー調整 (クッキーのドメイン置換)
 バックエンドの接続調整 (接続再利用の有効 / 無効 )
 セッション維持 / タイムアウト時間設定
 代理入力設定








アプライアンス構成

 OS RedHat 9.x / RockyLinux 9.x / AlmaLinux 9.x 対応
 Passkey認証対応リバースプロキシ
 GUIでのサーバー設定
 オールインワンでの運用




 サーバー管理者の負担軽減

 サーバーの自己監視やサービスの再起動機能
 パッチの自動アップデート機能
 管理者への通知機能


       


アプライアンスの運用先


 対応の仮想環境
  VMware / Hyper-Vなどの仮想環境に対応

     



 対応のクラウド環境
  AWS / Azure / IndigoPro (NTTPC) / VPSなど

         


 仮想アプライアンスのイメージでの提供




 オンプレミス
 
         




 Passkey対応リバースプロキシ 構成例