Passkey認証に対応のリバースプロキシ
「Powered BLUE ReverseProxy for SecureAccess 」は、Passkey認証のリバースプロキシです。
現在運用中の既存Webシステムを改修することなく
Passkey認証対応のリバースプロキシで既存Webへアクセス
させることの出来るアプライアンスです。
SSO機能リバースプロキシ・アプライアンスの主な機能
この製品はidPと連携して「ID認識型リバースプロキシ」( IAP: Identity Aware Proxy ) として動作します。
Passkey認証のリバースプロキシ
idPとPasskey認証で連携
Passkey認証に未対応のWebシステムをSSOメンバーとして構成
リダイレクト先のWebへのユーザー情報の代理入力
リダイレクト先のWebへのHTTPヘッダ方式でのユーザー情報の転送
Passkey認証(パスワードレス認証)
FIDOアライアンスが推進するパスキー認証は、スマートフォンなどの生体認証情報(指紋、顔認証、虹彩認証など)を利用して、ウェブサイトの認証を行う方法です。
安全性:パスワードの推測や漏洩のリスクに比べ、Passkey認証は生体認証情報に基づいているため安全です。
利便性:パスワードを覚える必要がなく、スマートフォンの生体認証機能で簡単にログインできます。
汎用性:スマートフォン以外のPCなどの様々なデバイスと連携して利用ができます。
クロスデバイス認証とは
クロスデバイス認証とは、スマートフォンのパスキー認証を利用して、認証機能を持たないPCなどの端末からターゲットのWebへ認証連携でアクセスさせる機能です。Passkey認証 ✅ | クロスデバイス認証 ☒ | クロスデバイス認証☒ |
Bluetooth利用時のクロスデバイス認証のアクセス手順
① PC端末のブラウザでパスキー認証のターゲットのリバースプロキシへ
② PC端末のブラウザにQRコードを表示
③ QRコードをスマートフォンでスキャン
④ スキャンしたQRコードをスマートフォンでパスキー認証
⑤ Bluetooth通信によりスマートフォンとPC間で認証連携
⑥ PC端末のブラウザでターゲットのリバースプロキシ先のWebサイトへアクセス
同期パスキーとデバイスバウンドパスキー
FIDO2の拡張規格である 「Passkey 」認証 では、秘密鍵の保存に関して① デバイス間で同期できる同期パスキー( Synced passkeys )
② デバイスに依存して保存・利用するデバイスバウンドパスキー( Device bound passkeys )
の2種類のパスキーをサポートしています。
主な相違
項目 |
1. 同期パスキー |
2.デバイスバウンドパスキー |
保存方法 | クラウドサービスを利用 | 特定のデバイス内に保存 |
利用方法 | 複数のデバイスで利用可能 | 1つのデバイスのみ利用可能 |
メリット | 紛失・故障時の復旧が容易 | より高い安全性 |
デメリット | セキュリティリスクがやや高い | 複数のデバイスで利用できない |
パスキー対応ネットワーク構成
機器構成
Passkey認証連携のリバースプロキシPasskey認証のidP / Keycloak
クライアントの機器 ( スマートフォンやPC端末 )
既存のWeb (改修不要 )
ブラウザ ( プラグイン不要 )
同期パスキーを利用の場合
iCloudキーチェーンGoogleパスワードマネージャー
などのプラットフォーマーが運用するクラウドサービスと連携
パスキー認証のidP
Keycloakを簡単に構築運用できる ➡「Powered BLUE for idP」を利用しますKeycloakアプライアンスの主な機能
サーバーの設定(Network / Firewall )
ウィザードによるKeycloakの構成(スタンドアロンやクラスター)
DB設定
Keycloak のバックアップ、リストア、アップグレード
SSLサーバー証明書登録 ( トラストストア対応 )
keycloak へのアクセスポート ( 80 / 443 )
リバースプロキシ構成 ( 80 / 443 )
アクティブモニタ(サービス監視・再起動・管理者への通知)
ベースOS AlmaLinux 9.x / RockyLinux 9.x / RedHat 9.x に対応
代理認証
Passkey認証対応のリバースプロキシからWebへ「ID / パスワード」を代理入力&代理認証ユーザー操作でのWebへの「ID / パスワード」の入力不要
Passkey認証に未対応のWebをSSOのメンバーとして構成
Passky認証連携でのSSO構成パターン
Passkey認証のリバースプロキシ経由でのSSO
idP側と Passkey認証でリバースプロキシ連携リバースプロキシからバックエンドのWeb側へ 「ID / パスワード」を代理入力
バックエンドのWebは改修不要
Passky認証の構成パターン
同期パスキーの機器構成
パスキー認証 = ① Passkey認証端末 + ② ユーザークロスデバイス認証 = ① PC端末 + ②Passkey認証端末 + ③ ユーザー
デバイスバウンドパスキーの機器構成
パスキー認証 = ① PC端末 + ②USB認証器 + ③ ユーザーUSB認証器
指紋認証 例
代理入力・SSOでのPasskey認証のステップ
① Passkey認証対応のリバースプロキシへアクセス
② 初回のみ Passkey認証 idP / Keycloakへアクセス
③ Passkey認証後にリバースプロキシからWebへユーザー情報を代理入力
④ リダイレクト先のWebへ自動ログイン
各種WebへのSSO
一度のidP / KeycloakのPasskey認証で、複数のWebへシングルサインオン
リバースプロキシ設定
リバース先のポート ( http / https / 任意のポート番号 ) を指定に対応リダイレクト先のWebまでSSL通信での運用に対応 (全経路でのSSL通信)
リバースプロキシーに Let's Encrypt の利用に対応
リバースプロキシパラメータ設定
パス調整 (ヘッダー置換 / URL置換 / 文字列置換 / 画像パス置換)クッキー調整 (クッキーのドメイン置換)
バックエンドの接続調整 (接続再利用の有効 / 無効 )
セッション維持 / タイムアウト時間設定
代理入力設定
アプライアンス構成
OS RedHat 9.x / RockyLinux 9.x / AlmaLinux 9.x 対応Passkey認証対応リバースプロキシ
GUIでのサーバー設定
オールインワンでの運用
サーバー管理者の負担軽減
サーバーの自己監視やサービスの再起動機能パッチの自動アップデート機能
管理者への通知機能
アプライアンスの運用先 |