みなさま、こんにちは。
今回は、最近注目されている「FIDO WebAuthn」認証を利用してMicrosoft365へログインしてみたいと思います。と、その前に“「FIDO WebAuthn」ってなに?”という方もいると思いますので簡単な説明をさせていただきます。
ユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせでなく、顔認証や指紋認証、PINコードなどを用いて認証を行うことにより、ずっと続いてきたパスワード認証を止めて、もっと安全な認証を行いましょう、というFIDOという仕組みがあります。
2019年4月時点では改善を重ねて「FIDO 2(ファイドツー)」という段階になっています。更にこの「FIDO 2」をWebの分野でも採用していこう、という動きが始まり、Webブラウザで「FIDO 2」に対応する標準仕様「WebAuthn」を策定、2019年3月にW3C勧告になりました。
勧告になったということは、「理論面と実用面で幅広いレビューとテストを受けており、この規格はW3Cの承認を受け、対象とする領域での幅広い開発が開始される。」とのことですので、あとは世の中に広まればスタンダードな機能として皆さんが普通に知ることになるでしょう。
今回の検証に必要なものは以下となります。
「飛天ジャパン株式会社」より指紋認証デバイス「BioPass FIDO2」をご提供いただき利用させていただきました!
高級感があり、とてもカッコいいですね。「BioPass FIDO2」製品ページはこちらへ。
「FIDO WebAuthn」に対応したブラウザ
今回は「Microsoft Edge」を利用しました。「Chrome」でも問題ありませんが、「Firefox」はまだ対応が甘いようです。
「FIDO対応認証デバイス」に対応した認証サービス
もちろん、弊社IDaaS「SeciossLink」を利用します。「SeciossLink」はかなり早い段階から「FIDO」に対応しており、セシオスは「FIDO Alliance」のメンバーでもあります。
それと、「SeciossLink」とMicrosoft365は認証連携ができている(SSOの設定は完了している)前提となりますので予めご了承ください。
まずは認証に利用するデバイスを登録する必要があります。認証デバイスは管理者が登録することもできますし、ユーザに登録させることもできます。
また、認証デバイス登録後、管理者が「承認」してはじめて利用可能にすることもできます(管理者がいろいろ制御できる機能があるってことです)。
今回はユーザ自ら認証デバイスを登録する方法を利用しました。
①SeciossLinkのユーザポータルへログイン(この時は「ID/Pass」で認証を行います)。
②ユーザポータル画面に「FIDO認証デバイスの登録」アイコンが表示されているのでクリック。
③認証デバイスで認証(「BioPass FIDO2」は指紋認証なので、読み取り部分に指をタッチ!)
画面には↓こんなダイアログが表示されます。
④「認証デバイスの登録が完了しました。」と表示されれば登録は完了です!
それでは「FIDO WebAuthn」を利用して、指紋認証でMicrosoft 365へログインしてみたいと思います。
①Microsoft 365のログインページにアクセス
②フェデレーション構成なのでIdP(SeciossLink)にリダイレクトされます。
③ログイン画面で「ユーザID」を入力後、認証デバイスで認証を行うよう促されます。
④認証が完了するとMicrosoft365のログイン後の画面が表示されます!
みなさん、如何でしたでしょうか?
「FIDO WebAuthn」、、、とても便利に使えそうなテクノロジーですよね。今回のようにサービス側が「FIDO」に対応していなくても、「SeciossLink」と連携すれば「FIDO対応認証デバイス」で認証できるようになるんです!パスワードを利用しなくなる時代がもうすぐそこまで来ているのかも知れませんね。
【謝辞】
今回の検証にあたり、FIDO対応 認証デバイスをご提供くださいました「飛天ジャパン株式会社」の皆様に感謝申し上げます。パスワード認証だけでは不十分な時代になった昨今、よりセキュアなソリューションを提供していくため、今後ともご支援、ご協力の程よろしくお願いいたします。