Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Microsoft Edge のFIDO サポート状況

1,053 views

Published on

「#idcon vol.25 fidcon 勝手に Meet up!」での発表資料です。

Published in: Technology
  • Be the first to comment

Microsoft Edge のFIDO サポート状況

  1. 1. Microsoft Edge の FIDO サポート状況 日本マイクロソフト株式会社 パートナー事業本部 パートナー技術統括本部 ISV ビジネス技術本部 テクニカルエバンジェリスト 物江 修 @osamum_MS
  2. 2. Microsoft と Fast IDentity Online (FIDO) ~ Fido Alliance のボードメンバー ~ •2013 年 12 月より参加 •パスワードより強力な ID 認証技術へと 移行するため •FIDO 2.0 技術仕様の策定に参加 •Windows 10 にリファレンス実装 •Windows Hello •Microsoft Passport
  3. 3. Windows Hello とは? (1/2) •完全統合型生体認証を提供 指紋 顔 •コンパニオンデバイスによる動的ロック Bluetooth デバイス PIN ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
  4. 4. Windows Hello とは? (2/2) •Windows 10 に標準搭載 •[スタート] > [設定] > [アカウント] > [サイン イン オプション] で設定
  5. 5. Windows Passport とは? •既存の資格情報を確認して、 パスワードを 2 要素認証 (2FA) に置き換える + 登録済デバイス Windows Hello (生体認証 or PIN) •Microsoft アカウント、Active Directory アカウント、 Microsoft Azure Active Directory (AD) アカウント、 FIDO 認証をサポートするアカウント
  6. 6. Microsoft Edge の FIDO サポート •Build 2016 でアナウンス/Insider Preview に搭載 •Web Authentication (旧 FIDO 2.0 Web API) 仕様の 早期実装 •標準化前の実装 •2018 年 7 月: Edge 開発チームブログで対応表明 •Windows 10 ビルド 17723 (EdgeHTML 18)より Web Authentication CR 版をサポート •Windows Hello と外部 FIDO セキュリティデバイス、 U2F (Universal Second Factor)
  7. 7. Windows Hello による ユーザー情報の取得
  8. 8. Webプラットフォームのサポート状況 •Microsoft Edge : EdgeHTML 18 からサポート •UWP (Universal Windows Platform)アプリ:未 サポート •PWA (Progressive Web Apps):未サポート •Internet Explorer は未サポート
  9. 9. Web Authentication の実装 1. ユーザーの登録 −navigator.credentials.create メソッド −publicKey オプション −新しいクレデンシャルを作成するか、 既存のアカウントに関連付け 2. ユーザーの認証 −navigator.credentials.get メソッド −クレデンシャルを使用してログイン セキュアコンテキスト(HTTPS か localhost)で使用
  10. 10. Web Authentication の認証処理(1/3) ~クレデンシャル作成の準備~ 1. 目的のサービスに ログインするなどして ユーザー ID を確認 2. クレデンシャルを作成するための 資格情報を設定 サービスへのログイン 従来の認証処理、その他 ユーザーの確認 ユーザー ID の確認
  11. 11. 1. navigator.credentials.create メソッド実行 2. Windows Hello による情報取得 3. 公開/秘密のキーペアを作成 4. 秘密キーを TPM に格納 5. 公開キー含むattestationオブジェクトを サーバーに送信 クレデンシャルの作成と ユーザーの登録 公開キー クライアントの 公開キーの保存 Web Authentication の認証処理(2/3) ~クレデンシャル作成と登録~ 6. attestationオブジェクトを 検証 7. 公開キーを抽出して 将来の認証のために保管
  12. 12. 秘密キーによる チャレンジの署名 チャレンジ 公開キーによる 署名の検証 1. navigator.credentials. get メソッド実行 2. Windows Hello による情報取得 3. TPM/FIDO2デバイス内でチャレンジが 秘密キーで署名され assertion オブジェクトが 返る 4. assertion オブジェクトをサーバーに送信 Web Authentication の認証処理 ~ユーザーの認証~ 5. assertion オブジェクトの 署名を保存した クライアントの公開キーで 検証 assertion オブジェクト
  13. 13. デモ : Windows Hello を使用した認証
  14. 14. Windows Hello のトピック •Windows HelloがPC上で利用可能かどうかを検出 • isUserVerifyingPlatformAuthenticatorAvailable API •資格情報(authenticator selection パラメーター)を作成する際に authenticatorAttachment を設定すること •公開鍵アルゴリズムとしてRS256(alg -257)のみを サポート •コア Web Authentication 仕様の CR バージョンが 完全に実装 •AppID 拡張がサポート
  15. 15. まとめ ready for FIDO 2.0 Windows 10 October 2018 Update in
  16. 16. 参考 •Dev guide - Web Authentication - Microsoft Edge Development •Introducing Web Authentication in Microsoft Edge •A world without passwords: Windows Hello in Microsoft Edge

×