Download as PDF, PPTX
Uploaded byFIDO Alliance
クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ
TOKYO Seminar 2018 日本マイクロソフト株式会社 技術統括室 チーフセキュリティオフィサー 河野 省二 氏
More Related Content
![S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]](https://cdn.slidesharecdn.com/ss_thumbnails/s12azureadadfs-211028193852-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ
![[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際](https://cdn.slidesharecdn.com/ss_thumbnails/sc05-170614044200-thumbnail.jpg?width=640&height=640&fit=bounds)
クラウド時代の認証保護 MicrosoftとFIDO、パスワードレスへの流れ
- 1.
- 2.
- 3. 差出人 ファイル URLリンク ファイル IoT機器連携システム URLリンク ホームページプログラム
- 4.
- 5.
- 6. ユーザとロケーション デバイス アプリケーション リアルタイム リスク with AzureAD Conditional Access Zero Trust
- 7.
- 8. オンプレミスのアプリ ウェブアプリ SaaS Deviceへの Microsoft Authenticator Device +Biometric デバイス上のBiometric + Windows 10やその他のOS Microsoft Edgeなどのブラウザ 全てのデバイス Azure Active Directory Microsoft account
- 9. Admin controls End-user self-provisioning FIDO2for Azure AD accounts パブリックプレビュー開始 JANUARY 2019 FIDO2 限定公開 WebAuthn Support available to Windows 10 Insiders Self-provisioned keys for MSA Windows 10 October 2018 Update SPRING 2018 JULY 2018 OCTOBER 2018
- 10.
- 11. バイオメトリクスを利用して端末に保管された プライベートキーを解除 デバイスから認証要求 Azure ADがnonceを返送 デバイスはプライベートキーを使用してナンス に署名し、Key IDを利用してAzureADに返送 Azure ADはリフレッシュトークンとセキュアエ レメントで保護された暗号化セッションキーを 返送 端末は署名したリフレッシュトークンと 作成されたセッションキーを検証の ためにAzure ADに返す 2 3 4 5 1 6 6 2 3 4 5 1
- 12. TPMに保管されたプライベートキーでバイオメ トリクスを利用してサインイン Windowsが“hello”を送信 Azure ADがnonceを返送 Windowsがプライベートキーを使用してナンス に署名し、Key IDを利用してAzureADに返送 Azure AD はPRTとTPM内に保護された暗号化 セッションキーを返送 Windowsは署名されたPRTと生成されたセッ ションキーを検証のためにAzure ADに返送 Windows 10 device 6 62 3 4 5 2 3 4 5 1 2 1
- 13. 6 2 3 4 5 ユーザーUPNに入る Azure ADがユーザが強力な認証を昼用 とすることを認識し、処理を始める APNS/FCMを通じてアプリに要求 ユーザが通知を受けてアプリを開く アプリがAzure ADに接続,proof-of- presence challenge and nonce受信 ユーザはバイオメトリクスやPINでプラ イベートキーを解除 プライベートキーで署名されたnonce をAzure ADに返送 Azure ADは公開・秘密鍵を検証して トークンを返送 1 APNS/FCM 2 8 1 3 5 7 6 4 7 8
- 14. FIDO2 security keyでは 1 Windows10 device 6 3 4 7 9 2 3 4 5 2 1 コンピュータにFIDO2 security keyを接続 WindowsがFIDO2 security keyを検出 Windows端末が認証を要求 Azure ADがnonceを返送 FIDO2 security keyの安全な領域に保管され たプライベートキーをユーザが解除 プライベートキーを利用してnonceに署名 署名されたnonceによるPRTトークンリクエ ストをAzure ADに送信 Azure ADがFIDO keyを検証 Azure ADがPRTとTGTを返送し、オンプレミ スのリソースにアクセス可能に 8 7 8 9 5 6
- 15. Windows Hello MicrosoftAuthenticator FIDO2 Security Keys
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
- 26.
- 27.