LiferayのFIDO2認証の紹介

機能 2025.01.27

Liferay7.4から多要素認証の認証方式の一つとしてFIDO2認証が追加されましたのでご紹介いたします。 多要素認証自体については過去の記事(多要素認証機能の紹介)をご参照ください。

FIDO2認証とは

FIDOはFast Identity Onlineの略称であり、FIDOアライアンスという非営利の業界団体によって策定された認証方式です。この業界団体は、パスワードをよりシンプルで安全な認証方法に置き換えることを目的に活動しています。 FIDO2認証は以下の点を主な特徴としています。(詳細についてはFIDOアライアンスのホームページをご参照ください)

  • 公開鍵暗号方式を採用しており、通信傍受に強い
  • 認証にパスワードや生体情報など様々な要素を利用できる(認証器次第)
  • パスワードや生体情報などの認証に使用する秘密情報は認証器にとどまり外部に送信せず、認証基盤側で保持もしないため、漏洩リスクが低い
  • 認証器には専用機器だけでなくユーザが所持している一般的な端末も使用できる(スマートフォンやノートパソコンの指紋認証や顔認証など)

 

使用する環境

今回のご紹介にあたっては、以下の環境を使用しました。

  • Liferay: DXP 2024.Q4.0
  • LiferayのホームURL: http://localhost:8080
  • ブラウザ: Google Chrome 131.0.6778.141
  • FIDO2の認証器: MacBook Airの指紋認証

 

設定方法

インスタンス側の設定

  1. 過去の記事(多要素認証機能の紹介)内の手順に沿って多要素認証の設定画面に移動し、メールワンタイムパスワードを有効にします
  2. 新たに表示される「Fast IDentity Online 2設定」の項目を選択します
  3. 設定画面から「有効」チェックボックスと「オリジンのポートを許可」チェックボックスにチェックを入れ、他はデフォルトのまま更新ボタンを押します。

注: 設定画面中の各オプションの内容については後掲します。

 

ユーザ側の設定

  1. FIDO2を使いたいユーザでログインします(設定前のユーザでログインする際はメールワンタイムパスワードの使用が必要になりますので、サーバー側のメール送信設定なども別途行っておく必要があります)
  2. ホーム画面が表示されるので右側のユーザアイコンからアカウント設定を選択し、多要素認証タブに移動します。
  3. 「FIDO2認証器を登録」ボタンをクリックすると、ブラウザの認証器登録のためのポップアップが表示されるので、指示に沿って使用したい認証器を登録します

 

ログイン動作

  1. メールアドレス、パスワードを入れ、ログインボタンを押します。
  2. 多要素認証の検証画面に遷移するので、確認ボタンをクリックします
  3. 登録した認証機に応じたポップアップが表示されるので、指示に沿って認証を行いログインします。

 

Fast IDentity Online 2設定の各オプションについて

 各オプション項目について説明します。なお、日本語表記について、2024/12/19時点の最新版では一部項目に誤訳がありますので、参考のため英語表記を併記します。 今後のバージョンアップにて項目名が変化する可能性がありますのでご了承ください。

有効 / Enabled
Fast IDentity Online 2を有効にします
注文 / Order
この数字が大きい順に多要素認証画面に表示される形で多要素認証チェッカーの順序を設定します。デフォルトではFIDO2が最優先となる値が指定されています。
依拠当事者名 / Relying Party Name
FIDO2でログインするサイトやサービス名(Relying Party名)として、任意な名称を設定します。
ユーザごとに許可される認証情報 / Allowed Credentials Per User
ユーザごとに登録可能な認証情報の最大数を設定します。
依拠当事者ID / Relying Party ID
Relying PartyのIDを設定します。これはオリジンの有効ドメインまたは有効ドメインの登録可能な接尾辞と等しい値である必要があります。
オリジン / Origins
認証を許可するURLのスキーム、ホスト、ポート番号を設定します。サブドメインやポート番号については後のオプションでも設定ができます
オリジンのポートを許可 / Allow Origin Port
オリジンの一致ルールを緩和し、任意のポート番号を許可できるようにします。
オリジンのサブドメインを許可 / Allow Origin Subdomain
オリジンの一致ルールを緩和して任意の深さの任意のサブドメインを許可できるようにします。

今回の内容は以上となります。 FIDO2を用いることで、簡単に生体認証などを用いてセキュリティを高めることができます。 興味がございましたら是非お試しください。

関連記事
feature

多要素認証機能の紹介

Liferay 7.3から導入された多要素認証について紹介します。
2021.02.15

RANKING
f

アプリビルダー機能の紹介

Liferay DXP 7.3の新機能であるアプリビルダー(App Builder)をご紹介!
Liferayについてアプリビルダー機能の紹介
2021.01.08
f

Liferay DXP 7.3 新機能の紹介(1)

2020年10月にリリースされたLiferay DXP 7.3の新機能について紹介します
LiferayについてLiferay DXP 7.3 新機能の紹介(1)
2020.12.01
i

Liferay 7でレスポンスヘッダに出力されるプロダクト情報を削除する

Liferay 7ではデフォルトでレスポンスヘッダにプロダクト情報が出力されるため、それを削除する方法をご紹介
LiferayについてLiferay 7でレスポンスヘッダに出力されるプロダクト情報を削除する
2020.10.30
f

Liferay API Explorerの紹介

Liferay7.3から導入されたLiferay API Explorerを紹介します。
LiferayについてLiferay API Explorerの紹介
2020.12.28
f

Liferay 7でSQLクエリを出力する

Liferay 7で実際にデータベースに対して発行されているクエリを出力する方法をご紹介
LiferayについてLiferay 7でSQLクエリを出力する
2020.12.18