パスキー認証APIサービス  

APIでパスキー認証を追加

パスキー対応を
自社開発だけで
抱え込まない

FIDO2/WebAuthn、フロントエンド、バックエンド、公開鍵管理、登録フロー、端末対応、運用管理。
パスキーは自社でも実装できます。
ただし、実装には幅広い知識と設計が必要です。

既存の会員サイトからPush!Passkeyの認証APIへ接続し、パスキー登録と認証結果が既存システムへ返る流れを示す法人向けの図解。左に既存サイト、中央にAPI連携、右にPush!Passkey認証基盤と管理画面。青とグリーンを基調に、画像内テキストは最小限。

Why Push!Passkey

パスキーは必要
でも、自社実装は思ったより広い

パスキー認証は、単に「顔認証ボタン」や「指紋認証ボタン」を設置するだけではありません。 自社サイトに直接実装する場合、ログイン周辺の幅広い設計が必要になります。

自社で実装する場合に考えること

  • WebAuthn APIのフロントエンド対応
  • 登録・認証処理のバックエンド実装
  • チャレンジ生成と検証
  • 公開鍵・Credential IDのDB管理
  • 登録済み端末の管理
  • 初回登録時の本人確認
  • 機種変更・端末紛失時の復旧設計
  • OS・ブラウザ・端末ごとの対応確認
  • 認証ログ・失敗ログの監視
  • 既存ログインとの併用設計

自社でもできる。けれど、仕様理解・実装・DB・UX・運用まで含めると、意外と重い。

Solution

Push!Passkeyは
パスキー認証をAPIで接続するサービスです

Push!Passkeyは、既存の会員サイトや業務システムに、パスキー認証を追加するためのAPIサービスです お客様の既存サイトからPush!Passkeyの認証画面へ連携し、パスキー登録・認証を行います。

認証結果はAPIを通じて既存サイトへ返されるため、既存のログインDBや会員管理の仕組みを大きく作り替えずに導入できます。

重要:RPは当社ドメインです

Push!Passkeyでは、パスキー認証のRPは当社ドメインとなります。 自社ドメイン内にFIDO2/WebAuthnを直接実装する方式ではなく、当社の認証ドメインでパスキー認証を行い、その結果を既存サイトへ連携する方式です。

Push!PasskeyのRPが当社ドメインであることを説明する図解。既存サイト、Push!Passkey認証ドメイン、認証結果API連携の3要素を矢印でつなぐ。誤解を避けるため、外部認証APIとして利用する構成が分かる法人向けシンプル図解。

Comparison

自社実装とAPI接続する場合の違い

自社で直接実装する場合

  • FIDO2/WebAuthnの仕様理解が必要
  • フロントエンドとバックエンドの両方の実装が必要
  • 公開鍵やCredential IDのDB管理が必要
  • 初回登録・再登録・端末紛失時の設計が必要
  • 認証ログやエラー対応の仕組みが必要
  • 既存ログインとの整合性を自社で設計する必要がある

Push!Passkeyを使う場合

  • 認証部分はPush!Passkey側で提供
  • 既存サイトとはAPIで接続
  • サンプルコードをもとに実装可能
  • 登録・認証・結果連携の基本フローを用意
  • パスキー利用状況を専用管理サイトで確認可能
  • 導入前の設計相談に対応

Features

導入時に重要なポイントまで
まとめて考えられます

01

初期登録フローの設計

パスキー導入で重要なのは、登録ボタンよりも初期登録フローです。既存ID・パスワード、メール認証、SMS認証、OTP認証などを組み合わせた本人確認フローも別途ご相談いただけます。

02

ログイン後の再認証

メールアドレス変更、口座情報変更、管理者権限変更、退会処理など、重要操作時の追加本人確認にも利用できます。全面導入の前に、重要操作から始めることも可能です。

03

専用管理サイト

API接続ログ、認証成功・失敗ログ、利用者別の登録状況、最終認証日時などを管理サイトで確認できます。導入して終わりではなく、運用状況を見ながら管理できます。

顔認証、指紋認証、PINがパスキーそのものではなく、端末内の秘密鍵を使うための本人確認手段であることを説明する図解。端末内の秘密鍵、公開鍵、本人確認手段を分かりやすく分離して表示。法人向けで青緑基調、テキスト最小限。

Passkey Basics

顔認証や指紋認証はパスキーそのものではありません

パスキーは、公開鍵暗号を使った認証の仕組みです。顔認証、指紋認証、PINは、端末内に保存された秘密鍵を利用するための本人確認手段です。

つまり、パスキーは「顔でログインする仕組み」ではなく、端末に保存された秘密鍵を、本人確認のうえで安全に利用する認証方式です。

カメラや指紋センサーがないPCでも、OSやブラウザが対応していれば、PINによる本人確認でパスキーを利用できる場合があります。

Device

スマートフォンだけでなく
PCでも利用できます

Push!Passkeyでは、FIDO2/WebAuthnに基づくパスキー認証を利用します。 利用者の環境によっては、iCloudキーチェーン、Googleパスワードマネージャー、Microsoftアカウントなどを通じて、複数端末で同期されるパスキーを利用できます。

PC

対応カメラや指紋デバイス非搭載PCでもOSが対応していればPINによる本人確認で利用できます。

スマートフォン

顔認証・指紋認証・PINなど、端末の本人確認を利用します。

クロスデバイス

PC画面からスマートフォン側のパスキーを使う認証にも対応できます。

端末紛失時

同期パスキーを利用している場合、別端末からログインできる場合があります。

※利用可否はOS、ブラウザ、アカウント設定、同期状態により異なります。導入時に利用者環境を確認することをおすすめします。

Use Case

パスキーはログイン後の重要操作
にも使えます

既存ログインをすぐに置き換えるのではなく、まずは重要操作時の追加確認から導入することも可能です。

メールアドレス変更 口座情報変更 登録情報変更 管理者権限変更 退会処理 高額決済前の確認

Security Trend

フィッシング耐性のある認証が
求められる時代へ

近年、金融機関、証券会社、オンラインバンクなどでは、フィッシング被害への対策として、より強い本人確認の導入が進んでいます。 金融庁、警察庁、金融業界においても、フィッシング耐性のある多要素認証の重要性が周知されています。 すべてのサイトで一律に必須という話ではありませんが、重要情報を扱う会員サイトでは、早めに対応を検討する価値があります。

金融機関や証券会社などでフィッシング耐性のある認証が広がる流れを示す法人向け図解。オンラインバンク、証券会社、会員サイト、重要操作時の本人確認をアイコンで表現。青緑基調、信頼感のあるデザイン。

Sample Code

主要な開発環境向けにサンプルコードを提供予定です

既存サイトへ接続しやすいように、各種開発環境向けのサンプルコードを提供予定です。契約時に発行されるAPIキーなどの接続情報を反映することで、接続テストを始められます。

PHPJavaScriptNode.jsPythonRubyJavaC#REST APIHTMLフォーム連携

※提供範囲は順次拡充予定です。詳細はリリース時点の提供状況をご確認ください。

Flow

既存サイトへの導入は
段階的に進められます

STEP 1

無料診断・ヒアリング

既存ログイン方式、会員DB、本人確認方法、導入目的を確認します。

STEP 2

導入方式の設計

ログインに使うのか、重要操作時の再確認に使うのか、初期登録フローを整理します。

STEP 3

サンプルコードの提供

お客様の開発環境に合わせて、接続サンプルコードを提供します。

STEP 4

APIキー・接続情報の設定

契約時に発行されるAPIキーなどの接続情報を反映します。

STEP 5

テスト環境で動作確認

登録、認証、認証結果の受け取り、エラー時の戻り先を確認します。

STEP 6

本番導入・運用開始

専用管理サイトで、登録状況や認証ログを確認しながら運用できます。

Push!Passkeyの専用管理サイトで、API接続ログ、認証成功ログ、認証失敗ログ、利用者別登録状況、最終認証日時を確認している法人向け管理画面イメージ。PC画面中心、青緑基調、テキスト最小限。

Management

パスキーの利用状況は専用管理サイトで確認できます

Push!Passkeyでは、認証の接続状況や利用状況を専用管理サイトで確認できます。導入して終わりではなく、運用後も状態を見ながら管理できます。

  • API接続ログ
  • 認証成功・失敗ログ
  • 利用者別の登録状況
  • 最終認証日時
  • 登録済みパスキー数
  • エラー発生状況
  • 登録解除履歴

FAQ

よくある質問

パスキーを自社で実装することはできますか?

はい、可能です。ただし、FIDO2/WebAuthnの仕様理解、フロントエンド実装、バックエンド実装、公開鍵管理、DB設計、初期登録フロー、端末紛失時の復旧設計など、幅広い対応が必要になります。Push!Passkeyは、その実装負担を軽減するためのAPIサービスです。

既存のログインシステムを作り替える必要がありますか?

必ずしも大きく作り替える必要はありません。既存のID・パスワード認証や会員DBを残したまま、Push!Passkeyの認証結果をAPIで受け取り、ログインや重要操作時の本人確認に利用できます。

RPは自社ドメインになりますか?

Push!Passkeyでは、RPは当社ドメインとなります。自社ドメインに直接FIDO2/WebAuthnを実装する方式ではなく、当社認証ドメインでパスキー登録・認証を行い、その結果を既存サイトへ連携する方式です。

顔認証や指紋認証がないPCでも使えますか?

利用者のOS、ブラウザ、端末環境によりますが、PINによる本人確認で利用できる場合があります。パスキーは顔認証や指紋認証そのものではなく、端末内の秘密鍵を本人確認のうえで利用する認証方式です。

スマートフォンを紛失した場合はどうなりますか?

同期パスキーを利用している場合、別の端末からログインできる場合があります。ただし、利用可否はOS、ブラウザ、アカウント設定、同期状態により異なります。導入時には、端末紛失時や機種変更時の復旧フローも含めて設計することをおすすめします。

ログイン以外にも使えますか?

はい。メールアドレス変更、口座情報変更、管理者権限変更、退会処理、高額決済前の確認など、ログイン後の重要操作時の再認証にも利用できます。

初回登録時の本人確認はどうすればよいですか?

既存ログイン後に、メール認証、SMS認証、OTP認証などを組み合わせて本人確認を行い、その後にパスキー登録へ進む流れが考えられます。Push!Passkeyでは、登録前の本人確認フローについても別途ご相談いただけます。

導入前に相談できますか?

はい。既存ログイン方式、会員DB、本人確認方法、導入目的を確認したうえで、導入方法をご提案します。まずはお問い合わせフォームまたはお電話でご相談ください。

Contact

パスキー対応を自社だけで抱え込む前に

パスキーは、自社でも実装できます。
しかし、仕様理解、登録フロー、端末対応、復旧設計、運用管理まで含めると、想像以上に広い範囲の設計が必要です。

Inquiry Form

お問い合わせ

Push!Passkeyの導入相談、資料請求、既存サイトへの接続可否について、お気軽にご相談ください。

個人情報保護方針

ご入力いただいた個人情報は、お問い合わせへの回答、資料送付、サービスのご案内のために利用します。個人情報の取り扱いについては、当社の個人情報保護方針に基づき適切に管理します。