認証・認可基盤に Keycloak を使って開発生産性を上げた話
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - …
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - …
Next.js App Router で Keycloak と @auth0/nextjs-auth0 を利用してマルチテナント認証機能を実装する - Uzabase for Engineers
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
KeycloakによるAPIセキュリティの基本
連載の1回目である今回は、Keyclooakの基本および、API保護が必要とされる背景について解説します。 サービスがより活発に利用されることを狙って、企業や公的機関によるサービスのAPI(Application Programming Interface)公開が広がっています。また、自組織内でもモバイルアプリケーション開発やシステム間連携を行いやすくするために、システムがAPIを提供することが多くなってきています。その際、APIは限られた人やシステムにだけがアクセス可能にする必要があるため、認証・認可のようなセキュリティ技術が必須になってきます。 認証・認可は、OAuth 2.0の枠組みに基づくことが一般的ですが、OAuthは自由度が高い仕様であるため、誤って実装・構築してしまうとセキュリティホールが作りこまれてしまいます。本記事では、近年急成長を遂げている認証・認可サーバOSSである「
FAPIとKeycloakの概要
連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で
実践 Keycloak
Keycloakは、シングルページアプリケーション(SPA)、モバイルアプリケーション、REST APIなどのモダンなアプリケーションに焦点を当てた、オープンソースのIdentity and Access Management(IAM)ツールです。 小規模なウェブサイトから、数百万人のユーザーを抱える大企業まで、さまざまなシナリオの本番環境で使用されています。 本書は、開発コミュニティーのプロジェクトリーダーとコアディベロッパーが著した、Keycloakの包括的な解説書です。インストール方法から、管理コンソールやアカウントコンソールの使い方、本番環境での使用に備えた設定方法、ユーザーの管理、トークンとセッションの管理、SPIによるカスタマイズまでを詳しく解説しています。さらに、アプリケーションのセキュリティーを保護する方法や、OAuth 2.0とOpenID Connect(OIDC)を理
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました 生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!! https://tech-lab.connpass.com/event/315703/ きっかけよくAzure Active DirectoryをOpenID ConnectのProviderとして使います。今回、とある用途で、ローカルにOpenID ConnectのProviderを立てなければいけな
連載5回目となる今回は、Istioを用いたマイクロサービスのシステムをKeycloakを用いて認証強化する手順を紹介します。 第五回からは、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能をご紹介します。第四回までは、APIセキュリティを考えるうえで最も重要である、外部ネットワークと内部ネットワークの境界部分に着目してハードニング方法を説明してきました(図1)。
Keycloakのインストールと構築例
認可サーバ(Keycloak)の構築 まずは認可サーバを構築します。本連載では、Keycloak 9.0.3を使用します。インストール先ホストのOSはCentOS 7.8とします。 Keycloakをインストールします。Keycloakのインストールは、zipファイルをダウンロードして解凍するのみと、非常に簡単です。 まずは事前準備として、Java Development Kitをインストールします。本連載では、OpenJDK 8を使用します。
第七回は、前回に引き続き、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能を紹介します。 前回と同様、すべてのサービスをKubernetes(Minikube)上にデプロイする構成とし、堅牢化の対象としてIstioが提供しているBookinfoアプリケーションを取り上げます(図1)。
本記事は以下のような読者を想定しています 認証認可の初学者 Keycloak と Azure AD をID連携させたい方 はじめに 本記事では Keycloak を用いて外部ID連携を実装 します。 ID連携というのは自サービスのユーザー認証を外部へ任せることです。例えば本記事内でも使用する Keycloak というソフトウェアを用いると自社サービスへアクセスするためのユーザー認証を Google や Facebook などのアカウント提供者に任せることができます。 ID連携をすることで例えば以下のようなメリットが得られます。 ユーザー自身が管理するID/PWが少なくなる。 アカウント管理の負担が減る。 ここでは Keycloak と Azure AD を用いてID連携をしてみたいと思います。TwitterやGoogleなどのアカウントを用いたソーシャルログインやLDAPサーバーを用いたI
はじめに 株式会社ピー・アール・オーのアドベントカレンダー22日目は、 表題の通り、NextcloudとKeycloakを組み合わせてファイルサーバを構築したのでその手順を書き残す。 背景 ツーリング中にドラレコやGoProで撮影した動画を友人内で共有するにあたり、 SFTPを使用してファイル共有をしていた。 (1ファイル4GBくらいあるので、GoogleDriveはあっという間に容量超過した) さすがにパスワード認証は論外なので公開鍵認証を使用していたところ、以下の運用上の問題が発生した。 秘密鍵を失くすケース(まあわかる) 接続手順を忘れるケース(彼は本当にエンジニアなのだろうか) 失くされる度に公開鍵を登録し直すのは億劫かつ、こんなことのために手順書を用意するのも馬鹿らしいので、 簡単に使えるファイルサーバを立ち上げることにした。 目的 SAML認証の目的 普段よく使うサービス、それ
keycloakを使ってOIDC認証を導入することになり、設定画面で何を設定すべきかなどに困ったのでまとめておく。 前提 OAuth2の基本的な理解 OIDCの基本的な理解() OIDC自体を知りたい場合はこの説明とかがわかりやすいと思う keycloakのOIDCクライアントは作成済み(手順) 極めて単純なkeycloakの要素 keycloakの設定方法が分かりづらいのは管理画面に設定する項目が大量にあるからだが、極めて単純化すると最初に知るべきなのはrealm, client, userくらいである。 realm 用語集の記述を抜粋すると レルムは、ユーザー、クレデンシャル、ロール、および、グループのセットを管理します。ユーザーは属しているレルムにログインします。レルムは互いに分離されており、制御するユーザーのみを管理して、認証することができます。 となっている。言ってみればname
a Kubernetes-Native Java Stack based Identity and Access Manager 認証基盤OSS「Keycloak」がQuarkusというKuberntes Native向けJavaフレームワークに対応し始めました。本セッションではQuarkus版…
Keycloakを用いたハードニングの実装方法
実際に設定していきます。通信をTLSで暗号化するために、ここではプライベート認証局を設けてサーバ証明書に署名を入れます。本番環境では信頼のおけるパブリック認証局に署名をもらってください。まずは、任意のホストをプライベート認証局として準備します。keytoolコマンドを用いて作成した証明書発行要求に署名できるように、opensslの設定ファイル(/etc/pki/tls/openssl.cnf)を変更します。
週刊Railsウォッチ(20201028後編)RuboCop 1.0.0 stable版がリリース、Ruby DSLのGUIフレームワークGlimmer、Keycloakほか|TechRacho by BPS株式会社
2020.10.28 週刊Railsウォッチ(20201028後編)RuboCop 1.0.0 stable版がリリース、Ruby DSLのGUIフレームワークGlimmer、Keycloakほか こんにちは、hachi8833です。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙇 追記(2020/10/29): 来週の週刊Railsウォッチはお休みをいただき通常記事といたします🙇。 ⚓Ruby ⚓ RuboCop 1.0.0がリリース Changelog: rubocop/CHANGELOG.md at master · rubo
Quarkusとは、KubernetesネイティブのJavaフレームワークです。Quarkusを使用することで、コンテナに最適化されたJavaアプリケーションを開発できます。ここではQuarkusとKeycloakを組み合わせた堅牢化方法をご紹介します(図2)。 前回は各サービスにそれぞれIstioのAuthorizationPolicyを作成し導入することで、各サービスにJWTによるアクセス制御を追加しました。Quarkusのkeycloak-authorizationエクステンションを使うと、各サービスのアクセス制御ロジックをKeycloakの認可サービスに集約することができます。 各サービスのアクセス制御ロジックを、各サービスで個別に持つべきか、認可サーバ側で集約して持つべきかについては一長一短があり、またシステムの要件に大きく依存する部分があるため、一概にどちらが良いとは言えません
Keycloakで実現するAPIセキュリティ
システム間連携に必要なAPIには、認可・認証のセキュリティ技術が必須となります。この連載では、OAuth 2.0を用いたOSSの認証・認可サーバ「Keycloak」を用いたAPI保護の仕組みについて紹介します。
KeycloakとKeycloak Gatekeeperを用いてWordPressにログイン画面を作成する - astamuse Lab
初めまして、7月にAstamuseにjoinしました、植木です。 ICPのエンジニアを担当しております。 私は、普段なら桜が咲いて楽しみが増える季節ですが、コロナの影響もあり外出を控えないといけないと思うと残念で仕方がない今日この頃でございます。 はじめに 今回は、Keycloakについて紹介する記事です。 弊社のICPで導入に向けて作業を進めており、非常に便利でしたので筆をとるに至りました! 下記のような方は是非見ていただいて、参考にしていただけると幸いです。 Keycloakを知らない方 ざっくり概要を知りたい方 導入を検討する方 概要 Keycloakとは、 OpenID / SAML の認証方式を用いて、「認証」「認可」を行うことができるOSS のミドルウェアです。 安全性をKeycloakが管理を担ってくれるため、アプリケーションはユーザーアクセス管理を意識することから解放され、
Keycloakとは Keycloakはオープンソースのアイデンティティ・アクセス管理(IAM)ソフトウェアです。シングルサインオンやAPIアクセスの認証・認可制御を実現するソフトウェアです。ちょうど6年前である2017年のAdvent Calendarで初めてKeycloakを紹介したときは、この分野のOSSとしてはOpenAMが第一人者的な存在でした。その後、Keycloakは着実に進化し、2023年4月にCNCF(Cloud Native Computing Foundation)のIncubatingプロジェクトとして承認され、ますます注目度が上がっています。今やKeycloakがこの分野の代表的なOSSになったと言えるでしょう。近年ではKeycloak Alternativeを狙う他のOSS1が登場したりと、逆に追いかけられる存在にまでなりました。 Keycloakの提供機能 こ
はじめまして、2019年10月に入社しました開発・インフラ本部の丸山と申します。 弊社テックリード(@yukung)がついに短パン*1で出社したという観測情報に触れ、いよいよ日本にも夏が到来したことを実感しているところであります。 さて、私が担当させていただいているInnovation Captital Pathfinder(以下、ICP)におきまして、このほど認証機能をKeycloakに移行したので、機能移行までに検討したことを振り返ってみたいと思います。 前置き 私たち開発しているICPは、弊社が抱える膨大な数の特許情報や科研費情報などをもとに、お客様の新規事業の創出を支援するサービスです。公式には2020年1月にリリースしていますが、実はPoCも含めると2018年から開発が続いている弊社では比較的息の長いサービスです。 弊社が抱える膨大な量のデータを、いかにユーザーが利用しやすい形で
はじめに #1 からのつづきです。前回はこのフローを作りました。 今回はこの内容を詳しく見ていきます。 フロー図 Flow_OIDC 参考文献 調べていくにあたり以下の資料を見ながら進めて行きます。 OpenID Connect Core 1.0 日本語訳 OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 OpenID Connect Discovery 1.0 OpenID Connect フローには種類があるということを知る OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 - 2. Protocol Elementsに書いてあるように OpenID Connect には以下の種類があります。 Authorization Code Flow Implicit
Keycloak - Wikipedia
Keycloak(キークローク)は、モダンなアプリケーションやサービスで使用することを目的に開発された、シングルサインオン、アイデンティティ管理、アクセス管理(英語版)の機能を提供するオープンソースソフトウェア製品である。2018年3月年現在、このJBossコミュニティのプロジェクトは、KeycloakをRH-SSO製品のupstream(英語版)プロジェクトとして使用しているRed Hatの支援を受けている[2]。コンセプトの観点から見ると、このツールはアプリケーションやサービスをわずかなコーディングかコーディングなしで簡単にセキュアにすることを目的としている。 Keycloakの最初の製品リリースは、開発を開始して約1年後の2014年9月だった。2016年、Red HatはRH SSO製品を、PicketLinkフレームワークからKeycloak upstreamプロジェクトをベースと
OSSセキュリティ技術の会 第11回勉強会での発表資料です。
関連記事 【Keycloak】Apache の VirtualHost で分けられた複数のサイトをまとめてシングルサインオンしよう https://qiita.com/thirdpenguin/items/1136c755560eea51b5b1 公式にリリースされているコンテナイメージによる Keycloak 導入があまりにも簡単すぎて感動したので、ついでに Keycloak コンテナの https 化もやってみました。 github リポジトリにやり方がありました。 https://github.com/keycloak/keycloak-containers/tree/master/server#setting-up-tlsssl 上記を要約すると、「/etc/x509/https に 秘密鍵 tls.key と 証明書 tls.crt をくれると後はよろしくやるよ!でもボリュームマ
Keycloakを使ってパスワードログインを導入したので、開発環境について解説してみる - Uzabase for Engineers
この記事は、NewsPicks Advent Calendar 2022 の 17 日目の記事になります。 qiita.com こんにちは。AlphaDrive で Web アプリケーションエンジニアをしている fmatzy です。普段は主に Go でバックエンドの開発を行なっています。 現在新規開発中のプロダクトにて、パスワードログインの導入に Keycloak を利用しました。社内ではすでに Keycloak の導入事例があり、かなり参考にできる環境が整っていました。一方で Keycloak 自体は近年 WildFly から Quarkus に移行し、公式含め技術情報が outdated なものが多く見受けられました (例えば、公式の docker-compose の example は WildFly 版がアーカイブされた後 Quarkus 版が追加されていない…)。 本記事では、今
IDaaS(Auth0) vs OSS(Keycloak)vs Managed(Amazon Cognito)
Future Tech Night # 19
KeycloakでSSOに入門する
2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。 https://secureoss-sig.connpass.com/event/235671/
With Identity Brokering Sync Mode it is now possible to control if user profiles are updated on first login, or every login from an external Identity Provider. It is also possible to override this behaviour on individual mappers.
はじめに AWSコンソールに,KeycloakからSAMLでサインインできるようにする設定手順です(2023/11現在)。KeycloakをIdP,AWSコンソールをSPとしたSAML認証の設定を行います。 関連して,記事中で扱うXMLやMapperについて,別記事にまとめました。 設定方法 keycloakの立ち上げ KeycloakはDockerhubの公式イメージで立ち上げます。バージョンは16.1.1でした。 参考 今回はDockerホストの18080番ポートで,TLSなしで起動します。DockerホストのIPアドレスは10.0.99.9です。 AWSのSAML用メタデータを取得 https://signin.aws.amazon.com/static/saml-metadata.xml を取得してローカルに保存しておきます。 keycloak設定その1 http://Docker
連載3回目となる今回は、認可を実現できるプロダクトを用いたマイクロサービスにおける認証認可のアーキテクチャを紹介します。 第2回ではコンテナ環境にKeycloakをデプロイし、シングルサインオンを実現する方法を紹介しました。第3回ではKeycloakに加えて、認可を実現できるプロダクトを用いたマイクロサービスにおける認証認可のアーキテクチャについて紹介します。認可を実現できるプロダクトとして、CNCFのGraduatedプロジェクトであるOPA(Open Policy Agent)と、CNCFプロジェクトではありませんが認可フレームワークであるCasbinを利用します。 1. マイクロサービスにおける認証認可の課題 システムのアーキテクチャはモノリシックなシステムからサービス指向アーキテクチャ、そしてクラウドが普及するとともにマイクロサービスアーキテクチャへと変化してきました。クラウド上の
今日やること 以前に私が投稿したKeycloakの記事では、Keycloakアダプターやmod_auth_openidcを利用したアプリケーション保護の仕方について書きました。しかし、アプリケーション利用後のログアウトの仕組みについてはほとんど言及していなかったので、今回の投稿ではKeycloakのシングル・ログアウト(以降SLOと省略)の仕組みをまとめることにしました。 ここでいうSLOとは、OIDCで複数のRPにログインした状態で、Keycloakもしくは特定のRP起点のログアウト処理を行った際に、Keycloakを含め、ユーザーが利用していたすべてのRPからログアウトされる動作を指しています。 KeycloakのSLOの仕組みについて KeycloakのSLO処理は、大まかに以下のどちらかのパターンで処理されます。 主な違いはKeycloakのログアウト・エンドポイントにフロントチャ
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
Docker + Keycloak + FastAPIを用いたローカル OAuth2.0 Authorization Code Grant 検証環境構築 メモ - Qiita
version: "3" volumes: mysql_data: driver: local services: mysql: image: mysql:5.7 volumes: - mysql_data:/var/lib/mysql environment: MYSQL_ROOT_PASSWORD: root MYSQL_DATABASE: keycloak MYSQL_USER: keycloak MYSQL_PASSWORD: password keycloak: image: quay.io/keycloak/keycloak:latest container_name: "keycloak" environment: DB_VENDOR: MYSQL DB_ADDR: mysql DB_DATABASE: keycloak DB_USER: keycloak DB_PASSWO
Keycloak Gatekeeperとは Keycloak Gatekeeperは、認可リバースプロシキとして動作するGo言語で実装されたアプリケーションとなります。 元々あったKeycloak Security Proxyが非推奨となり、後継としてKeycloak Gatekeeperが開発されています。 Keycloak Gatekeeperを導入すると、保護対象アプリケーションに手を加える必要無いのが大きなメリットです。 実行環境・構成 WindowsServer2016のローカル環境で構築 Keycloak 6.0.1 localhost:8080 Keycloak gatekeeper localhost:3000 保護対象のサンプルアプリ localhost:5000 ブラウザ:google chrome Keycloakの概要 Keycloakの概要については、こちらの記事
オープンソースソフトウエア(OSS)はもはやシステム開発には不可欠なほどに存在感を強めた。ベンダーにとって開発・運営への参加は直接的に売り上げや利益をもたらさなくとも、OSSへの顧客ニーズの反映や受注で大きなアドバンテージを得ることにつながる。 ただ、多くのOSSの運営はボランティアや善意に頼るところが大きい。営利を目的とする企業が足を踏み入れるのはメリットが少ないようにも思えるが、日立製作所はアイデンティティー・アクセス管理のOSSソフトウエア「Keycloak」の開発プロジェクトなどをとりまとめる「メンテナー」に人材を輩出した。無報酬となるこのポジションはどういうもので、日立がメンテナーに人材を輩出した意味合いとは何か。 OSSは公開されたソースコードを自由に改変したり再配布したりできるソフトウエアを指す。利用できる分野もLinuxをはじめとしたOSやJavaScriptやPython
Azure上のCentOSに、Keycloakとサンプルアプリを入れて、SAMLを使ったログインの動作検証を行ったメモです。 Keycloakを使ってSAMLを理解する#1 ContOSのセットアップ Keycloakのインストール サンプルアプリのインストール Keycloakを使ってSAMLを理解する#2 環境 Azure CentOS Linux release 7.7.1908 (Core) OpenJDK 1.8.0 Apache Maven 3.6.3 Keycloak 8.0.1 システム構成 1.CentOS CentOSのセットアップ Azureに仮想マシンをデプロイします。 項目 設定
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DockerとKeycloakで世界最速OpenID Connect!! | SIOS Tech. Lab
コンテナ上のマイクロサービスの認証強化 ~IstioとKeycloak~
コンテナ上のマイクロサービスの認証強化 ~StrimziとKeycloak~
Keycloakを用いて外部ID連携を試してみる - Qiita
Nextcloud + KeycloakでSAML認証する in ラズパイ4 - Qiita
keycloakでOIDC認証するときに知っておくと良いこと | k-ota's weblog
Keycloak on Quarkus
コンテナ上のマイクロサービスの認証強化 ~QuarkusとKeycloak~
Keycloakとは(2023年12月版) - Qiita
ICPのKeycloak導入記 - astamuse Lab
KeycloakでのOpenID Connectお勉強メモ #2
実践 KeycloakとAdvancedな機能の紹介
Keycloak コンテナがめっちゃ便利だったのでついでに https 化もした - Qiita
Keycloak - Blog - Keycloak 10.0.0 released
KeycloakからAWSコンソールにSAML認証でサインイン - Qiita
Keycloakと認可プロダクトを利用したマイクロサービスにおける認証認可の実現
Keycloakのシングル・ログアウト(SLO)についてのまとめ - Qiita
パスキーの概要とKeycloakでの動作確認 - Qiita
Keycloak Gatekeeperを最小構成で試す。
システム開発で存在感強めるOSS、日立にKeycloakの「メンテナー」がいる理由
Keycloakを使ってSAMLを理解する#1 - Qiita
news.yahoo.co.jp
www.devex.com
news.yahoo.co.jp
kinebiotoriyose.xblog.jp
onosakishirozaemon.hatenablog.com
blog.tkrel.com