Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Keycloak を使った SSO で CockroachDB にログインする / Cockr...
Search
kota2and3kan
March 12, 2026
Technology
250
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
kota2and3kan
March 12, 2026
More Decks by kota2and3kan
See All by kota2and3kan
Lakehouse を Kubernetes 上に作ってみる / Lakehouse on Kubernetes
kota2and3kan
0
16
Quarkus で FizzBuzz する CLI を作ってみた / FizzBuzz with Quarkus
kota2and3kan
0
59
Kubeshark で Kubernetes の Traffic を眺めてみよう/Let's Look at k8s Traffic with Kubeshark
kota2and3kan
3
940
CockroachDB Enterprise Features Overview
kota2and3kan
1
280
CockroachDB はどのくらい「しぶとい」のか? / How tough is CockroachDB?
kota2and3kan
21
13k
JRE しか入ってない Pod で Java の heap dump を取りたい / Get heap dump on JRE container
kota2and3kan
2
1.2k
Let's try CockroachDB
kota2and3kan
1
680
分散トランザクション in CockroachDB / Distributed Tx in CockroachDB
kota2and3kan
1
2.2k
Resolving Tx Conflicts in CockroachDB ~Short Version~
kota2and3kan
0
250
Other Decks in Technology
See All in Technology
Claude Codeとハーネスについて考えてみる
oikon48
18
9.3k
関数型の考えを TypeScript に持ち込んで、テストしやすい純粋関数を増やす / Pure at the Core, Effects at the Edge: Bringing Functional Thinking into TypeScript
kaminashi
1
110
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
4
4.1k
貴方はどのエンジニアリングを磨くのか
hatyibei
0
120
あなたの『Site』はどこですか? — xREという考え方
miyamu
0
1.2k
最近評価が難しくなった
maroon8021
0
340
事業価値を⽣み出すSREへ SREが担うべき意思決定の5層
kenta_hi
2
3.5k
ヘルスケア領域における AI 活用と その安全性担保のための取り組み (Leveraging AI in Healthcare and Our Efforts to Ensure Its Safety) - Google I/O Extended Tokyo 2026, July 11, 2026
zettaittenani
0
270
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.3k
SRE Next 2026 何でも屋からの脱却
bto
0
620
穢れた技術選定について
watany
3
310
「早く出す」より「事業に効く」 ── 顧客の業務サイクルから逆算するAI時代の二重ループ開発と「変化の設計者」 / devsumi2026
rakus_dev
1
220
Featured
See All Featured
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
680
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
170
Test your architecture with Archunit
thirion
1
2.3k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
410
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.7k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
550
The SEO Collaboration Effect
kristinabergwall1
1
500
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.5k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
2k
4 Signs Your Business is Dying
shpigford
187
22k
The Curse of the Amulet
leimatthew05
2
13k
Abbi's Birthday
coloredviolet
3
8.6k
Transcript
2026/03/12 Database Engineering Meetup #9 Keycloak を使った SSO で CockroachDB
にログインする #DBEM \ コンニチハ /
Name: こたつ&&みかん Account: @kota2and3kan Company: Name: Scalar, Inc. Product: -
ScalarDB (Distributed Transaction Manager) - ScalarDL (Byzantine Fault Detection Middleware) Job: [Technical Support, Infra Engineer] Like: DB: [PostgreSQL, CockroachDB] Bouldering: 5Q Dislike: Real Cockroach Who am I.
今回の検証に利用したマニフェスト https://github.com/kota2and3kan/keycloak-samples
Keycloak
Keycloak とは • いわゆる IdP (Identity Provider) / OP (OpenID
Provider) / AS (Authorization Server)。ユーザー情報や認証/認可を一元管理できる。 • OIDC (OpenID Connect) や SAML (Security Assertion Markup Language) を サポートしている。 • https://www.keycloak.org/
CockroachDB の SSO (Single Sign-on) \ SSO /
CockroachDB には 2つの SSO 機能がある 1. Configure OIDC Authorization for
DB Console ◦ OIDC (OpenID Connect) を利用した DB Console (いい感じの Web UI) へ のログイン。 ◦ https://www.cockroachlabs.com/docs/v26.1/oidc-authorization 2. Configure JWT Authorization ◦ JWT を利用した SQL Interface へのログイン。厳密には OIDC や OAuth 2.0 の仕様に沿った仕組みではないが、IdP から発行された ID Token や Access Token が利用可能。 ◦ https://www.cockroachlabs.com/docs/v26.1/sso-sql
IdP で認証されたユーザーを自動で作成できる • Automatic user provisioning ◦ IdP 側で認証されたユーザーを、自動的に CockroachDB
側に作成してくれ る。 ◦ CockroachDB 側での (手動での) ユーザー作成が不要になり、IdP 側での ユーザー情報の一元管理が可能になる。 ◦ DB Console ▪ https://www.cockroachlabs.com/docs/stable/sso-db-console#option- 1-automatic-user-provisioning-recommended ◦ SQL Interface ▪ https://www.cockroachlabs.com/docs/v26.1/sso-sql#configure-user-p rovisioning
Role の割り当ても IdP 側で管理できる 1. Configure OIDC Authorization for DB
Console ◦ ID Token 内の特定の claim (デフォルトは “groups” claim) の値を基に、認証 されたユーザーに Role を自動的に割り当ててくれる。 ◦ https://www.cockroachlabs.com/docs/v26.1/oidc-authorization 2. Configure JWT Authorization ◦ JWT 内の特定の claim (デフォルトは “groups” claim) の値を基に、認証され たユーザーに Role を自動的に割り当ててくれる。 ◦ https://www.cockroachlabs.com/docs/v26.1/jwt-authorization
Demo 環境 \ カンキョウ /
Demo 環境概要 (Pod) $ kubectl get pod NAME READY STATUS
RESTARTS AGE cockroachdb-0 1/1 Running 0 4m9s cockroachdb-1 1/1 Running 0 4m9s cockroachdb-2 1/1 Running 0 4m9s cockroachdb-client 1/1 Running 0 2m54s cockroachdb-init-zspqq 0/1 Completed 0 4m9s keycloak-0 1/1 Running 0 6m45s postgres-54d858b658-8jpqj 1/1 Running 0 6m45s
Kubernetes (minikube) PostgreSQL Keycloak Demo 環境概要 (DB Console へのログイン) CockroachDB
Cluster SQL CLI CockroachDB CockroachDB CockroachDB ブラウザ
PostgreSQL Kubernetes (minikube) Keycloak Demo 環境概要 (SQL Interface へのログイン) CockroachDB
Cluster SQL CLI CockroachDB CockroachDB CockroachDB ターミナル ブラウザ
Demo \ デモ /
Keycloak 側にユーザー (goki と buri) を作成
goki の Role は “foo” と “bar” になっている
buri の Role は “bar” と “baz” になっている
CockroachDB 側に goki と buri は存在しない root@cockroachdb-public:26257/defaultdb> SHOW USERS; username
| options | member_of | estimated_last_login_time -----------+-----------+-----------+-------------------------------- admin | {} | {} | NULL bar | {NOLOGIN} | {} | NULL baz | {NOLOGIN} | {} | NULL foo | {NOLOGIN} | {} | NULL root | {} | {admin} | 2026-03-07 14:13:42.890919+00 (5 rows)
CockroachDB 側の Role は事前に作る必要がある root@cockroachdb-public:26257/defaultdb> SHOW USERS; username | options
| member_of | estimated_last_login_time -----------+-----------+-----------+-------------------------------- admin | {} | {} | NULL bar | {NOLOGIN} | {} | NULL baz | {NOLOGIN} | {} | NULL foo | {NOLOGIN} | {} | NULL root | {} | {admin} | 2026-03-07 14:13:42.890919+00 (5 rows)
DB Console \ コンソール /
ログイン画面で Log in with Keycloak を選択
Keycloak のログイン画面にリダイレクトされる
Keycloak 側でログインすると
CockroachDB の DB Console にログインできる
CockroachDB 側に “goki” が自動で作成される root@cockroachdb-public:26257/defaultdb> SELECT -> username, -> member_of
-> FROM -> [SHOW USERS] -> WHERE -> username = 'goki'; username | member_of -----------+------------ goki | {bar,foo} (1 row)
goki は Role “foo” と “bar” のメンバーになっている root@cockroachdb-public:26257/defaultdb> SELECT ->
username, -> member_of -> FROM -> [SHOW USERS] -> WHERE -> username = 'goki'; username | member_of -----------+------------ goki | {bar,foo} (1 row)
SQL Interface \ エスキューエル /
Device Authorization Grant での認証処理を開始する $ DEVICE_AUTHORIZATION_RESPONSE=$(curl -s -XPOST \ -d
'client_id=cockroachdb-sso-client' \ -d 'client_secret=cockroachdb-sso-sample-client-password' \ -d 'scope=openid crdb' \ -d 'nonce=cockroachdb-sso-nonce' \ http://keycloak/realms/cockroachdb-sso-realm/protocol/openid-connect/auth/device) $ echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.user_code' KHGM-JFEB $ echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.verification_uri' http://keycloak/realms/cockroachdb-sso-realm/device
Verification URL (Keycloak) にアクセス
ユーザーコードを入力する
buri ユーザーでログインする
認可を求められるので Yes を選択する
ログイン完了画面が表示される
ID Token を取得する $ DEVICE_ACCESS_TOKEN_RESPONSE=$(curl -s -XPOST \ -d 'client_id=cockroachdb-sso-client'
\ -d 'client_secret=cockroachdb-sso-sample-client-password' \ -d 'grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code' \ -d "device_code=$(echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.device_code')" \ http://keycloak/realms/cockroachdb-sso-realm/protocol/openid-connect/token) $ COCKROACHDB_SSO_JWT=$(echo "${DEVICE_ACCESS_TOKEN_RESPONSE}" | jq -r '.id_token') $ echo ${COCKROACHDB_SSO_JWT} eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJuQmotLWdFQjNHSENyNnFkQXF3TjZXMGt4S256Ti1N ZUZoRGxRenROdTdFIn0.eyJleHAiOjE3NzI4OTgyODUsImlhdCI6MTc3Mjg5Nzk4NSwiYXV0aF90aW1lIjoxNzcyODk3 OTQ5LCJqdGkiOiJiOGU3ODlkOS01NTVmLTQ1NTItNzM0MC00MGY3YWUyMzk3N2QiLCJpc3MiOiJodHRwOi8va2V5Y2xv YWsvcmVhbG1zL2NvY2tyb2FjaGRiLXNzby1yZWFsbSIsImF1ZCI6ImNvY2tyb2FjaGRiLXNzby1jbGllbnQiLCJzdWIi OiI3Mzg3YjFlOC1lNDkzLTQ4MjY... (omit)
ID Token を指定して SQL CLI でログインできる $ kubectl exec -it
cockroachdb-client -- ./cockroach sql --url "postgresql://buri: ${COCKROACHDB_SSO_JWT} @cockroachdb-public:26257?options=--crdb:jwt_auth_e nabled=true" --certs-dir=./cockroach-certs # # Welcome to the CockroachDB SQL shell. # All statements must be terminated by a semicolon. # To exit, type: \q. (omit) buri@cockroachdb-public:26257/defaultdb> buri@cockroachdb-public:26257/defaultdb> SELECT current_user; current_user ---------------- buri (1 row)
CockroachDB 側に “buri” が自動で作成される root@cockroachdb-public:26257/defaultdb> SELECT -> username, -> member_of
-> FROM -> [SHOW USERS] -> WHERE -> username = 'buri'; username | member_of -----------+------------ buri | {bar,baz} (1 row)
buri は Role “bar” と “baz” のメンバーになっている root@cockroachdb-public:26257/defaultdb> SELECT ->
username, -> member_of -> FROM -> [SHOW USERS] -> WHERE -> username = 'buri'; username | member_of -----------+------------ buri | {bar,baz} (1 row)
まとめ \ マトメ /
まとめ • CockroachDB は SSO でのログインができる! • IdP で認証されたユーザーを、自動的に CockroachDB
側に 作ってくれる! • Role の割り当てもいい感じに IdP 側で管理できる!
Thank you!