Slide 1

Slide 1 text

Red Hat Single Sign-Onのご紹介 2021年1月 レッドハット株式会社 テクニカルセールス本部

Slide 2

Slide 2 text

アジェンダ • Red Hat Single Sign-On製品概要 • 画面イメージ • アーキテクチャとシステム構成 • 事例 • 提供形態 • Red Hat Single Sign-On 7.4 update

Slide 3

Slide 3 text

製品概要 • オープンソースのID/アクセス管理製品であるKeycloakプロジェクトをベース • OpenID Connect、OAuth、SAMLなどの標準に対応 • 導入によって得られる効果 − シングルサインオンにより、ユーザーが複数パスワードを管理する必要がなくなる − アプリケーション側で認証の仕組みを作る必要がなくなる − マイクロサービスをセキュアに接続可能となり、様々なサービス連携が容易になる − 自社ITシステムのセキュリティが向上する − APIの安全な公開 SSO

Slide 4

Slide 4 text

主な機能: シングルサインオン&アウト RH-SSO 管理者 ユーザ 権限管理 強制ログアウト モニタリング 監査

Slide 5

Slide 5 text

主な機能: IDフェデレーション RH-SSO ユーザ LDAP Active Directory Custom User Storage RDBMS フェデレーション

Slide 6

Slide 6 text

主な機能: IDブローカー & ソーシャルログイン RH-SSO User SAML 2 Identity Provider Twitter Facebook LinkedIn IDブローカー GitHub Google MicroSoft

Slide 7

Slide 7 text

その他の主な機能 • ユーザ登録 − 管理者による設定 • LDAPやActive Directoryとの連携など − ユーザ自身による登録 • 管理者によるユーザプロファイルの設定項目が可能 • メールによる本人確認Email verification • reCAPTCHAによるボットのフィルタリング • 認証方式 − ユーザ名/パスワード − ブラウザのCookie − Kerberos認証 − ワンタイムパスワードによる2FA(二要素認証) • Google AuthenticatorやFreeOTPを使用したTOTP/HOTPのサポート • 認証情報のリセット − ユーザによる認証情報のリセット機能

Slide 8

Slide 8 text

• OAuth2に対応した認可の設定 − Goodle Docsのようなサービスに対するアクセス権の設定( Aさんは編集可能だが、Bさん は閲覧のみ、など) • 監査機能 − 以下に関するイベントを監査のストリームとして保存 • ユーザ登録、ログイン、ログアウト、リフレッシュトークンなど • ソーシャルリンク、メールアドレスの更新、プロファイルの更新など • 管理者による細かい粒度でのセッション管理 − 管理者や利用者が自分のセッションを参照・管理することが可能 − 管理者がユーザーになりすましてデバッグする機能 • 脅威モデルの緩和 − ブルートフォース攻撃(パスワード推測)、クリック・ジャッキング、 CSRF攻撃など • カスタマイズ可能なエンドユーザ向けの UI • クライアントアダプター:JavaScript/WildFly/EAP/Fuse/Tomcat/Jetty/Spring等 その他の主な機能

Slide 9

Slide 9 text

異なるアプリケーション間でのシングルサインオン Spring Boot Tomcat EAP Vert.x Node.js Thorntail Quarkus SSO

Slide 10

Slide 10 text

画面イメージ

Slide 11

Slide 11 text

レルムの設定


Slide 12

Slide 12 text

クライアントの設定
 管理対象となるクライアントアプリケーションを登録 


Slide 13

Slide 13 text

ユーザの設定
 ユーザに紐づくロールの定義 


Slide 14

Slide 14 text

アイデンティティ・プロバイダの設定


Slide 15

Slide 15 text

ログイン画面
 カスタマイズ可能なログイン画面 


Slide 16

Slide 16 text

アーキテクチャと 製品構成

Slide 17

Slide 17 text

最小システム要件 • Javaが実行可能なオペレーティング・システム • Java 8 JDK • zipまたはgzip、およびtar • RAM512M以上 • ディスクスペース1G以上 • PostgreSQL、MySQL、Oracleなどの共有外部データベース。Keycloakをクラスターで実行する 場合は、外部共有データベース • クラスターを構成する場合はマルチキャスト・ネットワークのサポート • Linuxにおいては、セキュリティー・ポリシーにより /dev/random の使用が義務付けられている 場合を除き、ランダムデータのソースとして /dev/urandom を使用することを推奨 https://access.redhat.com/articles/2342881 https://access.redhat.com/articles/2342861

Slide 18

Slide 18 text

デプロイメント構成図 RDBMS Keycloak DB RH-SSO Keycloak Server war EAP HTTP Client LDAP AD IdPs ソーシャル HTTP OIDC/SAML AJP OIDC/SAML

Slide 19

Slide 19 text

高可用性を考慮したシステム構成例

Slide 20

Slide 20 text

事例

Slide 21

Slide 21 text

Red Hat:RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

Slide 22

Slide 22 text

Red Hat:RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

Slide 23

Slide 23 text

ブラジルの銀行での構成例 • システム概要 − ATMや公開サービス含むすべてのアプリケーションでの SSO • Internet applications (web lottery, social services) • Intranet for banking applications (account holders, employees) − ADや様々なソーシャルログインと連携 − ユーザ数: 6千万, オフラインキャッシュトークン数: 3百万 − ログインの負荷: 8,000 logins/minute − カスタムワークフローとSPI実装多数 • ユーザ登録、ユーザの格納、アクショントークン、カスタムプロバイダ、カスタム UI • 構成 − 9つのVM (32 GB JVM, 8 vCPU) − 6つのレルム(その内2つのレルムで95%の負荷) − Oracle RACでクロスサイトレプリケーション − Red Hat Data Grid によるリモートキャッシュ

Slide 24

Slide 24 text

提供形態

Slide 25

Slide 25 text

RH-SSOの提供形態 • RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services Collectionに含まれた形態で提供しております。 • JBoss Web Serverを除く、以下のサブスクリプションに含まれます。 − Red HatのApplication Services製品のサブスクリプション − OpenShiftのサブスクリプション • RH-SSOはコンテナイメージまたはOperatorとして提供

Slide 26

Slide 26 text

サブスクリプションの考え方 16-core EAP subscription購入時 16 Cores of EAP 16 Cores of Core Services Collection Services + Red HatのApplication Services製品またはOpenShiftで購入されたCore数と同数分JBoss Core Service Collectionを利用することができます。 見積もり例としては下記になります。

Slide 27

Slide 27 text

JBoss Core Service Collection製品ライフサイクル JBoss Core Service Collectionの製品ライフサイクル最新情報: https://access.redhat.com/ja/support/policy/updates/jboss_notes JBoss Core Service Collectionに含まれる製品は、 JBoss製品と別のスケジュールでリリース <RH-SSOの製品ライフサイクル部分抜粋>

Slide 28

Slide 28 text

Red Hat Single Sign-on 7.4 Update

Slide 29

Slide 29 text

● は、パスワードの代わりに公開鍵を使ってユーザを認証するための標準 仕様 ○ 主要なブラウザでサポート ○ 複雑な認証デバイスを アプリケーションから隠す ● 多要素認証またはパスワードレスとして使用可能 ● では限定的サポート ● による新しい認証機能のサポート Tech Preview

Slide 30

Slide 30 text

● エンドユーザ向けの画面の の刷新 ● 新しいモダンなコンソールを導入 ○ ユーザビリティを重視 ○ と がベース ● 新規の の追加 Tech Preview

Slide 31

Slide 31 text

● と の ○ 現状、基本的な に注力 ■ ■ ■ ● ● プロトタイプ: ● とは独立してリリース Tech Preview

Slide 32

Slide 32 text

その他情報源

Slide 33

Slide 33 text

および の情報源 ● ○ ● 日本語ドキュメント ○ ● 超入門 ○

Slide 34

Slide 34 text

Red Hat is the world’s leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make 
 Red Hat a trusted adviser to the Fortune 500.