Slide 1
Slide 1 text
Red Hat Single Sign-Onのご紹介
2021年1月
レッドハット株式会社
テクニカルセールス本部
Slide 2
Slide 2 text
アジェンダ
• Red Hat Single Sign-On製品概要
• 画面イメージ
• アーキテクチャとシステム構成
• 事例
• 提供形態
• Red Hat Single Sign-On 7.4 update
Slide 3
Slide 3 text
製品概要
• オープンソースのID/アクセス管理製品であるKeycloakプロジェクトをベース
• OpenID Connect、OAuth、SAMLなどの標準に対応
• 導入によって得られる効果
− シングルサインオンにより、ユーザーが複数パスワードを管理する必要がなくなる
− アプリケーション側で認証の仕組みを作る必要がなくなる
− マイクロサービスをセキュアに接続可能となり、様々なサービス連携が容易になる
− 自社ITシステムのセキュリティが向上する
− APIの安全な公開
SSO
Slide 4
Slide 4 text
主な機能: シングルサインオン&アウト
RH-SSO
管理者
ユーザ 権限管理
強制ログアウト
モニタリング
監査
Slide 5
Slide 5 text
主な機能: IDフェデレーション
RH-SSO
ユーザ
LDAP Active
Directory
Custom
User Storage
RDBMS
フェデレーション
Slide 6
Slide 6 text
主な機能: IDブローカー & ソーシャルログイン
RH-SSO
User
SAML 2
Identity Provider
Twitter Facebook LinkedIn
IDブローカー
GitHub Google MicroSoft
Slide 7
Slide 7 text
その他の主な機能
• ユーザ登録
− 管理者による設定
• LDAPやActive Directoryとの連携など
− ユーザ自身による登録
• 管理者によるユーザプロファイルの設定項目が可能
• メールによる本人確認Email verification
• reCAPTCHAによるボットのフィルタリング
• 認証方式
− ユーザ名/パスワード
− ブラウザのCookie
− Kerberos認証
− ワンタイムパスワードによる2FA(二要素認証)
• Google AuthenticatorやFreeOTPを使用したTOTP/HOTPのサポート
• 認証情報のリセット
− ユーザによる認証情報のリセット機能
Slide 8
Slide 8 text
• OAuth2に対応した認可の設定
− Goodle Docsのようなサービスに対するアクセス権の設定(
Aさんは編集可能だが、Bさん
は閲覧のみ、など)
• 監査機能
− 以下に関するイベントを監査のストリームとして保存
• ユーザ登録、ログイン、ログアウト、リフレッシュトークンなど
• ソーシャルリンク、メールアドレスの更新、プロファイルの更新など
• 管理者による細かい粒度でのセッション管理
− 管理者や利用者が自分のセッションを参照・管理することが可能
− 管理者がユーザーになりすましてデバッグする機能
• 脅威モデルの緩和
− ブルートフォース攻撃(パスワード推測)、クリック・ジャッキング、
CSRF攻撃など
• カスタマイズ可能なエンドユーザ向けの
UI
• クライアントアダプター:JavaScript/WildFly/EAP/Fuse/Tomcat/Jetty/Spring等
その他の主な機能
Slide 9
Slide 9 text
異なるアプリケーション間でのシングルサインオン
Spring Boot
Tomcat
EAP
Vert.x
Node.js
Thorntail
Quarkus
SSO
Slide 10
Slide 10 text
画面イメージ
Slide 11
Slide 11 text
レルムの設定
Slide 12
Slide 12 text
クライアントの設定
管理対象となるクライアントアプリケーションを登録
Slide 13
Slide 13 text
ユーザの設定
ユーザに紐づくロールの定義
Slide 14
Slide 14 text
アイデンティティ・プロバイダの設定
Slide 15
Slide 15 text
ログイン画面
カスタマイズ可能なログイン画面
Slide 16
Slide 16 text
アーキテクチャと
製品構成
Slide 17
Slide 17 text
最小システム要件
• Javaが実行可能なオペレーティング・システム
• Java 8 JDK
• zipまたはgzip、およびtar
• RAM512M以上
• ディスクスペース1G以上
• PostgreSQL、MySQL、Oracleなどの共有外部データベース。Keycloakをクラスターで実行する
場合は、外部共有データベース
• クラスターを構成する場合はマルチキャスト・ネットワークのサポート
• Linuxにおいては、セキュリティー・ポリシーにより /dev/random の使用が義務付けられている
場合を除き、ランダムデータのソースとして /dev/urandom を使用することを推奨
https://access.redhat.com/articles/2342881
https://access.redhat.com/articles/2342861
Slide 18
Slide 18 text
デプロイメント構成図
RDBMS
Keycloak DB
RH-SSO
Keycloak
Server war
EAP
HTTP Client LDAP AD IdPs ソーシャル
HTTP
OIDC/SAML
AJP
OIDC/SAML
Slide 19
Slide 19 text
高可用性を考慮したシステム構成例
Slide 20
Slide 20 text
事例
Slide 21
Slide 21 text
Red Hat:RH-SSOでユーザを一元管理
https://access.redhat.com/announcements/2901111
https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/
Slide 22
Slide 22 text
Red Hat:RH-SSOでユーザを一元管理
https://access.redhat.com/announcements/2901111
https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/
Slide 23
Slide 23 text
ブラジルの銀行での構成例
• システム概要
− ATMや公開サービス含むすべてのアプリケーションでの
SSO
• Internet applications (web lottery, social services)
• Intranet for banking applications (account holders, employees)
− ADや様々なソーシャルログインと連携
− ユーザ数: 6千万, オフラインキャッシュトークン数: 3百万
− ログインの負荷: 8,000 logins/minute
− カスタムワークフローとSPI実装多数
• ユーザ登録、ユーザの格納、アクショントークン、カスタムプロバイダ、カスタム
UI
• 構成
− 9つのVM (32 GB JVM, 8 vCPU)
− 6つのレルム(その内2つのレルムで95%の負荷)
− Oracle RACでクロスサイトレプリケーション
− Red Hat Data Grid によるリモートキャッシュ
Slide 24
Slide 24 text
提供形態
Slide 25
Slide 25 text
RH-SSOの提供形態
• RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services
Collectionに含まれた形態で提供しております。
• JBoss Web Serverを除く、以下のサブスクリプションに含まれます。
− Red HatのApplication Services製品のサブスクリプション
− OpenShiftのサブスクリプション
• RH-SSOはコンテナイメージまたはOperatorとして提供
Slide 26
Slide 26 text
サブスクリプションの考え方
16-core EAP subscription購入時
16 Cores of EAP 16 Cores of Core Services Collection Services
+
Red HatのApplication Services製品またはOpenShiftで購入されたCore数と同数分JBoss
Core Service Collectionを利用することができます。 見積もり例としては下記になります。
Slide 27
Slide 27 text
JBoss Core Service Collection製品ライフサイクル
JBoss Core Service Collectionの製品ライフサイクル最新情報:
https://access.redhat.com/ja/support/policy/updates/jboss_notes
JBoss Core Service Collectionに含まれる製品は、 JBoss製品と別のスケジュールでリリース
<RH-SSOの製品ライフサイクル部分抜粋>
Slide 28
Slide 28 text
Red Hat Single Sign-on
7.4 Update
Slide 29
Slide 29 text
● は、パスワードの代わりに公開鍵を使ってユーザを認証するための標準
仕様
○ 主要なブラウザでサポート
○ 複雑な認証デバイスを アプリケーションから隠す
● 多要素認証またはパスワードレスとして使用可能
● では限定的サポート
● による新しい認証機能のサポート
Tech Preview
Slide 30
Slide 30 text
● エンドユーザ向けの画面の の刷新
● 新しいモダンなコンソールを導入
○ ユーザビリティを重視
○ と がベース
● 新規の の追加
Tech Preview
Slide 31
Slide 31 text
● と の
○ 現状、基本的な に注力
■
■
■
●
● プロトタイプ:
● とは独立してリリース
Tech Preview
Slide 32
Slide 32 text
その他情報源
Slide 33
Slide 33 text
および の情報源
●
○
● 日本語ドキュメント
○
● 超入門
○
Slide 34
Slide 34 text
Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and
consulting services make
Red Hat a trusted adviser to the Fortune 500.