Upgrade to Pro — share decks privately, control downloads, hide ads and more …

オープンソースKeycloakのハンズオンで理解する認証と認可の基本

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for raedion raedion
October 27, 2024
Programming
0
470

 オープンソースKeycloakのハンズオンで理解する認証と認可の基本

Avatar for raedion

raedion

October 27, 2024
Tweet

More Decks by raedion

See All by raedion
生成AIを活用したリファクタリング実践 ~コードスメルをなくすためのアプローチ
Avatar for raedion raedion
0
1.8k

Other Decks in Programming

See All in Programming
React Native × React Router v7 API通信の共通化で考えるべきこと
Avatar for Suguru Ohki suguruooki
0
100
生成AIを使ったコードレビューで定性的に品質カバー
Avatar for Chiaki Okamoto chiilog
1
280
今から始めるClaude Code超入門
Avatar for 448jp | OKI Yoshiya 448jp
8
9.1k
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
Avatar for nash_efp nash_efp
1
1k
Claude Codeと2つの巻き戻し戦略 / Two Rewind Strategies with Claude Code
Avatar for 果物リン fruitriin
0
150
Honoを使ったリモートMCPサーバでAIツールとの連携を加速させる!
Avatar for とすり tosuri13
1
180
360° Signals in Angular: Signal Forms with SignalStore & Resources @ngLondon 01/2026
Avatar for Manfred Steyer manfredsteyer
PRO
0
140
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
660
AI時代の認知負荷との向き合い方
Avatar for OptFit Corp. optfit
0
170
CSC307 Lecture 10
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
660
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
130
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
180

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
68
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
280
KATA
Avatar for Megan Lloyd mclloyd
PRO
34
15k
Fireside Chat
Avatar for paigeccino paigeccino
41
3.8k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
Avatar for r-kagaya rkaga
60
42k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
240
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
110
Visualization
Avatar for Eitan Lees eitanlees
150
17k
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
2.3M
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.5k
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
200

Transcript

  1. オープンソースKeycloakのハンズオンで理解する 認証と認可の基本 JJUG CCC 2024 Fall 2024年10月27日 raedion

  2. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    本セッションの対象者と目標 ◼対象者 ⚫ セキュリティ、特に認証関連に何となく興味がある人 ◼目標 ⚫ 「認証と認可とは何か?」を理解してもらうこと • 前半は概念をざっくりと理解 • 後半はKeycloakで動きを見ながらイメージアップ ◼始める前に ⚫ 本発表では時間が限られているため、ハンズオンは発表者の手元で実施させていただきます汗 ⚫ ハンズオンの実施手順は後日GitHubページにて公開するため、こちらご参照ください。 はじめに

  3. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    自己紹介 ◼raedion ◼株式会社野村総合研究所 ◼業務では認証認可サービスの構築・維持保守に従事 ⚫ をメインに扱っています ◼今後の目標:何かしらのOSSにコントリビューションしたい! はじめに サムネ:大学時代に食べていた天津麻婆丼

  4. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    不正アクセスのセキュリティリスクへの関心度が高まっている イントロダクション (出所) https://www.ipa.go.jp/security/10threats/10threats2024.html 情報セキュリティ10大脅威 2024

  5. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    攻撃者の主な侵入経路 ◼認証情報の侵害手法:クレデンシャルスタッフィング、ブルートフォース攻撃、etc イントロダクション 認証情報 フィッシング 脆弱性の悪用 (出所) ベライゾン「2024年度 データ漏洩/侵害調査報告書(DBIR)」 20% 40% 60% 80% 100% 0%

  6. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    アクセス制御が重要 認証と認可について 理解しましょう

  7. 認証と認可とは?

  8. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証と認可 ◼認証と認可はセットで語られることが多いが別の概念である。 認証と認可とは? アクセスした人が 本当にその人か確認する 権限を持つ人のみが リソースを利用できるよう制御する 買い物する ログインする 認証 認可 Amazonのログイン画面* Amazonサイト* * (出所) https://www.amazon.co.jp/

  9. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証とは。。。 認証:あなたは誰?本当に◦◦さん? アクセスした人が本当にその人か確認すること 認証と認可とは? 必要な情報を 入力 確認結果を 返す ユーザ 認証サービス (パスワード認証の例) 入力された 情報を確認 ID ・・・・ Password

  10. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証には色々な方法があり、組合せることでセキュリティが向上 ◼認証の種類 ⚫ 知識情報ベース • パスワードなど ⚫ 生体情報ベース • 指紋や顔判別など ⚫ 所持情報ベース • スマホのワンタイムパスワードなど ◼認証を多要素にすることでセキュリティが向上する 認証と認可とは? パスワード認証 サービス 指紋認証 〇 パスワードが漏れても指紋認証があるので不正アクセスを防ぐことが可能 ex. パスワードと指紋認証の多要素認証 ID・パスワードなどの知識情報および、所持 情報や生体情報という認証の3要素から、 2つ以上の異なる認証要素を用いて 認証する方法。 多要素認証

  11. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可とは。。。 認証と認可とは? 一般ユーザ 管理者 ECサイト - 商品参照 〇 - 商品削除 - 商品参照 〇 - 商品削除 〇 削除コマンド実行 実行不可 削除コマンド実行 実行成功 認可:◦◦さんはこのシステムで何ができる? 権限を持つ人だけがリソースを利用できるよう制御すること

  12. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可の代表的な規格としてOAuth2.0がある。 ◼アクセストークン(チケットみたいなもの)をクライアントに対して発行する。 =リソースオーナはクライアントに対してリソースアクセスを認可する。 認証と認可とは? クライアント ユーザーエージェント (ブラウザなど) 認可サーバ リソースオーナ (権限を持つ人) 認可リクエストを送信 リダイレクトURIを発行 ユーザを認証+許可 認可コードを発行 認可コードを渡す 認可コード検証 アクセストークン発行 OAuth2.0の実行フロー(認可コードフローの場合) リソースオーナに代わり、リソース要求 を行うアプリケーション。 クライアント 認証が成功した後に アクセストークンを発行するサーバ 認可サーバ

  13. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可の代表的な規格としてOAuth2.0がある。 ◼アクセストークンを受け取ったクライアントはリソースサーバにアクセス ◼アクセスされたリソースサーバでアクセストークンを検証してクライアントを許可する。 認証と認可とは? クライアントとリソースサーバ間のやり取り クライアント リソースサーバ 結果を返す アクセストークン連携

  14. Keycloakについて

  15. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証認可を実現するサービスの中でもKeycloakは柔軟性や安定性に優れている ◼認証と認可を実現するサービスの中でもKeycloakをハンズオンで採用する。 ⚫ 理由1:オープンソース(Apache Licence 2.0)であるため、カスタマイズ性が高い ⚫ 理由2:長くメンテされているため安定している Keycloakについて Authorization Server 有償製品 オープンソース 代表的な認証認可プロダクトの例 理由1 理由2 * * 元はオープンソースだったが、ForgeRock社の方針で現在は有償

  16. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Keycloak:認証認可の機能を提供するオープンソースソフトウェア ◼Keycloakは、ID連携やアクセス制御などの機能を実現できるJavaベースの オープンソースソフトウェア。 Keycloakについて ユーザ サービス1 サービス2 サービス3 パスワード1 パスワード2 パスワード3 ユーザ サービス1 サービス2 サービス3 パスワード パスキー OTP … Keycloak導入

  17. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Keycloakのいいところ ◼ID連携によるシングルサインオンが可能 ◼オープンソースソフトウェアでカスタマイズ性が高い ⚫ SPI(Service Provider Interface)の仕組みを利用 ◼様々な認証方式に対応 ⚫ パスワード認証、WebAuthn認証など。。 ◼マルチプラットフォーム対応 ◼CNCF傘下=ベンダー中立なプロジェクト ◼OAuth2.0やOpenID Connect、SAMLに対応 Keycloakについて

  18. Keycloakのハンズオン

  19. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオンの流れ ◼Keycloakのインストール ◼Keycloakの管理者コンソール上で設定 ⚫ レルム作成、クライアント追加、ユーザ追加 ⚫ 認証フロー設定(多要素認証) ◼OAuth2.0の挙動を確認してみる Keycloakのハンズオン

  20. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオン Keycloakのハンズオン 実演します

  21. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオンの全体感 Keycloakのハンズオン レルム: myrealm ユーザ: jjug Apache mod_auth_openidc クライアント myclient