Upgrade to Pro — share decks privately, control downloads, hide ads and more …

オープンソースKeycloakのハンズオンで理解する認証と認可の基本

raedion
October 27, 2024
Programming
0
54

 オープンソースKeycloakのハンズオンで理解する認証と認可の基本

raedion

October 27, 2024
Tweet

Other Decks in Programming

See All in Programming
watsonx.ai Dojo #4 生成AIを使ったアプリ開発、応用編
oniak3ibm
PRO
1
190
Kaigi on Rails 2024 〜運営の裏側〜
krpk1900
1
260
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
110
3rd party scriptでもReactを使いたい! Preact + Reactのハイブリッド開発
righttouch
PRO
1
610
A Journey of Contribution and Collaboration in Open Source
ivargrimstad
0
1.1k
Outline View in SwiftUI
1024jp
1
340
Laravel や Symfony で手っ取り早く
OpenAPI のドキュメントを作成する
azuki
2
120
Less waste, more joy, and a lot more green: How Quarkus makes Java better
hollycummins
0
100
카카오페이는 어떻게 수천만 결제를 처리할까? 우아한 결제 분산락 노하우
kakao
PRO
0
110
ペアーズにおけるAmazon Bedrockを⽤いた障害対応⽀援 ⽣成AIツールの導⼊事例 @ 20241115配信AWSウェビナー登壇
fukubaka0825
6
2k
Why Jakarta EE Matters to Spring - and Vice Versa
ivargrimstad
0
1.3k
Jakarta EE meets AI
ivargrimstad
0
250

Featured

See All Featured
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
A designer walks into a library…
pauljervisheath
204
24k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
380
What's in a price? How to price your products and services
michaelherold
243
12k
The Language of Interfaces
destraynor
154
24k
Facilitating Awesome Meetings
lara
50
6.1k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Making the Leap to Tech Lead
cromwellryan
133
8.9k

Transcript

  1. オープンソースKeycloakのハンズオンで理解する 認証と認可の基本 JJUG CCC 2024 Fall 2024年10月27日 raedion

  2. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    本セッションの対象者と目標 ◼対象者 ⚫ セキュリティ、特に認証関連に何となく興味がある人 ◼目標 ⚫ 「認証と認可とは何か?」を理解してもらうこと • 前半は概念をざっくりと理解 • 後半はKeycloakで動きを見ながらイメージアップ ◼始める前に ⚫ 本発表では時間が限られているため、ハンズオンは発表者の手元で実施させていただきます汗 ⚫ ハンズオンの実施手順は後日GitHubページにて公開するため、こちらご参照ください。 はじめに

  3. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    自己紹介 ◼raedion ◼株式会社野村総合研究所 ◼業務では認証認可サービスの構築・維持保守に従事 ⚫ をメインに扱っています ◼今後の目標:何かしらのOSSにコントリビューションしたい! はじめに サムネ:大学時代に食べていた天津麻婆丼

  4. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    不正アクセスのセキュリティリスクへの関心度が高まっている イントロダクション (出所) https://www.ipa.go.jp/security/10threats/10threats2024.html 情報セキュリティ10大脅威 2024

  5. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    攻撃者の主な侵入経路 ◼認証情報の侵害手法:クレデンシャルスタッフィング、ブルートフォース攻撃、etc イントロダクション 認証情報 フィッシング 脆弱性の悪用 (出所) ベライゾン「2024年度 データ漏洩/侵害調査報告書(DBIR)」 20% 40% 60% 80% 100% 0%

  6. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    アクセス制御が重要 認証と認可について 理解しましょう

  7. 認証と認可とは?

  8. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証と認可 ◼認証と認可はセットで語られることが多いが別の概念である。 認証と認可とは? アクセスした人が 本当にその人か確認する 権限を持つ人のみが リソースを利用できるよう制御する 買い物する ログインする 認証 認可 Amazonのログイン画面* Amazonサイト* * (出所) https://www.amazon.co.jp/

  9. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証とは。。。 認証:あなたは誰?本当に◦◦さん? アクセスした人が本当にその人か確認すること 認証と認可とは? 必要な情報を 入力 確認結果を 返す ユーザ 認証サービス (パスワード認証の例) 入力された 情報を確認 ID ・・・・ Password

  10. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証には色々な方法があり、組合せることでセキュリティが向上 ◼認証の種類 ⚫ 知識情報ベース • パスワードなど ⚫ 生体情報ベース • 指紋や顔判別など ⚫ 所持情報ベース • スマホのワンタイムパスワードなど ◼認証を多要素にすることでセキュリティが向上する 認証と認可とは? パスワード認証 サービス 指紋認証 〇 パスワードが漏れても指紋認証があるので不正アクセスを防ぐことが可能 ex. パスワードと指紋認証の多要素認証 ID・パスワードなどの知識情報および、所持 情報や生体情報という認証の3要素から、 2つ以上の異なる認証要素を用いて 認証する方法。 多要素認証

  11. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可とは。。。 認証と認可とは? 一般ユーザ 管理者 ECサイト - 商品参照 〇 - 商品削除 - 商品参照 〇 - 商品削除 〇 削除コマンド実行 実行不可 削除コマンド実行 実行成功 認可:◦◦さんはこのシステムで何ができる? 権限を持つ人だけがリソースを利用できるよう制御すること

  12. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可の代表的な規格としてOAuth2.0がある。 ◼アクセストークン(チケットみたいなもの)をクライアントに対して発行する。 =リソースオーナはクライアントに対してリソースアクセスを認可する。 認証と認可とは? クライアント ユーザーエージェント (ブラウザなど) 認可サーバ リソースオーナ (権限を持つ人) 認可リクエストを送信 リダイレクトURIを発行 ユーザを認証+許可 認可コードを発行 認可コードを渡す 認可コード検証 アクセストークン発行 OAuth2.0の実行フロー(認可コードフローの場合) リソースオーナに代わり、リソース要求 を行うアプリケーション。 クライアント 認証が成功した後に アクセストークンを発行するサーバ 認可サーバ

  13. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認可の代表的な規格としてOAuth2.0がある。 ◼アクセストークンを受け取ったクライアントはリソースサーバにアクセス ◼アクセスされたリソースサーバでアクセストークンを検証してクライアントを許可する。 認証と認可とは? クライアントとリソースサーバ間のやり取り クライアント リソースサーバ 結果を返す アクセストークン連携

  14. Keycloakについて

  15. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    認証認可を実現するサービスの中でもKeycloakは柔軟性や安定性に優れている ◼認証と認可を実現するサービスの中でもKeycloakをハンズオンで採用する。 ⚫ 理由1:オープンソース(Apache Licence 2.0)であるため、カスタマイズ性が高い ⚫ 理由2:長くメンテされているため安定している Keycloakについて Authorization Server 有償製品 オープンソース 代表的な認証認可プロダクトの例 理由1 理由2 * * 元はオープンソースだったが、ForgeRock社の方針で現在は有償

  16. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Keycloak:認証認可の機能を提供するオープンソースソフトウェア ◼Keycloakは、ID連携やアクセス制御などの機能を実現できるJavaベースの オープンソースソフトウェア。 Keycloakについて ユーザ サービス1 サービス2 サービス3 パスワード1 パスワード2 パスワード3 ユーザ サービス1 サービス2 サービス3 パスワード パスキー OTP … Keycloak導入

  17. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Keycloakのいいところ ◼ID連携によるシングルサインオンが可能 ◼オープンソースソフトウェアでカスタマイズ性が高い ⚫ SPI(Service Provider Interface)の仕組みを利用 ◼様々な認証方式に対応 ⚫ パスワード認証、WebAuthn認証など。。 ◼マルチプラットフォーム対応 ◼CNCF傘下=ベンダー中立なプロジェクト ◼OAuth2.0やOpenID Connect、SAMLに対応 Keycloakについて

  18. Keycloakのハンズオン

  19. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオンの流れ ◼Keycloakのインストール ◼Keycloakの管理者コンソール上で設定 ⚫ レルム作成、クライアント追加、ユーザ追加 ⚫ 認証フロー設定(多要素認証) ◼OAuth2.0の挙動を確認してみる Keycloakのハンズオン

  20. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオン Keycloakのハンズオン 実演します

  21. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ハンズオンの全体感 Keycloakのハンズオン レルム: myrealm ユーザ: jjug Apache mod_auth_openidc クライアント myclient