redhat_sso_7.4

Red Hat Single Sign-Onのご紹介 2021年1月レッドハット株式会社テクニカルセールス本部

アジェンダ • Red Hat Single Sign-On製品概要 • 画面イメージ • アーキテクチャとシステム構成
• 事例 • 提供形態 • Red Hat Single Sign-On 7.4 update

製品概要 • オープンソースのID/アクセス管理製品であるKeycloakプロジェクトをベース • OpenID Connect、OAuth、SAMLなどの標準に対応 • 導入によって得られる効果 − シングルサインオンにより、ユーザーが複数パスワードを管理する必要がなくなる
− アプリケーション側で認証の仕組みを作る必要がなくなる − マイクロサービスをセキュアに接続可能となり、様々なサービス連携が容易になる − 自社ITシステムのセキュリティが向上する − APIの安全な公開 SSO

主な機能: シングルサインオン&アウト RH-SSO 管理者ユーザ権限管理強制ログアウトモニタリング監査

主な機能: IDフェデレーション RH-SSO ユーザ LDAP Active Directory Custom User Storage
RDBMS フェデレーション

主な機能: IDブローカー & ソーシャルログイン RH-SSO User SAML 2 Identity Provider
Twitter Facebook LinkedIn IDブローカー GitHub Google MicroSoft

その他の主な機能 • ユーザ登録 − 管理者による設定 • LDAPやActive Directoryとの連携など − ユーザ自身による登録
• 管理者によるユーザプロファイルの設定項目が可能 • メールによる本人確認Email veriﬁcation • reCAPTCHAによるボットのフィルタリング • 認証方式 − ユーザ名/パスワード − ブラウザのCookie − Kerberos認証 − ワンタイムパスワードによる2FA（二要素認証） • Google AuthenticatorやFreeOTPを使用したTOTP/HOTPのサポート • 認証情報のリセット − ユーザによる認証情報のリセット機能

• OAuth2に対応した認可の設定 − Goodle Docsのようなサービスに対するアクセス権の設定（ Aさんは編集可能だが、Bさんは閲覧のみ、など） • 監査機能 −
以下に関するイベントを監査のストリームとして保存 • ユーザ登録、ログイン、ログアウト、リフレッシュトークンなど • ソーシャルリンク、メールアドレスの更新、プロファイルの更新など • 管理者による細かい粒度でのセッション管理 − 管理者や利用者が自分のセッションを参照・管理することが可能 − 管理者がユーザーになりすましてデバッグする機能 • 脅威モデルの緩和 − ブルートフォース攻撃（パスワード推測）、クリック・ジャッキング、 CSRF攻撃など • カスタマイズ可能なエンドユーザ向けの UI • クライアントアダプター：JavaScript/WildFly/EAP/Fuse/Tomcat/Jetty/Spring等その他の主な機能

異なるアプリケーション間でのシングルサインオン Spring Boot Tomcat EAP Vert.x Node.js Thorntail Quarkus SSO

画面イメージ

レルムの設定 

クライアントの設定  管理対象となるクライアントアプリケーションを登録  

ユーザの設定  ユーザに紐づくロールの定義  

アイデンティティ・プロバイダの設定 

ログイン画面  カスタマイズ可能なログイン画面  

アーキテクチャと製品構成

最小システム要件 • Javaが実行可能なオペレーティング・システム • Java 8 JDK • zipまたはgzip、およびtar •
RAM512M以上 • ディスクスペース1G以上 • PostgreSQL、MySQL、Oracleなどの共有外部データベース。Keycloakをクラスターで実行する場合は、外部共有データベース • クラスターを構成する場合はマルチキャスト・ネットワークのサポート • Linuxにおいては、セキュリティー・ポリシーにより /dev/random の使用が義務付けられている場合を除き、ランダムデータのソースとして /dev/urandom を使用することを推奨 https://access.redhat.com/articles/2342881 https://access.redhat.com/articles/2342861

デプロイメント構成図 RDBMS Keycloak DB RH-SSO Keycloak Server war EAP HTTP
Client LDAP AD IdPs ソーシャル HTTP OIDC/SAML AJP OIDC/SAML

高可用性を考慮したシステム構成例

事例

Red Hat：RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

ブラジルの銀行での構成例 • システム概要 − ATMや公開サービス含むすべてのアプリケーションでの SSO • Internet applications (web
lottery, social services) • Intranet for banking applications (account holders, employees) − ADや様々なソーシャルログインと連携 − ユーザ数: 6千万, オフラインキャッシュトークン数: 3百万 − ログインの負荷: 8,000 logins/minute − カスタムワークフローとSPI実装多数 • ユーザ登録、ユーザの格納、アクショントークン、カスタムプロバイダ、カスタム UI • 構成 − 9つのVM (32 GB JVM, 8 vCPU) − 6つのレルム(その内2つのレルムで95%の負荷) − Oracle RACでクロスサイトレプリケーション − Red Hat Data Grid によるリモートキャッシュ

提供形態

RH-SSOの提供形態 • RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services Collectionに含まれた形態で提供しております。 • JBoss
Web Serverを除く、以下のサブスクリプションに含まれます。 − Red HatのApplication Services製品のサブスクリプション − OpenShiftのサブスクリプション • RH-SSOはコンテナイメージまたはOperatorとして提供

サブスクリプションの考え方 16-core EAP subscription購入時 16 Cores of EAP 16 Cores
of Core Services Collection Services + Red HatのApplication Services製品またはOpenShiftで購入されたCore数と同数分JBoss Core Service Collectionを利用することができます。見積もり例としては下記になります。

JBoss Core Service Collection製品ライフサイクル JBoss Core Service Collectionの製品ライフサイクル最新情報： https://access.redhat.com/ja/support/policy/updates/jboss_notes JBoss
Core Service Collectionに含まれる製品は、 JBoss製品と別のスケジュールでリリース＜RH-SSOの製品ライフサイクル部分抜粋＞

Red Hat Single Sign-on 7.4 Update

• は、パスワードの代わりに公開鍵を使ってユーザを認証するための標準仕様 ◦ 主要なブラウザでサポート ◦ 複雑な認証デバイスをアプリケーションから隠す • 多要素認証またはパスワードレスとして使用可能
• では限定的サポート • による新しい認証機能のサポート Tech Preview

• エンドユーザ向けの画面のの刷新 • 新しいモダンなコンソールを導入 ◦ ユーザビリティを重視 ◦ とがベース
• 新規のの追加 Tech Preview

• との ◦ 現状、基本的なに注力 ▪ ▪ ▪ •
• プロトタイプ： • とは独立してリリース Tech Preview

その他情報源

およびの情報源 • ◦ • 日本語ドキュメント ◦ • 超入門 ◦

Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and consulting services make   Red Hat a trusted adviser to the Fortune 500.      

redhat_sso_7.4

redhat_sso_7.4

Takahiro Inoue

More Decks by Takahiro Inoue

Featured

Transcript

Red Hat Single Sign-Onのご紹介 2021年1月レッドハット株式会社テクニカルセールス本部

アジェンダ • Red Hat Single Sign-On製品概要 • 画面イメージ • アーキテクチャとシステム構成

主な機能: シングルサインオン&アウト RH-SSO 管理者ユーザ権限管理強制ログアウトモニタリング監査

主な機能: IDフェデレーション RH-SSO ユーザ LDAP Active Directory Custom User Storage

主な機能: IDブローカー & ソーシャルログイン RH-SSO User SAML 2 Identity Provider

その他の主な機能 • ユーザ登録 − 管理者による設定 • LDAPやActive Directoryとの連携など − ユーザ自身による登録

• OAuth2に対応した認可の設定 − Goodle Docsのようなサービスに対するアクセス権の設定（ Aさんは編集可能だが、Bさんは閲覧のみ、など） • 監査機能 −

異なるアプリケーション間でのシングルサインオン Spring Boot Tomcat EAP Vert.x Node.js Thorntail Quarkus SSO

画面イメージ

レルムの設定

クライアントの設定  管理対象となるクライアントアプリケーションを登録

ユーザの設定  ユーザに紐づくロールの定義

アイデンティティ・プロバイダの設定

ログイン画面  カスタマイズ可能なログイン画面

アーキテクチャと製品構成

最小システム要件 • Javaが実行可能なオペレーティング・システム • Java 8 JDK • zipまたはgzip、およびtar •

デプロイメント構成図 RDBMS Keycloak DB RH-SSO Keycloak Server war EAP HTTP

高可用性を考慮したシステム構成例

事例

Red Hat：RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

Red Hat：RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

ブラジルの銀行での構成例 • システム概要 − ATMや公開サービス含むすべてのアプリケーションでの SSO • Internet applications (web

提供形態

RH-SSOの提供形態 • RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services Collectionに含まれた形態で提供しております。 • JBoss

サブスクリプションの考え方 16-core EAP subscription購入時 16 Cores of EAP 16 Cores

JBoss Core Service Collection製品ライフサイクル JBoss Core Service Collectionの製品ライフサイクル最新情報： https://access.redhat.com/ja/support/policy/updates/jboss_notes JBoss

Red Hat Single Sign-on 7.4 Update

• は、パスワードの代わりに公開鍵を使ってユーザを認証するための標準仕様 ◦ 主要なブラウザでサポート ◦ 複雑な認証デバイスをアプリケーションから隠す • 多要素認証またはパスワードレスとして使用可能

• エンドユーザ向けの画面のの刷新 • 新しいモダンなコンソールを導入 ◦ ユーザビリティを重視 ◦ とがベース

• との ◦ 現状、基本的なに注力 ▪ ▪ ▪ •

その他情報源

およびの情報源 • ◦ • 日本語ドキュメント ◦ • 超入門 ◦

Red Hat is the world’s leading provider of enterprise open