Upgrade to Pro — share decks privately, control downloads, hide ads and more …

redhat_sso_7.4

Takahiro Inoue
January 12, 2021
0
810

 redhat_sso_7.4

Takahiro Inoue

January 12, 2021
Tweet

More Decks by Takahiro Inoue

See All by Takahiro Inoue
JJUG2022_spring_Keycloak (Red Hat Single Sign-on)
tinoue
0
600

Featured

See All Featured
Designing Experiences People Love
moore
136
23k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
We Have a Design System, Now What?
morganepeng
43
6.7k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
[RailsConf 2023] Rails as a piece of cake
palkan
23
3.9k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
The Invisible Side of Design
smashingmag
294
49k
In The Pink: A Labor of Love
frogandcode
138
21k
Statistics for Hackers
jakevdp
789
220k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
Facilitating Awesome Meetings
lara
42
5.6k
The Cost Of JavaScript in 2023
addyosmani
16
3.9k

Transcript

  1. Red Hat Single Sign-Onのご紹介 2021年1月 レッドハット株式会社 テクニカルセールス本部

  2. アジェンダ • Red Hat Single Sign-On製品概要 • 画面イメージ • アーキテクチャとシステム構成

    • 事例 • 提供形態 • Red Hat Single Sign-On 7.4 update

  3. 製品概要 • オープンソースのID/アクセス管理製品であるKeycloakプロジェクトをベース • OpenID Connect、OAuth、SAMLなどの標準に対応 • 導入によって得られる効果 − シングルサインオンにより、ユーザーが複数パスワードを管理する必要がなくなる

    − アプリケーション側で認証の仕組みを作る必要がなくなる − マイクロサービスをセキュアに接続可能となり、様々なサービス連携が容易になる − 自社ITシステムのセキュリティが向上する − APIの安全な公開 SSO

  4. 主な機能: シングルサインオン&アウト RH-SSO 管理者 ユーザ 権限管理 強制ログアウト モニタリング 監査

  5. 主な機能: IDフェデレーション RH-SSO ユーザ LDAP Active Directory Custom User Storage

    RDBMS フェデレーション

  6. 主な機能: IDブローカー & ソーシャルログイン RH-SSO User SAML 2 Identity Provider

    Twitter Facebook LinkedIn IDブローカー GitHub Google MicroSoft

  7. その他の主な機能 • ユーザ登録 − 管理者による設定 • LDAPやActive Directoryとの連携など − ユーザ自身による登録

    • 管理者によるユーザプロファイルの設定項目が可能 • メールによる本人確認Email verification • reCAPTCHAによるボットのフィルタリング • 認証方式 − ユーザ名/パスワード − ブラウザのCookie − Kerberos認証 − ワンタイムパスワードによる2FA(二要素認証) • Google AuthenticatorやFreeOTPを使用したTOTP/HOTPのサポート • 認証情報のリセット − ユーザによる認証情報のリセット機能

  8. • OAuth2に対応した認可の設定 − Goodle Docsのようなサービスに対するアクセス権の設定( Aさんは編集可能だが、Bさん は閲覧のみ、など) • 監査機能 −

    以下に関するイベントを監査のストリームとして保存 • ユーザ登録、ログイン、ログアウト、リフレッシュトークンなど • ソーシャルリンク、メールアドレスの更新、プロファイルの更新など • 管理者による細かい粒度でのセッション管理 − 管理者や利用者が自分のセッションを参照・管理することが可能 − 管理者がユーザーになりすましてデバッグする機能 • 脅威モデルの緩和 − ブルートフォース攻撃(パスワード推測)、クリック・ジャッキング、 CSRF攻撃など • カスタマイズ可能なエンドユーザ向けの UI • クライアントアダプター:JavaScript/WildFly/EAP/Fuse/Tomcat/Jetty/Spring等 その他の主な機能

  9. 異なるアプリケーション間でのシングルサインオン Spring Boot Tomcat EAP Vert.x Node.js Thorntail Quarkus SSO

  10. 画面イメージ

  11. レルムの設定


  12. クライアントの設定
 管理対象となるクライアントアプリケーションを登録 


  13. ユーザの設定
 ユーザに紐づくロールの定義 


  14. アイデンティティ・プロバイダの設定


  15. ログイン画面
 カスタマイズ可能なログイン画面 


  16. アーキテクチャと 製品構成

  17. 最小システム要件 • Javaが実行可能なオペレーティング・システム • Java 8 JDK • zipまたはgzip、およびtar •

    RAM512M以上 • ディスクスペース1G以上 • PostgreSQL、MySQL、Oracleなどの共有外部データベース。Keycloakをクラスターで実行する 場合は、外部共有データベース • クラスターを構成する場合はマルチキャスト・ネットワークのサポート • Linuxにおいては、セキュリティー・ポリシーにより /dev/random の使用が義務付けられている 場合を除き、ランダムデータのソースとして /dev/urandom を使用することを推奨 https://access.redhat.com/articles/2342881 https://access.redhat.com/articles/2342861

  18. デプロイメント構成図 RDBMS Keycloak DB RH-SSO Keycloak Server war EAP HTTP

    Client LDAP AD IdPs ソーシャル HTTP OIDC/SAML AJP OIDC/SAML

  19. 高可用性を考慮したシステム構成例

  20. 事例

  21. Red Hat:RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

  22. Red Hat:RH-SSOでユーザを一元管理 https://access.redhat.com/announcements/2901111 https://developers.redhat.com/blog/2019/02/14/red-hat-sso-high-availability-hybrid-cloud/

  23. ブラジルの銀行での構成例 • システム概要 − ATMや公開サービス含むすべてのアプリケーションでの SSO • Internet applications (web

    lottery, social services) • Intranet for banking applications (account holders, employees) − ADや様々なソーシャルログインと連携 − ユーザ数: 6千万, オフラインキャッシュトークン数: 3百万 − ログインの負荷: 8,000 logins/minute − カスタムワークフローとSPI実装多数 • ユーザ登録、ユーザの格納、アクショントークン、カスタムプロバイダ、カスタム UI • 構成 − 9つのVM (32 GB JVM, 8 vCPU) − 6つのレルム(その内2つのレルムで95%の負荷) − Oracle RACでクロスサイトレプリケーション − Red Hat Data Grid によるリモートキャッシュ

  24. 提供形態

  25. RH-SSOの提供形態 • RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services Collectionに含まれた形態で提供しております。 • JBoss

    Web Serverを除く、以下のサブスクリプションに含まれます。 − Red HatのApplication Services製品のサブスクリプション − OpenShiftのサブスクリプション • RH-SSOはコンテナイメージまたはOperatorとして提供

  26. サブスクリプションの考え方 16-core EAP subscription購入時 16 Cores of EAP 16 Cores

    of Core Services Collection Services + Red HatのApplication Services製品またはOpenShiftで購入されたCore数と同数分JBoss Core Service Collectionを利用することができます。 見積もり例としては下記になります。

  27. JBoss Core Service Collection製品ライフサイクル JBoss Core Service Collectionの製品ライフサイクル最新情報: https://access.redhat.com/ja/support/policy/updates/jboss_notes JBoss

    Core Service Collectionに含まれる製品は、 JBoss製品と別のスケジュールでリリース <RH-SSOの製品ライフサイクル部分抜粋>

  28. Red Hat Single Sign-on 7.4 Update

  29. • は、パスワードの代わりに公開鍵を使ってユーザを認証するための標準 仕様 ◦ 主要なブラウザでサポート ◦ 複雑な認証デバイスを アプリケーションから隠す • 多要素認証またはパスワードレスとして使用可能

    • では限定的サポート • による新しい認証機能のサポート Tech Preview

  30. • エンドユーザ向けの画面の の刷新 • 新しいモダンなコンソールを導入 ◦ ユーザビリティを重視 ◦ と がベース

    • 新規の の追加 Tech Preview

  31. • と の ◦ 現状、基本的な に注力 ▪ ▪ ▪ •

    • プロトタイプ: • とは独立してリリース Tech Preview

  32. その他情報源

  33. および の情報源 • ◦ • 日本語ドキュメント ◦ • 超入門 ◦

  34. Red Hat is the world’s leading provider of enterprise open

    source software solutions. Award-winning support, training, and consulting services make 
 Red Hat a trusted adviser to the Fortune 500.