Upgrade to Pro — share decks privately, control downloads, hide ads and more …

redhat_sso_7.4

Takahiro Inoue
January 12, 2021
800

 redhat_sso_7.4

Takahiro Inoue

January 12, 2021
Tweet

Transcript

  1. 製品概要 • オープンソースのID/アクセス管理製品であるKeycloakプロジェクトをベース • OpenID Connect、OAuth、SAMLなどの標準に対応 • 導入によって得られる効果 − シングルサインオンにより、ユーザーが複数パスワードを管理する必要がなくなる

    − アプリケーション側で認証の仕組みを作る必要がなくなる − マイクロサービスをセキュアに接続可能となり、様々なサービス連携が容易になる − 自社ITシステムのセキュリティが向上する − APIの安全な公開 SSO
  2. 主な機能: IDブローカー & ソーシャルログイン RH-SSO User SAML 2 Identity Provider

    Twitter Facebook LinkedIn IDブローカー GitHub Google MicroSoft
  3. その他の主な機能 • ユーザ登録 − 管理者による設定 • LDAPやActive Directoryとの連携など − ユーザ自身による登録

    • 管理者によるユーザプロファイルの設定項目が可能 • メールによる本人確認Email verification • reCAPTCHAによるボットのフィルタリング • 認証方式 − ユーザ名/パスワード − ブラウザのCookie − Kerberos認証 − ワンタイムパスワードによる2FA(二要素認証) • Google AuthenticatorやFreeOTPを使用したTOTP/HOTPのサポート • 認証情報のリセット − ユーザによる認証情報のリセット機能
  4. • OAuth2に対応した認可の設定 − Goodle Docsのようなサービスに対するアクセス権の設定( Aさんは編集可能だが、Bさん は閲覧のみ、など) • 監査機能 −

    以下に関するイベントを監査のストリームとして保存 • ユーザ登録、ログイン、ログアウト、リフレッシュトークンなど • ソーシャルリンク、メールアドレスの更新、プロファイルの更新など • 管理者による細かい粒度でのセッション管理 − 管理者や利用者が自分のセッションを参照・管理することが可能 − 管理者がユーザーになりすましてデバッグする機能 • 脅威モデルの緩和 − ブルートフォース攻撃(パスワード推測)、クリック・ジャッキング、 CSRF攻撃など • カスタマイズ可能なエンドユーザ向けの UI • クライアントアダプター:JavaScript/WildFly/EAP/Fuse/Tomcat/Jetty/Spring等 その他の主な機能
  5. 最小システム要件 • Javaが実行可能なオペレーティング・システム • Java 8 JDK • zipまたはgzip、およびtar •

    RAM512M以上 • ディスクスペース1G以上 • PostgreSQL、MySQL、Oracleなどの共有外部データベース。Keycloakをクラスターで実行する 場合は、外部共有データベース • クラスターを構成する場合はマルチキャスト・ネットワークのサポート • Linuxにおいては、セキュリティー・ポリシーにより /dev/random の使用が義務付けられている 場合を除き、ランダムデータのソースとして /dev/urandom を使用することを推奨 https://access.redhat.com/articles/2342881 https://access.redhat.com/articles/2342861
  6. デプロイメント構成図 RDBMS Keycloak DB RH-SSO Keycloak Server war EAP HTTP

    Client LDAP AD IdPs ソーシャル HTTP OIDC/SAML AJP OIDC/SAML
  7. ブラジルの銀行での構成例 • システム概要 − ATMや公開サービス含むすべてのアプリケーションでの SSO • Internet applications (web

    lottery, social services) • Intranet for banking applications (account holders, employees) − ADや様々なソーシャルログインと連携 − ユーザ数: 6千万, オフラインキャッシュトークン数: 3百万 − ログインの負荷: 8,000 logins/minute − カスタムワークフローとSPI実装多数 • ユーザ登録、ユーザの格納、アクショントークン、カスタムプロバイダ、カスタム UI • 構成 − 9つのVM (32 GB JVM, 8 vCPU) − 6つのレルム(その内2つのレルムで95%の負荷) − Oracle RACでクロスサイトレプリケーション − Red Hat Data Grid によるリモートキャッシュ
  8. RH-SSOの提供形態 • RH-SSOは、単体での製品提供は行っておらず、Red Hat JBoss Core Services Collectionに含まれた形態で提供しております。 • JBoss

    Web Serverを除く、以下のサブスクリプションに含まれます。 − Red HatのApplication Services製品のサブスクリプション − OpenShiftのサブスクリプション • RH-SSOはコンテナイメージまたはOperatorとして提供
  9. サブスクリプションの考え方 16-core EAP subscription購入時 16 Cores of EAP 16 Cores

    of Core Services Collection Services + Red HatのApplication Services製品またはOpenShiftで購入されたCore数と同数分JBoss Core Service Collectionを利用することができます。 見積もり例としては下記になります。
  10. JBoss Core Service Collection製品ライフサイクル JBoss Core Service Collectionの製品ライフサイクル最新情報: https://access.redhat.com/ja/support/policy/updates/jboss_notes JBoss

    Core Service Collectionに含まれる製品は、 JBoss製品と別のスケジュールでリリース <RH-SSOの製品ライフサイクル部分抜粋>
  11. • と の ◦ 現状、基本的な に注力 ▪ ▪ ▪ •

    • プロトタイプ: • とは独立してリリース Tech Preview
  12. Red Hat is the world’s leading provider of enterprise open

    source software solutions. Award-winning support, training, and consulting services make 
 Red Hat a trusted adviser to the Fortune 500.