OSSの認証サービス Keycloak を.NETから使ってみた-Aspireとコンテナで使える簡単IDaaS

OSSの認証サービス Keycloak を.NETから使ってみた Aspireとコンテナで使える簡単IDaaS #dotnetlab

⾃⼰紹介高丘知央 ( Tomohisa Takaoka ) 株式会社ジェイテックジャパンCTO イベントソーシング・CQRSフレームワーク Sekiban
メンテナ米国カリフォルニア州ロングビーチ在住（ロスの近く） • X : @tomohisa • Github : @tomohisa • Linkedin : tomohisatakaoka 自作キーボード、3Dプリント自作トラックボール製作 11月に.NETラボ現地参加できそう #dotnetlab 🆗

最近の登壇活動 🆗 #dotnetlab オープンデベロッパーカンファレンスや吉祥寺.pmで登壇して、.NET の良さを伝えています。イベントソーシングに関しての実情調査のために多くの開発者にお願いして、55名のアンケートを取りました。
Sekiban の Githubスターしてくださるととても嬉しいです 🥹 https://github.com/J-Tech-Japan/Sekiban

株式会社ジェイテックジャパンの紹介 • 創業50年を超えた総合IT企業、株式会社ジャパンテクニカルソフトウェア (JTS) のグループ企業。 • New York 所在
J-Tech Creations, Inc. の東京拠点。 • B2C / B2B アプリケーションを開発‧運⽤するソフトウェア開発企業。 • .NET‧Azure 等 Microsoft の技術スタックを主に使⽤。 🆗 #dotnetlab

Overview 「OSSの認証サービス Keycloak を.NETから使ってみた」 1. Keycloak とは 2. .NET Aspire
Keycloak 連携について 3. デモ 4. BFFによるクライアントセキュリティの向上 🆗 #dotnetlab

「OSSの認証サービス Keycloak を .NETから使ってみた」 1.Keycloak とは

アプリケーションを開発している時にこんなことで悩みませんか？ • ユーザー管理、⾃分で作ったらそれだけで１システム ◦ 2段階認証、パスワードリセット、秘匿情報の管理、etc... • IDaaS (Octa,Auth0, EntraID ...)
のどれを使うか決まっていない or 使えない • ソーシャルログインをそれぞれ作るのも⾯倒 • IDaaSの費⽤が⼼配 • ひとまずユーザー管理は楽してメインの機能を作りたいそんなときに... Keycloak ... 初学者なので間違いあったら指摘してください... 🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 Keycloak とは

Keycloakとは？オープンソースのIDとアクセス管理ソフトウェアコンテナ上で動作する。 • シングルサインオン（SSO） • ユーザー管理とロールベースのアクセス制御 • 外部IDプロバイダとの連携（SAML、OpenID Connectなど）
• 多要素認証（MFA） • ソーシャルログイン（Google、Facebookなど） • クライアントアプリケーション対応（Web、モバイル、API）これらにより、認証とアクセス制御の統合管理が可能 🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 Keycloak とは

組み込みでなく、別のIDサービスとする利点 • 多機能が最初から組み込まれていて、設定次第で使⽤できる • ソーシャルログインを⾃由に追加可能 • 設定を変えてもアプリケーションコードは変更不要 • OSSで開発されているのでコンテナをバージョンアップすることにより機能追加やセキュリティの修正を⼊れることができる
🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 Keycloak とはアプリケーションサーバーブラウザ認証サーバー (Keycloakなど) トークン確認などログイントークンを返すトークン認証データの入出力

🆗 #dotnetlab コンテナで動作する利点 • ローカル開発で簡単に起動できる • DEVモードでセキュリティ的にゆるい運⽤できるモードがある • DEVモードではコンテナ内にデータを永続化できる •
コンテナのVolumesの削除により、データのリセットが簡単 • Realm (テナントのようなもの)のエクスポート、インポートができる「OSSの認証サービス Keycloak を.NETから使ってみた」 Keycloak とは

🆗 #dotnetlab 本番デプロイに関して • クラウドのコンテナ環境にデプロイ可能 • リバースプロキシを使⽤して部分的に公開も可能 • データベースとの連携 •
スケールする設定に関してもドキュメント多数 • IDaaSよりも安価に済むという報告もあり • 簡単に設定できるマネージドサービスもある「OSSの認証サービス Keycloak を.NETから使ってみた」 Keycloak とは

🆗 #dotnetlab Keycloakとはまとめ認証、認可のソフトウェア開発が楽に⾏えるマネージドサービス、コンテナデプロイも可能これはAspireで使えたら、便利そう「OSSの認証サービス Keycloak を.NETから使ってみた」
Keycloak とは

「OSSの認証サービス Keycloak を .NETから使ってみた」 2.NET Aspire Keycloak 連携について

🆗 #dotnetlab Keycloak - Aspire 連携について .NET Aspire Developers Day
2024年7⽉23⽇ Secrets, Security, and Keycloak in .NET Aspire by Jeremy Likness - 僕はこれをみてKeycloakを知りました最近、Aspire関連のマイクロソフトイベントがとても多いので、DB、コンテナ、その他各分野ごとのリソースがとても多い「OSSの認証サービス Keycloak を.NETから使ってみた」 2.NET Aspire Keycloak 連携について

🆗 #dotnetlab Keycloak - Aspire 連携についてホスト側 : Aspire.Hosting.Keycloak 8.2.1-preview.1.24473.4
使⽤側： Aspire.Keycloak.Authentication 8.2.1-preview.1.24473.4 最近8.2でリリースされたため、ドキュメント量が少なく、使いかがわかりにくい。 Youtubeを⽌めては動かしてみての繰り返し Youtubeでは curl を使⽤してコマンドラインでログインと認証を⾏う説明があり、勉強になった「OSSの認証サービス Keycloak を.NETから使ってみた」 2.NET Aspire Keycloak 連携について

🆗 #dotnetlab 便利なサンプル aspire / playground / keycloak ⼀通り動くサンプル Host
: Keycloakのコンテナを起動、設定は jsonでエクスポートしたものを取り込むか、Webで設定 API Service : WebAPI KeycloakのJWTで認証できるように設定している Web : Blazor Tokenはサーバーサイド側に持っている「OSSの認証サービス Keycloak を.NETから使ってみた」 2.NET Aspire Keycloak 連携について

🆗 #dotnetlab サンプルを使⽤するために Keycloak - さらには認証と認可の基本、OpenID Connect, Saml, OAuth 2.0などの基本を知っておく必
要がある。 O’Reilly の実践Keycloakはアプリケーションの設定も含め説明されていてよい。実践Keycloak & SAMLは認証の説明がわかりやすい英語で検索したら情報は多い「OSSの認証サービス Keycloak を.NETから使ってみた」 2.NET Aspire Keycloak 連携について

「OSSの認証サービス Keycloak を .NETから使ってみた」 3. デモ

🆗 #dotnetlab 使⽤例を作っています J-TechCreations / OpenAttendanceManagement Aspire / Sekiban /
ResultBox を使った勤怠サンプル（忙しくてあまり進んでいないですが、少しずつ機能追加しています） Keycloakをログインに使う形に対応するためにKeycloak 対応を作成しています。 ApiService.Keycloak : Keycloakトークンで認証するWebAPI Web.Keycloak : BlazorによるBFFのサンプル Web.Keycloak.Next : Next.jsによるBFFのサンプル「OSSの認証サービス Keycloak を.NETから使ってみた」 3. デモ

「OSSの認証サービス Keycloak を .NETから使ってみた」 4.BFFによるクライアントセキュリティの向上

🆗 #dotnetlab BFFとは？ BFF（Backend For Frontend)とは、フロントエンド専⽤のバックエンドAPI ⽬的：SPA（シングルページアプリケーション）のセキュリティと開発効率を向上役割： • SPAから外部のAPIを直接呼び出さないようにする
• トークン（特にリフレッシュトークン）漏洩リスクの低減 • フロントエンドと同じドメインにホストされる - CORS設定不要利点：セキュリティ強化、開発容易化、 SPAの移植性向上など by : O’Reilly の実践Keycloak 「OSSの認証サービス Keycloak を.NETから使ってみた」 4.BFFによるクライアントセキュリティの向上

🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 4.BFFによるクライアントセキュリティの向上 MVC Webの場合、Cookie 認証でセキュアにできるアプリのためにAPIサーバとする場合はブラウザ版とコードが混ざり開発しにくくなる
アプリではTOKENをアプリに⼊れることも多いアプリケーションサーバーブラウザ認証サーバー (Keycloakなど) トークン確認などログイン DB TOKEN アプリログイン Cookie認証ページの送信 TOKEN TOKEN認証データの送信アプリサーバーが外部に公開 DBは直接アクセスを防ぐことが可能

🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 4.BFFによるクライアントセキュリティの向上 SPA フロントエンドはバックエンドの機能を持たないアプリとブラウザはともにjsonデータのみを⼊出⼒するため、アプリケーションサーバーは同じものを使うこともできる
アプリケーションサーバーブラウザ SPA 認証サーバー (Keycloakなど) トークン確認などログイン DB TOKEN アプリログイン TOKEN認証データの送信 TOKEN TOKEN認証データの送信 SPAサーバーバックエンドなし Vue, React etc アプリサーバーが外部に公開 DBは直接アクセスを防ぐことが可能

🆗 #dotnetlab 「OSSの認証サービス Keycloak を.NETから使ってみた」 4.BFFによるクライアントセキュリティの向上 BFF Webの場合、Cookie 認証でセキュアにできるアプリのためにAPIサーバとする場合はブラウザ版とコードが混ざり開発しにくくなる
アプリケーションサーバーブラウザ認証サーバー (Keycloakなど) トークン確認などログイン DB アプリ TO KEN認証データの送信 TOKEN認証データの送信 BFFサーバーバックエンドあり Blazor, Next, Nuxt etc TOKEN TOKEN送信 Cookie認証ページの送信 BFFサーバーバックエンドあり WebAPI, Node etc TOKEN認証データの送信 TOKEN ログインアプリ用 TOKEN認証データの送信 TOKEN TOKEN WAFなどのセキュリティでアプリサーバーやDBを守ることが可能

まとめ

まとめ • ⾃分で管理できる認証サーバーとして Keycloakは便利 • Aspireで使うのに、コンテナで開発できるのは便利 • Keycloakを使うにしても他のものを使うにしても、ログインとユーザー管理の⾃作は今の
時代は⼤変。ID専⽤サービスを使うのがよい • トークンをバックエンドに保持できるBFFパターンがセキュリティ的に有利。Blazorはその点素敵 🆗 #dotnetlab

質問、感想などありましたらXなどで連絡ください @tomohisa Dotnet Aspire はこちら https://github.com/dotnet/aspire Keycloakはこちら https://www.keycloak.org/ OpenAttendanceManagementはこちら https://github.com/J-Tech-Creations/OpenAttendanceManagement
J-Tech Japan Tech Blog https://zenn.dev/p/jtechjapan_pub おわり 🆗 #dotnetlab

OSSの認証サービス Keycloak を.NETから使ってみた-Aspireとコンテナで使え...

OSSの認証サービス Keycloak を.NETから使ってみた-Aspireとコンテナで使える簡単IDaaS

Tomohisa Takaoka

More Decks by Tomohisa Takaoka

Featured

Transcript