Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KeycloakでSSOに入門する

7ecd043a343ffcae51dc320771eeaf58?s=47 Hiroyuki Wada
February 09, 2022
Technology
0
310

 KeycloakでSSOに入門する

2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。

https://secureoss-sig.connpass.com/event/235671/

7ecd043a343ffcae51dc320771eeaf58?s=128

Hiroyuki Wada

February 09, 2022
Tweet

Other Decks in Technology

See All in Technology
Google Cloud Updates 2022/05/16-05/31
609308e6510e41133d30460eef1ccd36?s=48 no24oka
2
110
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
18k
Accelerated Computing for NLP on AWS
4e10f0bc53073da7f55420c1a2021c8b?s=48 shokout
1
260
Custom AppをIP制限ありのままで審査に通す方法
Df8bc8c531e2c5c89c1a007db1cf79a3?s=48 yusuga
0
700
eBPF for Security Observability
676c8aec28ade455c442e648abfa1db5?s=48 lizrice
0
220
サイボウズの アジャイル・クオリティ / Agile Quality at Cybozu
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
4
2.5k
OPENLOGI Company Profile
5c588fdfe782f92fa6b081903edd82bb?s=48 hr01
0
730
【SAP知らない人向け】SAP on AWS 個人学習メモ/sap-on-aws-study
97b3cca999b52cb5296675ac0a5c12cd?s=48 emiki
3
2.4k
約6年間運用したシステムをKubernetesに完全移行するまで/Kubernetes Novice Tokyo
46839cf590a549efe13547c17a6b2fde?s=48 isaoshimizu
6
950
ZephyrRTOSのLongan Nanoへの移植
0c9a0a8d6b0bb70aab9546484e294be0?s=48 tokitahiroshi
0
110
今どきのLinux事情
4241bfe2a981350a7950f3875d9f441a?s=48 tokida
44
36k
実際にリビルドを完遂してみて
7ad4f62b63fcd723eea7f690d4f5b65e?s=48 tmiura0203
0
100

Featured

See All Featured
The Power of CSS Pseudo Elements
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
47
3.9k
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
20k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
12
930
Principles of Awesome APIs and How to Build Them.
B47b288784fda77a94aeb234ca743c24?s=48 keavy
113
15k
Why Our Code Smells
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
324
55k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
498
130k
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
172
8.5k
Navigating Team Friction
245cee81a9c424266e5e401d844ea881?s=48 lara
175
11k
A designer walks into a library…
15f2b8221f247985a27a627d2ece72f0?s=48 pauljervisheath
196
16k
How to name files
0a4f62e90c976eeb44d33add75cca5af?s=48 jennybc
40
61k
Rebuilding a faster, lazier Slack
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
62
7.2k
What the flash - Photography Introduction
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
62
10k

Transcript

  1. KeycloakでSSOに入門する OSSセキュリティ技術の会 第10回勉強会 我が…Keycloakの世界に…入門してくるとは!の巻 Hiroyuki Wada / @wadahiro Wataru Okuura

  2. 自己紹介 奥浦担当 和田担当 和田担当

  3. 今日話すこと 入門編のこのあたりを中 心に解説 書籍のサンプルアプリ ケーションを使い実際に SSOの動作デモ

  4. SSOとは 一度のログインで複数のアプリケーションやサービスに対してアクセス可能になる 特性や機能のこと

  5. SSOのメリット • 利用者側 ◦ 1つのユーザIDとパスワードの組を覚えるだけで済む ◦ 一度ログインするだけで複数のアプリケーションを利用可能になり、 アプリケーションごとにログインする手間がなくなる

  6. SSOのメリット • 管理者側 ◦ パスワードの管理箇所、認証箇所を1箇所に集約でき、アタックサー フェス(攻撃対象領域)を少なくできる ◦ 認証強度を上げる場合は、1箇所の認証強度を上げるだけで済む ◦ アプリごとにパスワード忘れ対応といったヘルプデスク運用の負荷軽

  7. SSOは新しいものではない • Active Directoryドメイン内の認証などで使われるKerberosはかなり昔 からある • KeycloakではWebに特化したSSOを実現

  8. (Web) SSOの実現方法 シンプルなCookieベースのやり方/オレオレSSO(2000年代)

  9. 異なるドメイン間でのSSO 認証連携の標準プロトコル(SAML/OIDC)を活用したSSO

  10. SSOの仕組み

  11. 何らかの方法で 認証結果をアプリケー ションに連携することで SSOを実現 安全な方法で認証結果をアプ リケーションに渡す標準的なや り方を定めたもの ⇓ 認証連携プロトコル (SAML/OIDC)

    認証完了 認証結果 を連携 認証結果 を連携

  12. SAMLの代表的なフロー(HTTP POST Binding) • アプリケーション(SP:Service Provider) と認証サーバー(IdP:Idenitity Provider) 間は直接通信しない •

    ブラウザー経由で認証結果を直接連携する • 認証結果として「SAMLアサーション」をIdPから SPに渡す • SPではSAMLアサーションを検証しつつ、含まれて いるユーザ識別子を利用してユーザを特定して SSOを行う

  13. OIDCの代表的なフロー(認可コードフロー) • アプリケーション(RP:Relying Party)と認証サーバー(OP:OpenID Provider)間は直接通信あり • ブラウザーを経由せず、サーバー間通 信で認証結果を受け取る(引き換えの ための認可コードをブラウザー経由で 渡す)

    • 認証結果として「IDトークン」をOPか らRPに渡す • RPではIDトークンを検証しつつ、含ま れているユーザ識別子を利用してユー ザを特定してSSOを行う

  14. SAMLとOIDC • 認証リクエスト:SAMLリクエスト / OIDC認証リクエスト • 認証結果:SAMLアサーション / IDトークン •

    アプリケーション-認証サーバー間の直接通信あり・なしは、実は SAML・OIDCの双方で方式が用意されている • ただし、紹介した代表的なフローがよく使われる (OIDCだと、アクセストークンを使ったAPI認可も同時に行いたいとなる と、認可コードフローがセキュリティ上望ましい)

  15. Keycloak • SAML/OIDCの両方に対応した認証サーバー (代表的ではないフローにも対応) • Keycloak - アプリケーション間のSSOだけでなく、外部の認証サーバー とのSSO※についてもSAML/OIDCの両方に対応 ※Keycloakでは「アイデンティティーブローカリング」という機能

  16. アプリケーションの SSO対応

  17. アプリケーション側はどうする? • 認証サーバー側:Keycloakにおまかせ! • アプリケーション側:???

  18. Keycloak入門本での解説 • 代表的なアプリケーション側のSSOの実現方式につ いて解説 • アプリケーションのタイプ別に、どの方式で実現 することができるか解説

  19. ライブラリーを利用 • アプリケーション内でOIDC/SAML対応のラ イブラリーを利用して実現する • ライブラリーがOIDC/SAMLで必要なメッ セージの組み立て、アサーションの検証など を実施 • ライブラリーを組み込み可能なアプリケー

    ションタイプの場合に利用可能なパターン

  20. リバースプロキシーを利用 • リバースプロキシーサーバーにて OIDC/SAMLによるSSOを実装 • 後段のアプリケーションには、連携された 認証結果からユーザー識別子などをHTTP ヘッダーで連携する • アプリケーションはHTTPヘッダーを参照し

    て認証するだけでよい • AWS Application Load Balancerや Identity-Aware Proxy(IAP)のOIDC 機能もこのパターンとなる

  21. まとめ • SSOは認証結果を連携することで実現する • 認証結果を連携するための標準プロトコルとして、SAML/OIDCがある • KeycloakはSAML/OIDCを実装しており、認証サーバー側の機能を主に 提供(アプリケーション向けのライブラリも一部提供) • SSOを行うアプリケーション側もSAML/OIDCに対応する必要があるが、

    様々な方式があり、アプリケーションタイプに応じて考える必要がある