Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KeycloakでSSOに入門する

Avatar for Hiroyuki Wada Hiroyuki Wada
February 09, 2022
Technology
0
1.1k

 KeycloakでSSOに入門する

2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。

https://secureoss-sig.connpass.com/event/235671/
Avatar for Hiroyuki Wada

Hiroyuki Wada

February 09, 2022
Tweet

More Decks by Hiroyuki Wada

See All by Hiroyuki Wada
Identiverse 2024 Overview
Avatar for Hiroyuki Wada wadahiro
0
90
実践 KeycloakとAdvancedな機能の紹介
Avatar for Hiroyuki Wada wadahiro
2
1.9k

Other Decks in Technology

See All in Technology
Lakebaseを使ったAIエージェントを実装してみる
Avatar for camay kameitomohiro
0
180
Claude Code に プロジェクト管理やらせたみた
Avatar for 佐藤圭吾 unson
8
5k
アクセスピークを制するオートスケール再設計: 障害を乗り越えKEDAで実現したリソース管理の最適化
Avatar for M-Yamashita myamashii
1
340
Delta airlines®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for ape1422 airtravelguide
0
360
LLM時代の検索
Avatar for shibuiwilliam shibuiwilliam
2
650
スタックチャン家庭用アシスタントへの道
Avatar for Hiroyuki Kaneko kanekoh
0
110
ロールが細分化された組織でSREは何をするか?
Avatar for norimichi.osanai tgidgd
1
210
ビジネス職が分析も担う事業部制組織でのデータ活用の仕組みづくり / Enabling Data Analytics in Business-Led Divisional Organizations
Avatar for Hiroka Zaitsu zaimy
1
310
サイバーエージェントグループのSRE10年の歩みとAI時代の生存戦略
Avatar for shotaTsuge shotatsuge
4
840
ポストコロナ時代の SaaS におけるコスト削減の意義
Avatar for izzii izzii
1
290
How Do I Contact HP Printer Support? [Full 2025 Guide for U.S. Businesses]
Avatar for jackkkk harrry1211
0
130
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
Avatar for goldfinch3710 flyaahelpguide
0
240

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
181
54k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
510
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
126
53k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
69
11k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
22k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k

Transcript

  1. KeycloakでSSOに入門する OSSセキュリティ技術の会 第10回勉強会 我が…Keycloakの世界に…入門してくるとは!の巻 Hiroyuki Wada / @wadahiro Wataru Okuura

  2. 自己紹介 奥浦担当 和田担当 和田担当

  3. 今日話すこと 入門編のこのあたりを中 心に解説 書籍のサンプルアプリ ケーションを使い実際に SSOの動作デモ

  4. SSOとは 一度のログインで複数のアプリケーションやサービスに対してアクセス可能になる 特性や機能のこと

  5. SSOのメリット • 利用者側 ◦ 1つのユーザIDとパスワードの組を覚えるだけで済む ◦ 一度ログインするだけで複数のアプリケーションを利用可能になり、 アプリケーションごとにログインする手間がなくなる

  6. SSOのメリット • 管理者側 ◦ パスワードの管理箇所、認証箇所を1箇所に集約でき、アタックサー フェス(攻撃対象領域)を少なくできる ◦ 認証強度を上げる場合は、1箇所の認証強度を上げるだけで済む ◦ アプリごとにパスワード忘れ対応といったヘルプデスク運用の負荷軽

  7. SSOは新しいものではない • Active Directoryドメイン内の認証などで使われるKerberosはかなり昔 からある • KeycloakではWebに特化したSSOを実現

  8. (Web) SSOの実現方法 シンプルなCookieベースのやり方/オレオレSSO(2000年代)

  9. 異なるドメイン間でのSSO 認証連携の標準プロトコル(SAML/OIDC)を活用したSSO

  10. SSOの仕組み

  11. 何らかの方法で 認証結果をアプリケー ションに連携することで SSOを実現 安全な方法で認証結果をアプ リケーションに渡す標準的なや り方を定めたもの ⇓ 認証連携プロトコル (SAML/OIDC)

    認証完了 認証結果 を連携 認証結果 を連携

  12. SAMLの代表的なフロー(HTTP POST Binding) • アプリケーション(SP:Service Provider) と認証サーバー(IdP:Idenitity Provider) 間は直接通信しない •

    ブラウザー経由で認証結果を直接連携する • 認証結果として「SAMLアサーション」をIdPから SPに渡す • SPではSAMLアサーションを検証しつつ、含まれて いるユーザ識別子を利用してユーザを特定して SSOを行う

  13. OIDCの代表的なフロー(認可コードフロー) • アプリケーション(RP:Relying Party)と認証サーバー(OP:OpenID Provider)間は直接通信あり • ブラウザーを経由せず、サーバー間通 信で認証結果を受け取る(引き換えの ための認可コードをブラウザー経由で 渡す)

    • 認証結果として「IDトークン」をOPか らRPに渡す • RPではIDトークンを検証しつつ、含ま れているユーザ識別子を利用してユー ザを特定してSSOを行う

  14. SAMLとOIDC • 認証リクエスト:SAMLリクエスト / OIDC認証リクエスト • 認証結果:SAMLアサーション / IDトークン •

    アプリケーション-認証サーバー間の直接通信あり・なしは、実は SAML・OIDCの双方で方式が用意されている • ただし、紹介した代表的なフローがよく使われる (OIDCだと、アクセストークンを使ったAPI認可も同時に行いたいとなる と、認可コードフローがセキュリティ上望ましい)

  15. Keycloak • SAML/OIDCの両方に対応した認証サーバー (代表的ではないフローにも対応) • Keycloak - アプリケーション間のSSOだけでなく、外部の認証サーバー とのSSO※についてもSAML/OIDCの両方に対応 ※Keycloakでは「アイデンティティーブローカリング」という機能

  16. アプリケーションの SSO対応

  17. アプリケーション側はどうする? • 認証サーバー側:Keycloakにおまかせ! • アプリケーション側:???

  18. Keycloak入門本での解説 • 代表的なアプリケーション側のSSOの実現方式につ いて解説 • アプリケーションのタイプ別に、どの方式で実現 することができるか解説

  19. ライブラリーを利用 • アプリケーション内でOIDC/SAML対応のラ イブラリーを利用して実現する • ライブラリーがOIDC/SAMLで必要なメッ セージの組み立て、アサーションの検証など を実施 • ライブラリーを組み込み可能なアプリケー

    ションタイプの場合に利用可能なパターン

  20. リバースプロキシーを利用 • リバースプロキシーサーバーにて OIDC/SAMLによるSSOを実装 • 後段のアプリケーションには、連携された 認証結果からユーザー識別子などをHTTP ヘッダーで連携する • アプリケーションはHTTPヘッダーを参照し

    て認証するだけでよい • AWS Application Load Balancerや Identity-Aware Proxy(IAP)のOIDC 機能もこのパターンとなる

  21. まとめ • SSOは認証結果を連携することで実現する • 認証結果を連携するための標準プロトコルとして、SAML/OIDCがある • KeycloakはSAML/OIDCを実装しており、認証サーバー側の機能を主に 提供(アプリケーション向けのライブラリも一部提供) • SSOを行うアプリケーション側もSAML/OIDCに対応する必要があるが、

    様々な方式があり、アプリケーションタイプに応じて考える必要がある