Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KeycloakでSSOに入門する

Avatar for Hiroyuki Wada Hiroyuki Wada
February 09, 2022
Technology
1.2k
0

 KeycloakでSSOに入門する

2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。

https://secureoss-sig.connpass.com/event/235671/

Avatar for Hiroyuki Wada

Hiroyuki Wada

February 09, 2022

More Decks by Hiroyuki Wada

See All by Hiroyuki Wada
Keycloakで始めるMCPの認可
Avatar for Hiroyuki Wada wadahiro
0
60
Identiverse 2024 Overview
Avatar for Hiroyuki Wada wadahiro
0
110
実践 KeycloakとAdvancedな機能の紹介
Avatar for Hiroyuki Wada wadahiro
2
2k

Other Decks in Technology

See All in Technology
スクラムを支える内部品質の話
Avatar for IIJ_PR iij_pr
0
320
本番環境でPHPコードに触れずに「使われていないコード」を調べるにはどうしたらよいか?
Avatar for Sohei Iwahori egmc
1
240
Zero Data Loss Autonomous Recovery Service サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
4
13k
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」ご紹介資料
Avatar for Sho Nakatani laysakura
0
1.6k
Webアクセシビリティは“もしも”に備える設計
Avatar for tomokusaba tomokusaba
0
170
Hello UUID
Avatar for mimifuwacc mimifuwacc
0
120
暗黙知について一歩踏み込んで考える - 暗黙知の4タイプと暗黙考・暗黙動へ
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
400
自己組織化を試される緑茶ハイを求めて、今日も全力であそんで学ぼう / Self-Organization and Shochu Green Tea
Avatar for naiban naitosatoshi
0
290
🀄️ on swiftc
Avatar for giginet giginet
PRO
0
160
OPENLOGI Company Profile
Avatar for OPENLOGI hr01
0
83k
AgentCore RuntimeからS3 Filesをマウントしてみる
Avatar for Har1101 har1101
3
370
仕様通り動くの先へ。Claude Codeで「使える」を検証する
Avatar for Gota gotalab555
8
3k

Featured

See All Featured
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.6k
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
1k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
150
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
500
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
880
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.1k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
670
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
200

Transcript

  1. KeycloakでSSOに入門する OSSセキュリティ技術の会 第10回勉強会 我が…Keycloakの世界に…入門してくるとは!の巻 Hiroyuki Wada / @wadahiro Wataru Okuura

  2. 自己紹介 奥浦担当 和田担当 和田担当

  3. 今日話すこと 入門編のこのあたりを中 心に解説 書籍のサンプルアプリ ケーションを使い実際に SSOの動作デモ

  4. SSOとは 一度のログインで複数のアプリケーションやサービスに対してアクセス可能になる 特性や機能のこと

  5. SSOのメリット • 利用者側 ◦ 1つのユーザIDとパスワードの組を覚えるだけで済む ◦ 一度ログインするだけで複数のアプリケーションを利用可能になり、 アプリケーションごとにログインする手間がなくなる

  6. SSOのメリット • 管理者側 ◦ パスワードの管理箇所、認証箇所を1箇所に集約でき、アタックサー フェス(攻撃対象領域)を少なくできる ◦ 認証強度を上げる場合は、1箇所の認証強度を上げるだけで済む ◦ アプリごとにパスワード忘れ対応といったヘルプデスク運用の負荷軽

  7. SSOは新しいものではない • Active Directoryドメイン内の認証などで使われるKerberosはかなり昔 からある • KeycloakではWebに特化したSSOを実現

  8. (Web) SSOの実現方法 シンプルなCookieベースのやり方/オレオレSSO(2000年代)

  9. 異なるドメイン間でのSSO 認証連携の標準プロトコル(SAML/OIDC)を活用したSSO

  10. SSOの仕組み

  11. 何らかの方法で 認証結果をアプリケー ションに連携することで SSOを実現 安全な方法で認証結果をアプ リケーションに渡す標準的なや り方を定めたもの ⇓ 認証連携プロトコル (SAML/OIDC)

    認証完了 認証結果 を連携 認証結果 を連携

  12. SAMLの代表的なフロー(HTTP POST Binding) • アプリケーション(SP:Service Provider) と認証サーバー(IdP:Idenitity Provider) 間は直接通信しない •

    ブラウザー経由で認証結果を直接連携する • 認証結果として「SAMLアサーション」をIdPから SPに渡す • SPではSAMLアサーションを検証しつつ、含まれて いるユーザ識別子を利用してユーザを特定して SSOを行う

  13. OIDCの代表的なフロー(認可コードフロー) • アプリケーション(RP:Relying Party)と認証サーバー(OP:OpenID Provider)間は直接通信あり • ブラウザーを経由せず、サーバー間通 信で認証結果を受け取る(引き換えの ための認可コードをブラウザー経由で 渡す)

    • 認証結果として「IDトークン」をOPか らRPに渡す • RPではIDトークンを検証しつつ、含ま れているユーザ識別子を利用してユー ザを特定してSSOを行う

  14. SAMLとOIDC • 認証リクエスト:SAMLリクエスト / OIDC認証リクエスト • 認証結果:SAMLアサーション / IDトークン •

    アプリケーション-認証サーバー間の直接通信あり・なしは、実は SAML・OIDCの双方で方式が用意されている • ただし、紹介した代表的なフローがよく使われる (OIDCだと、アクセストークンを使ったAPI認可も同時に行いたいとなる と、認可コードフローがセキュリティ上望ましい)

  15. Keycloak • SAML/OIDCの両方に対応した認証サーバー (代表的ではないフローにも対応) • Keycloak - アプリケーション間のSSOだけでなく、外部の認証サーバー とのSSO※についてもSAML/OIDCの両方に対応 ※Keycloakでは「アイデンティティーブローカリング」という機能

  16. アプリケーションの SSO対応

  17. アプリケーション側はどうする? • 認証サーバー側:Keycloakにおまかせ! • アプリケーション側:???

  18. Keycloak入門本での解説 • 代表的なアプリケーション側のSSOの実現方式につ いて解説 • アプリケーションのタイプ別に、どの方式で実現 することができるか解説

  19. ライブラリーを利用 • アプリケーション内でOIDC/SAML対応のラ イブラリーを利用して実現する • ライブラリーがOIDC/SAMLで必要なメッ セージの組み立て、アサーションの検証など を実施 • ライブラリーを組み込み可能なアプリケー

    ションタイプの場合に利用可能なパターン

  20. リバースプロキシーを利用 • リバースプロキシーサーバーにて OIDC/SAMLによるSSOを実装 • 後段のアプリケーションには、連携された 認証結果からユーザー識別子などをHTTP ヘッダーで連携する • アプリケーションはHTTPヘッダーを参照し

    て認証するだけでよい • AWS Application Load Balancerや Identity-Aware Proxy(IAP)のOIDC 機能もこのパターンとなる

  21. まとめ • SSOは認証結果を連携することで実現する • 認証結果を連携するための標準プロトコルとして、SAML/OIDCがある • KeycloakはSAML/OIDCを実装しており、認証サーバー側の機能を主に 提供(アプリケーション向けのライブラリも一部提供) • SSOを行うアプリケーション側もSAML/OIDCに対応する必要があるが、

    様々な方式があり、アプリケーションタイプに応じて考える必要がある