Upgrade to Pro — share decks privately, control downloads, hide ads and more …

KeycloakでSSOに入門する

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Hiroyuki Wada Hiroyuki Wada
February 09, 2022
Technology
0
1.2k

 KeycloakでSSOに入門する

2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。

https://secureoss-sig.connpass.com/event/235671/

Avatar for Hiroyuki Wada

Hiroyuki Wada

February 09, 2022
Tweet

More Decks by Hiroyuki Wada

See All by Hiroyuki Wada
Keycloakで始めるMCPの認可
Avatar for Hiroyuki Wada wadahiro
0
35
Identiverse 2024 Overview
Avatar for Hiroyuki Wada wadahiro
0
110
実践 KeycloakとAdvancedな機能の紹介
Avatar for Hiroyuki Wada wadahiro
2
1.9k

Other Decks in Technology

See All in Technology
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.7k
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
Avatar for daitasu daitasu
5
280
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
990
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
Avatar for s-hata shoki_hata
0
720
組織のSREを推進するためのPlatform EngineeringとEKS / Platform Engineering and EKS to drive SRE in your organization
Avatar for mekka chmikata
0
190
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
1
180
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
Avatar for Markus Harrer feststelltaste
1
200
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
3k
生成AIの利用とセキュリティ /gen-ai-and-security
Avatar for Masayoshi Mizutani mizutani
1
1.4k
管理者向けGitHub Enterpriseの運用Tips紹介: 人にもAIにも優しいプラットフォームづくり
Avatar for yuriemori yuriemori
0
160
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
5
18k
マネージャー版 "提案のレベル" を上げる
Avatar for konifar konifar
21
13k

Featured

See All Featured
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
760
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
470
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
150
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
620
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
310
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
87
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
1
2k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.2k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
770
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
190

Transcript

  1. KeycloakでSSOに入門する OSSセキュリティ技術の会 第10回勉強会 我が…Keycloakの世界に…入門してくるとは!の巻 Hiroyuki Wada / @wadahiro Wataru Okuura

  2. 自己紹介 奥浦担当 和田担当 和田担当

  3. 今日話すこと 入門編のこのあたりを中 心に解説 書籍のサンプルアプリ ケーションを使い実際に SSOの動作デモ

  4. SSOとは 一度のログインで複数のアプリケーションやサービスに対してアクセス可能になる 特性や機能のこと

  5. SSOのメリット • 利用者側 ◦ 1つのユーザIDとパスワードの組を覚えるだけで済む ◦ 一度ログインするだけで複数のアプリケーションを利用可能になり、 アプリケーションごとにログインする手間がなくなる

  6. SSOのメリット • 管理者側 ◦ パスワードの管理箇所、認証箇所を1箇所に集約でき、アタックサー フェス(攻撃対象領域)を少なくできる ◦ 認証強度を上げる場合は、1箇所の認証強度を上げるだけで済む ◦ アプリごとにパスワード忘れ対応といったヘルプデスク運用の負荷軽

  7. SSOは新しいものではない • Active Directoryドメイン内の認証などで使われるKerberosはかなり昔 からある • KeycloakではWebに特化したSSOを実現

  8. (Web) SSOの実現方法 シンプルなCookieベースのやり方/オレオレSSO(2000年代)

  9. 異なるドメイン間でのSSO 認証連携の標準プロトコル(SAML/OIDC)を活用したSSO

  10. SSOの仕組み

  11. 何らかの方法で 認証結果をアプリケー ションに連携することで SSOを実現 安全な方法で認証結果をアプ リケーションに渡す標準的なや り方を定めたもの ⇓ 認証連携プロトコル (SAML/OIDC)

    認証完了 認証結果 を連携 認証結果 を連携

  12. SAMLの代表的なフロー(HTTP POST Binding) • アプリケーション(SP:Service Provider) と認証サーバー(IdP:Idenitity Provider) 間は直接通信しない •

    ブラウザー経由で認証結果を直接連携する • 認証結果として「SAMLアサーション」をIdPから SPに渡す • SPではSAMLアサーションを検証しつつ、含まれて いるユーザ識別子を利用してユーザを特定して SSOを行う

  13. OIDCの代表的なフロー(認可コードフロー) • アプリケーション(RP:Relying Party)と認証サーバー(OP:OpenID Provider)間は直接通信あり • ブラウザーを経由せず、サーバー間通 信で認証結果を受け取る(引き換えの ための認可コードをブラウザー経由で 渡す)

    • 認証結果として「IDトークン」をOPか らRPに渡す • RPではIDトークンを検証しつつ、含ま れているユーザ識別子を利用してユー ザを特定してSSOを行う

  14. SAMLとOIDC • 認証リクエスト:SAMLリクエスト / OIDC認証リクエスト • 認証結果:SAMLアサーション / IDトークン •

    アプリケーション-認証サーバー間の直接通信あり・なしは、実は SAML・OIDCの双方で方式が用意されている • ただし、紹介した代表的なフローがよく使われる (OIDCだと、アクセストークンを使ったAPI認可も同時に行いたいとなる と、認可コードフローがセキュリティ上望ましい)

  15. Keycloak • SAML/OIDCの両方に対応した認証サーバー (代表的ではないフローにも対応) • Keycloak - アプリケーション間のSSOだけでなく、外部の認証サーバー とのSSO※についてもSAML/OIDCの両方に対応 ※Keycloakでは「アイデンティティーブローカリング」という機能

  16. アプリケーションの SSO対応

  17. アプリケーション側はどうする? • 認証サーバー側:Keycloakにおまかせ! • アプリケーション側:???

  18. Keycloak入門本での解説 • 代表的なアプリケーション側のSSOの実現方式につ いて解説 • アプリケーションのタイプ別に、どの方式で実現 することができるか解説

  19. ライブラリーを利用 • アプリケーション内でOIDC/SAML対応のラ イブラリーを利用して実現する • ライブラリーがOIDC/SAMLで必要なメッ セージの組み立て、アサーションの検証など を実施 • ライブラリーを組み込み可能なアプリケー

    ションタイプの場合に利用可能なパターン

  20. リバースプロキシーを利用 • リバースプロキシーサーバーにて OIDC/SAMLによるSSOを実装 • 後段のアプリケーションには、連携された 認証結果からユーザー識別子などをHTTP ヘッダーで連携する • アプリケーションはHTTPヘッダーを参照し

    て認証するだけでよい • AWS Application Load Balancerや Identity-Aware Proxy(IAP)のOIDC 機能もこのパターンとなる

  21. まとめ • SSOは認証結果を連携することで実現する • 認証結果を連携するための標準プロトコルとして、SAML/OIDCがある • KeycloakはSAML/OIDCを実装しており、認証サーバー側の機能を主に 提供(アプリケーション向けのライブラリも一部提供) • SSOを行うアプリケーション側もSAML/OIDCに対応する必要があるが、

    様々な方式があり、アプリケーションタイプに応じて考える必要がある