セキュアなWeb APIの作り方 / Secure Web API
2023/09/06 に行われた OCHaCafe Season7 #4 で用いた資料です。 セッションアーカイブ動画:https://youtu.be/p3VmoPKrBNs
2023/09/06 に行われた OCHaCafe Season7 #4 で用いた資料です。 セッションアーカイブ動画:https://youtu.be/p3VmoPKrBNs
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - Keycloak - OpenID Connect / OAuth 2.0 - Java / Spring Boot
Next.js App Router で Keycloak と @auth0/nextjs-auth0 を利用してマルチテナント認証機能を実装する - Uzabase for Engineers
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
KeycloakによるAPIセキュリティの基本
連載の1回目である今回は、Keyclooakの基本および、API保護が必要とされる背景について解説します。 サービスがより活発に利用されることを狙って、企業や公的機関によるサービスのAPI(Application Programming Interface)公開が広がっています。また、自組織内でもモバイルアプリケーション開発やシステム間連携を行いやすくするために、システムがAPIを提供することが多くなってきています。その際、APIは限られた人やシステムにだけがアクセス可能にする必要があるため、認証・認可のようなセキュリティ技術が必須になってきます。 認証・認可は、OAuth 2.0の枠組みに基づくことが一般的ですが、OAuthは自由度が高い仕様であるため、誤って実装・構築してしまうとセキュリティホールが作りこまれてしまいます。本記事では、近年急成長を遂げている認証・認可サーバOSSである「
FAPIとKeycloakの概要
連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で
KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 Keycloakとは KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 Keycloak より詳細に知りたい方は、@ITの記事がわかりやすいので、こちらを御覧ください。 マイクロサービス時代のSSOを実現する「Keycloak」とは:Keycloak超入門(1) - @IT 構成図 こんな感じの構成をCloudFormationで作ります。Keycloakは、EC2上のDockerで動かします。 HTTPS接続できるようにするため、ALBをSSL終端にし
APIセキュリティのハードニング
連載3回目となる今回は、前回紹介したシステムに対する攻撃のタイプを紹介し、APIセキュリティのハードニングに則った対応策による堅牢化の手法を紹介します。
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました 生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!! https://tech-lab.connpass.com/event/315703/ きっかけよくAzure Active DirectoryをOpenID ConnectのProviderとして使います。今回、とある用途で、ローカルにOpenID ConnectのProviderを立てなければいけな
CognitoにOpenID Connectを使ってKeycloakを連携させてみる | DevelopersIO
Cognitoユーザープールは、OpenID Connectプロバイダーを追加可能で、OIDCに準拠したアカウントをCognitoユーザープールに紐付けることができます。 本ブログでは、KeycloakとCognitoユーザープールを連携する例を紹介します。 Cognitoユーザープールは、OpenID Connect(以降、OIDC)プロバイダーを追加可能で、OIDCに準拠したアカウントをCognitoユーザープールに紐付けることができます。 弊社ブログでもLINEアカウントと連携した例を紹介しています。 【サーバーレスなユーザ管理基盤】Amazon Cognito ユーザープールにOpenID Connectを使ってLINEアカウントを連携させてみる | DevelopersIO 本ブログでは、KeycloakとCognitoユーザープールを連携する例を紹介します。 ゴール Cogni
連載5回目となる今回は、Istioを用いたマイクロサービスのシステムをKeycloakを用いて認証強化する手順を紹介します。 第五回からは、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能をご紹介します。第四回までは、APIセキュリティを考えるうえで最も重要である、外部ネットワークと内部ネットワークの境界部分に着目してハードニング方法を説明してきました(図1)。
2019年6月7日、サイボウズ東京オフィスにて「OSSセキュリティ技術の会」による第5回勉強会「KeycloakとWebAuthnのツインシュートの巻」が開催された。1年前の第3回勉強会に続きKeycloakを主なテーマとして取り上げつつも、最新の認証規格である「WebAuthn」も取り混ぜて開催。80名ほどが参加し関心の高さをうかがわせた。 この分野は日本のコミュニティで活発に開発が行われており、3つのセッションにて、まさに最前線の報告が行われた。 ※OSSセキュリティ技術の会の詳細についてはコチラを参照。 WebAuthnの国産OSSライブラリ 「WebAuthn4J」 1つ目のセッションでは、「WebAuthn4J」の主要開発者の能島良和氏が登壇し、WebAuthn4Jを紹介した。 能島氏は、Twitterで@shiroicaのアカウント名で活動している。WebAuthn4JとはWe
OpenID Connectを使ったアプリケーションのテストのためにKeycloakを使ってみる - Qiita
ユーザーの認証と認可を行う方法としてはOpenID Connectがメジャーですよね。ローカルで簡単にテストするために、ローカルでKeycloakをDockerで起動してテストしてみます。外部システムはモックを使う、というのがセオリーですが、気軽に使える本物のサービスを使った方が楽ですよね、ということで。 なお、認証周りのGoのアプリケーションコードは超簡易実装なので、本番実装に入れちゃダメですよ。 2020/11/10: コンテナの置き場が変わっていたので更新 2020/11/11: Realmについて補足 Keycloakとは KeycloakはIBM傘下のRedHat傘下のJBossが作成している認証のすごいソフトウェアです。 自分自身でユーザーIDとパスワードを管理するID Provider機能を持つ OpenID Connect、OAuth2、SAML経由でユーザー認証ができる(
はじめに 前回の第8回では、「Keycloak」の認可サービスのうち、「集中管理方式」について解説しました。集中管理方式では、アクセス制御の管理をシステム管理者が行う「システム管理者中心のアクセス管理」を実現しました。 今回解説する「UMA方式」では、「UMA(User Managed Access)」というプロトコルを使用してアクセス制御の管理をエンドユーザー自身が行う「エンドユーザー(リソースオーナー)中心のアクセス管理」を実現します。この方式を適用することにより、エンドユーザー自身で、リソースを他者と共有設定することや、パーミッションの認可ワークフロー(パーミッションの申請/承認/拒否)を利用することができるようになります。 ただし、UMA方式では、Keycloakやクライアントアダプターの設定以外にも、アプリケーション側へ追加の実装が必要になってくるため、集中管理方式に比べると難易
![Keycloakで認可サービスを試してみよう[後編]](https://cdn-ak-scissors.b.st-hatena.com/image/square/3ab21baaeb827e5554620dfd6a7ac4488e972df6/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F1912%2F06%2Fl_key009_zu01.png)
Keycloakのインストールと構築例
認可サーバ(Keycloak)の構築 まずは認可サーバを構築します。本連載では、Keycloak 9.0.3を使用します。インストール先ホストのOSはCentOS 7.8とします。 Keycloakをインストールします。Keycloakのインストールは、zipファイルをダウンロードして解凍するのみと、非常に簡単です。 まずは事前準備として、Java Development Kitをインストールします。本連載では、OpenJDK 8を使用します。
本記事は以下のような読者を想定しています 認証認可の初学者 Keycloak と Azure AD をID連携させたい方 はじめに 本記事では Keycloak を用いて外部ID連携を実装 します。 ID連携というのは自サービスのユーザー認証を外部へ任せることです。例えば本記事内でも使用する Keycloak というソフトウェアを用いると自社サービスへアクセスするためのユーザー認証を Google や Facebook などのアカウント提供者に任せることができます。 ID連携をすることで例えば以下のようなメリットが得られます。 ユーザー自身が管理するID/PWが少なくなる。 アカウント管理の負担が減る。 ここでは Keycloak と Azure AD を用いてID連携をしてみたいと思います。TwitterやGoogleなどのアカウントを用いたソーシャルログインやLDAPサーバーを用いたI
社内向け Web アプリを作りたい。さらに言えば会社で G Suite (Google Workspace) を契約しているので G Suite アカウントによる SSO でログインできるようにしたい。しかし OAuth2 の認証機能を実装するのは面倒くさい。 そんなとき、OAuth2 Proxy というリバースプロキシを Web アプリの前段に置くという選択肢がある。 これを試してみたく、Docker を使って動作させるところまでやってみたのでその方法をメモしておく。 ※ 今回は G Suite による SSO の実装例を書いているが、OAuth2 に対応した IdP ならだいたい同じ方法でできるはず。 コード コンテナを3つ起動する。 proxy: OAuth Proxy を動かすコンテナ。今回はポート 8000 で外部からアクセスできるようにする。 web: Web アプリ。HTTP
keycloakを使ってOIDC認証を導入することになり、設定画面で何を設定すべきかなどに困ったのでまとめておく。 前提 OAuth2の基本的な理解 OIDCの基本的な理解() OIDC自体を知りたい場合はこの説明とかがわかりやすいと思う keycloakのOIDCクライアントは作成済み(手順) 極めて単純なkeycloakの要素 keycloakの設定方法が分かりづらいのは管理画面に設定する項目が大量にあるからだが、極めて単純化すると最初に知るべきなのはrealm, client, userくらいである。 realm 用語集の記述を抜粋すると レルムは、ユーザー、クレデンシャル、ロール、および、グループのセットを管理します。ユーザーは属しているレルムにログインします。レルムは互いに分離されており、制御するユーザーのみを管理して、認証することができます。 となっている。言ってみればname
a Kubernetes-Native Java Stack based Identity and Access Manager 認証基盤OSS「Keycloak」がQuarkusというKuberntes Native向けJavaフレームワークに対応し始めました。本セッションではQuarkus版Keycloakをコンテナ化し、簡単な動作確認および性能検証を行った結果を紹介します。 OpenShift.Run Winter 2020
Quarkusとは、KubernetesネイティブのJavaフレームワークです。Quarkusを使用することで、コンテナに最適化されたJavaアプリケーションを開発できます。ここではQuarkusとKeycloakを組み合わせた堅牢化方法をご紹介します(図2)。 前回は各サービスにそれぞれIstioのAuthorizationPolicyを作成し導入することで、各サービスにJWTによるアクセス制御を追加しました。Quarkusのkeycloak-authorizationエクステンションを使うと、各サービスのアクセス制御ロジックをKeycloakの認可サービスに集約することができます。 各サービスのアクセス制御ロジックを、各サービスで個別に持つべきか、認可サーバ側で集約して持つべきかについては一長一短があり、またシステムの要件に大きく依存する部分があるため、一概にどちらが良いとは言えません
Keycloakで実現するAPIセキュリティ
システム間連携に必要なAPIには、認可・認証のセキュリティ技術が必須となります。この連載では、OAuth 2.0を用いたOSSの認証・認可サーバ「Keycloak」を用いたAPI保護の仕組みについて紹介します。
はじめまして、2019年10月に入社しました開発・インフラ本部の丸山と申します。 弊社テックリード(@yukung)がついに短パン*1で出社したという観測情報に触れ、いよいよ日本にも夏が到来したことを実感しているところであります。 さて、私が担当させていただいているInnovation Captital Pathfinder(以下、ICP)におきまして、このほど認証機能をKeycloakに移行したので、機能移行までに検討したことを振り返ってみたいと思います。 前置き 私たち開発しているICPは、弊社が抱える膨大な数の特許情報や科研費情報などをもとに、お客様の新規事業の創出を支援するサービスです。公式には2020年1月にリリースしていますが、実はPoCも含めると2018年から開発が続いている弊社では比較的息の長いサービスです。 弊社が抱える膨大な量のデータを、いかにユーザーが利用しやすい形で
Keycloak - Wikipedia
Keycloak(キークローク)は、モダンなアプリケーションやサービスで使用することを目的に開発された、シングルサインオン、アイデンティティ管理、アクセス管理(英語版)の機能を提供するオープンソースソフトウェア製品である。2018年3月年現在、このJBossコミュニティのプロジェクトは、KeycloakをRH-SSO製品のupstream(英語版)プロジェクトとして使用しているRed Hatの支援を受けている[1]。コンセプトの観点から見ると、このツールはアプリケーションやサービスをわずかなコーディングかコーディングなしで簡単にセキュアにすることを目的としている。 歴史[編集] Keycloakの最初の製品リリースは、開発を開始して約1年後の2014年9月だった。2016年、Red HatはRH SSO製品を、PicketLinkフレームワークからKeycloak upstreamプロジェ
OSSセキュリティ技術の会 第11回勉強会での発表資料です。
関連記事 【Keycloak】Apache の VirtualHost で分けられた複数のサイトをまとめてシングルサインオンしよう https://qiita.com/thirdpenguin/items/1136c755560eea51b5b1 公式にリリースされているコンテナイメージによる Keycloak 導入があまりにも簡単すぎて感動したので、ついでに Keycloak コンテナの https 化もやってみました。 github リポジトリにやり方がありました。 https://github.com/keycloak/keycloak-containers/tree/master/server#setting-up-tlsssl 上記を要約すると、「/etc/x509/https に 秘密鍵 tls.key と 証明書 tls.crt をくれると後はよろしくやるよ!でもボリュームマ
今日やること 以前に私が投稿したKeycloakの記事では、Keycloakアダプターやmod_auth_openidcを利用したアプリケーション保護の仕方について書きました。しかし、アプリケーション利用後のログアウトの仕組みについてはほとんど言及していなかったので、今回の投稿ではKeycloakのシングル・ログアウト(以降SLOと省略)の仕組みをまとめることにしました。 ここでいうSLOとは、OIDCで複数のRPにログインした状態で、Keycloakもしくは特定のRP起点のログアウト処理を行った際に、Keycloakを含め、ユーザーが利用していたすべてのRPからログアウトされる動作を指しています。 KeycloakのSLOの仕組みについて KeycloakのSLO処理は、大まかに以下のどちらかのパターンで処理されます。 主な違いはKeycloakのログアウト・エンドポイントにフロントチャ
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
With Identity Brokering Sync Mode it is now possible to control if user profiles are updated on first login, or every login from an external Identity Provider. It is also possible to override this behaviour on individual mappers.
Azure上のCentOSに、Keycloakとサンプルアプリを入れて、SAMLを使ったログインの動作検証を行ったメモです。 Keycloakを使ってSAMLを理解する#1 ContOSのセットアップ Keycloakのインストール サンプルアプリのインストール Keycloakを使ってSAMLを理解する#2 環境 Azure CentOS Linux release 7.7.1908 (Core) OpenJDK 1.8.0 Apache Maven 3.6.3 Keycloak 8.0.1 システム構成 1.CentOS CentOSのセットアップ Azureに仮想マシンをデプロイします。 項目 設定
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証・認可基盤に Keycloak を使って開発生産性を上げた話
KeycloakをALB+EC2構成で構築してみた | DevelopersIO
DockerとKeycloakで世界最速OpenID Connect!! | SIOS Tech. Lab
コンテナ上のマイクロサービスの認証強化 ~IstioとKeycloak~
注目のWebAuthnと公式より早いKeycloak最新動向を紹介!OSSセキュリティ技術の会 第5回勉強会
Keycloakで認可サービスを試してみよう[後編]
Keycloakを用いて外部ID連携を試してみる - Qiita
Docker で OAuth2 Proxy を動かすサンプル - Qiita
keycloakでOIDC認証するときに知っておくと良いこと | k-ota's weblog
Keycloak on Quarkus
コンテナ上のマイクロサービスの認証強化 ~QuarkusとKeycloak~
ICPのKeycloak導入記 - astamuse Lab
実践 KeycloakとAdvancedな機能の紹介
Keycloak コンテナがめっちゃ便利だったのでついでに https 化もした - Qiita
Keycloakのシングル・ログアウト(SLO)についてのまとめ - Qiita
パスキーの概要とKeycloakでの動作確認 - Qiita
Keycloak - Blog - Keycloak 10.0.0 released
Keycloakを使ってSAMLを理解する#1 - Qiita