連載5回目となる今回は、Istioを用いたマイクロサービスのシステムをKeycloakを用いて認証強化する手順を紹介します。 第五回からは、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能をご紹介します。第四回までは、APIセキュリティを考えるうえで最も重要である、外部ネットワークと内部ネットワークの境界部分に着目してハードニング方法を説明してきました(図1)。
![コンテナ上のマイクロサービスの認証強化 ~IstioとKeycloak~](https://cdn-ak-scissors.b.st-hatena.com/image/square/a24d0438ae64159d6b6df47c415130bd7576f607/height=288;version=1;width=512/https%3A%2F%2Fthinkit.co.jp%2Fsites%2Fdefault%2Ffiles%2Fmain_images%2F18023_main.jpg)
日立製作所 サービス&プラットフォームビジネスユニット SoftwareCoE OSSソリューションセンタ 所属 現在,OSSを活用したAPI管理ソリューションの開発やコンサルティング業務に従事 博士(工学) 情報処理学会会員 1. はじめに 旧来の情報システムでは必要となるすべての機能を一つに集約したモノリシックな構成が主流であったが,デジタルトランスフォーメーション(Digital Transformation:DX)が推進されている昨今では,独立した複数のシステムをネットワーク経由で連携させて新たなサービスを提供するSystem of Systemsの構成が注目されている。このようなシステム間連携は一つの企業や組織の中で閉じるのではなく,それらを横断することも一般的になってきている。システム間連携のインタフェースとしては,連携のしやすさからREST API(Representatio
連載の1回目である今回は、Keyclooakの基本および、API保護が必要とされる背景について解説します。 サービスがより活発に利用されることを狙って、企業や公的機関によるサービスのAPI(Application Programming Interface)公開が広がっています。また、自組織内でもモバイルアプリケーション開発やシステム間連携を行いやすくするために、システムがAPIを提供することが多くなってきています。その際、APIは限られた人やシステムにだけがアクセス可能にする必要があるため、認証・認可のようなセキュリティ技術が必須になってきます。 認証・認可は、OAuth 2.0の枠組みに基づくことが一般的ですが、OAuthは自由度が高い仕様であるため、誤って実装・構築してしまうとセキュリティホールが作りこまれてしまいます。本記事では、近年急成長を遂げている認証・認可サーバOSSである「
TL;DR Keycloakはオープンソースの統合ID管理ツールでOpenID ConnectやSAMLに対応している。 Kubernetes DashboardはOpenID ConnectのIDトークンによる認証に対応している。 RBACを設定することで、ユーザやグループによるアクセス制御ができる。 以下の設定が必要になる。 Keycloak(OpenID Connect IdP) kube-apiserver(Kubernetes APIサーバ) keycloak-proxy(OpenID Connectに対応したリバースプロキシ) Kubernetes Dashboard Getting Started Keycloak Keycloakは Helm chart からインストールできます。 OpenID Connectで認証できるようにKeycloakを設定します。ここではKeyc
KeycloakとJIRAやConfluenceでSAML SSOを設定する方法を説明します。KeycloakでID管理を行いながら、JIRAやConfluenceにSSOできるので便利です。 TL;DR Keycloakはオープンソースの統合ID管理ツールです。OpenID ConnectやSAMLによる認証を提供しています。(こちらの記事が参考になります) JIRA Softwareはプロプライエタリなバックログ管理ツールです。アドオンを利用することでSAMLによるSSOに対応します。 ConfluenceはプロプライエタリなWikiツールです。アドオンを利用することでSAMLによるSSOに対応します。 Keycloakとの連携にはSAMLを利用します。 JIRA Software Keycloakで新しいClientを追加します。認証連携したいユーザがいるRealmで作業してください
The Qiita Advent Calendar 2017 is supported by the following companies, organizations, and services.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く