![モダンなスクロール関連機能を使いこなそう [CSS Modern Features no.7] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/2a4dedaa1065ad7c1bfa4eae670149b3f506ec59/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2025%2F2596_ride-modern-frontend-10.jpg)
認証・認可基盤に Keycloak を使って開発生産性を上げた話
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - …
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - …
Next.js App Router で Keycloak と @auth0/nextjs-auth0 を利用してマルチテナント認証機能を実装する - Uzabase for Engineers
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
FAPIとKeycloakの概要
連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で
実践 Keycloak
Keycloakは、シングルページアプリケーション(SPA)、モバイルアプリケーション、REST APIなどのモダンなアプリケーションに焦点を当てた、オープンソースのIdentity and Access Management(IAM)ツールです。 小規模なウェブサイトから、数百万人のユーザーを抱える大企業まで、さまざまなシナリオの本番環境で使用されています。 本書は、開発コミュニティーのプロジェクトリーダーとコアディベロッパーが著した、Keycloakの包括的な解説書です。インストール方法から、管理コンソールやアカウントコンソールの使い方、本番環境での使用に備えた設定方法、ユーザーの管理、トークンとセッションの管理、SPIによるカスタマイズまでを詳しく解説しています。さらに、アプリケーションのセキュリティーを保護する方法や、OAuth 2.0とOpenID Connect(OIDC)を理
連載5回目となる今回は、Istioを用いたマイクロサービスのシステムをKeycloakを用いて認証強化する手順を紹介します。 第五回からは、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能をご紹介します。第四回までは、APIセキュリティを考えるうえで最も重要である、外部ネットワークと内部ネットワークの境界部分に着目してハードニング方法を説明してきました(図1)。
第七回は、前回に引き続き、内部向けのAPIであるマイクロサービスの認証を強化する最先端の機能を紹介します。 前回と同様、すべてのサービスをKubernetes(Minikube)上にデプロイする構成とし、堅牢化の対象としてIstioが提供しているBookinfoアプリケーションを取り上げます(図1)。
a Kubernetes-Native Java Stack based Identity and Access Manager 認証基盤OSS「Keycloak」がQuarkusというKuberntes Native向けJavaフレームワークに対応し始めました。本セッションではQuarkus版…
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本記事は以下のような読者を想定しています 認証認可の初学者 Keycloak と Azure AD をID連携させたい方 はじめに 本記事では Keycloak を用いて外部ID連携を実装 します。 ID連携というのは自サービスのユーザー認証を外部へ任せることです。例えば本記事内でも使用する Keycloak というソフトウェアを用いると自社サービスへアクセスするためのユーザー認証を Google や Facebook などのアカウント提供者に任せることができます。 ID連携をすることで例えば以下のようなメリットが得られます。 ユーザー
keycloakを使ってOIDC認証を導入することになり、設定画面で何を設定すべきかなどに困ったのでまとめておく。 前提 OAuth2の基本的な理解 OIDCの基本的な理解() OIDC自体を知りたい場合はこの説明とかがわかりやすいと思う keycloakのOIDCクライアントは作成済み(手順) 極めて単純なkeycloakの要素 keycloakの設定方法が分かりづらいのは管理画面に設定する項目が大量にあるからだが、極めて単純化すると最初に知るべきなのはrealm, client, userくらいである。 realm 用語集の記述を抜粋すると レルムは、ユーザー、クレデンシャル、ロール、および、グループのセットを管理します。ユーザーは属しているレルムにログインします。レルムは互いに分離されており、制御するユーザーのみを管理して、認証することができます。 となっている。言ってみればname
Keycloakを用いたハードニングの実装方法
実際に設定していきます。通信をTLSで暗号化するために、ここではプライベート認証局を設けてサーバ証明書に署名を入れます。本番環境では信頼のおけるパブリック認証局に署名をもらってください。まずは、任意のホストをプライベート認証局として準備します。keytoolコマンドを用いて作成した証明書発行要求に署名できるように、opensslの設定ファイル(/etc/pki/tls/openssl.cnf)を変更します。
週刊Railsウォッチ(20201028後編)RuboCop 1.0.0 stable版がリリース、Ruby DSLのGUIフレームワークGlimmer、Keycloakほか|TechRacho by BPS株式会社
2020.10.28 週刊Railsウォッチ(20201028後編)RuboCop 1.0.0 stable版がリリース、Ruby DSLのGUIフレームワークGlimmer、Keycloakほか こんにちは、hachi8833です。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙇 追記(2020/10/29): 来週の週刊Railsウォッチはお休みをいただき通常記事といたします🙇。 ⚓Ruby ⚓ RuboCop 1.0.0がリリース Changelog: rubocop/CHANGELOG.md at master · rubo
Quarkusとは、KubernetesネイティブのJavaフレームワークです。Quarkusを使用することで、コンテナに最適化されたJavaアプリケーションを開発できます。ここではQuarkusとKeycloakを組み合わせた堅牢化方法をご紹介します(図2)。 前回は各サービスにそれぞれIstioのAuthorizationPolicyを作成し導入することで、各サービスにJWTによるアクセス制御を追加しました。Quarkusのkeycloak-authorizationエクステンションを使うと、各サービスのアクセス制御ロジックをKeycloakの認可サービスに集約することができます。 各サービスのアクセス制御ロジックを、各サービスで個別に持つべきか、認可サーバ側で集約して持つべきかについては一長一短があり、またシステムの要件に大きく依存する部分があるため、一概にどちらが良いとは言えません
Keycloakとは Keycloakはオープンソースのアイデンティティ・アクセス管理(IAM)ソフトウェアです。シングルサインオンやAPIアクセスの認証・認可制御を実現するソフトウェアです。ちょうど6年前である2017年のAdvent Calendarで初めてKeycloakを紹介したときは、この分野のOSSとしてはOpenAMが第一人者的な存在でした。その後、Keycloakは着実に進化し、2023年4月にCNCF(Cloud Native Computing Foundation)のIncubatingプロジェクトとして承認され、ますます注目度が上がっています。今やKeycloakがこの分野の代表的なOSSになったと言えるでしょう。近年ではKeycloak Alternativeを狙う他のOSS1が登場したりと、逆に追いかけられる存在にまでなりました。 Keycloakの提供機能 こ
はじめに #1 からのつづきです。前回はこのフローを作りました。 今回はこの内容を詳しく見ていきます。 フロー図 Flow_OIDC 参考文献 調べていくにあたり以下の資料を見ながら進めて行きます。 OpenID Connect Core 1.0 日本語訳 OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 OpenID Connect Discovery 1.0 OpenID Connect フローには種類があるということを知る OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 - 2. Protocol Elementsに書いてあるように OpenID Connect には以下の種類があります。 Authorization Code Flow Implicit
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
OSSセキュリティ技術の会 第11回勉強会での発表資料です。
様々なシステムを利用する中で、現在ではID/パスワードを使ってユーザ認証をするシステムが大半を占めています。自身で管理するIDやパスワードが増えることで、ユーザは、管理をしやすくするためにパスワードを簡単な文字列にしたり、パスワードの使いまわしをしてしまう可能性があります。その結果、パスワードが漏えいしてしまう危険性が高くなり、不正アクセス被害の原因となります。今回は、不正アクセスの対策にもなる、Keycloakでパスワードを使わずに認証を可能にするパスワードレス認証を紹介します。 パスワードレスの認証方式とは パスワードレス認証とは、パスワード以外の、生体認証や所持認証等の情報を利用してシステムにログインを行う認証方式で、多要素認証(MFA)の一種です。パスワードを使う認証では、ユーザは複数のパスワードを管理する必要がありましたが、生体認証と言われている身体的または行動的特徴を組み合わせ
Keycloakを使ってパスワードログインを導入したので、開発環境について解説してみる - Uzabase for Engineers
この記事は、NewsPicks Advent Calendar 2022 の 17 日目の記事になります。 qiita.com こんにちは。AlphaDrive で Web アプリケーションエンジニアをしている fmatzy です。普段は主に Go でバックエンドの開発を行なっています。 現在新規開発中のプロダクトにて、パスワードログインの導入に Keycloak を利用しました。社内ではすでに Keycloak の導入事例があり、かなり参考にできる環境が整っていました。一方で Keycloak 自体は近年 WildFly から Quarkus に移行し、公式含め技術情報が outdated なものが多く見受けられました (例えば、公式の docker-compose の example は WildFly 版がアーカイブされた後 Quarkus 版が追加されていない…)。 本記事では、今
IDaaS(Auth0) vs OSS(Keycloak)vs Managed(Amazon Cognito)
Future Tech Night # 19
NRI OpenStandia Advent Calendar 2020の3日目は、2日目の続きとしてKeycloakのToken Exchangeを活用した話を紹介します。具体的には、AWSのCLIツールなどの利用で必要なAWSアクセスキーの発行をToken Exchange経由で行うというものです。 やりたいこと 皆さんAWSアクセスキーの管理はどのようにされているでしょうか?誤ってGitリポジトリにコミットしちゃって漏洩し、たくさんEC2インスタンスを起動されて高額請求されちゃう、なんていう事故をたまに聞きますよね。ベストプラクティスとしてそもそも発行しない (EC2インスタンスロールなど、IAMロールで制御する)という考え方がありますが、ローカルPCなどから作業したい場合はどうしても発行が必要になります。そのような場合は、有効期限付きの一時的なAWSアクセスキーを使うと漏洩したとき
KeycloakでSSOに入門する
2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。 https://secureoss-sig.connpass.com/event/235671/
はじめに AWSコンソールに,KeycloakからSAMLでサインインできるようにする設定手順です(2023/11現在)。KeycloakをIdP,AWSコンソールをSPとしたSAML認証の設定を行います。 関連して,記事中で扱うXMLやMapperについて,別記事にまとめました。 設定方法 keycloakの立ち上げ KeycloakはDockerhubの公式イメージで立ち上げます。バージョンは16.1.1でした。 参考 今回はDockerホストの18080番ポートで,TLSなしで起動します。DockerホストのIPアドレスは10.0.99.9です。 AWSのSAML用メタデータを取得 https://signin.aws.amazon.com/static/saml-metadata.xml を取得してローカルに保存しておきます。 keycloak設定その1 http://Docker
連載3回目となる今回は、認可を実現できるプロダクトを用いたマイクロサービスにおける認証認可のアーキテクチャを紹介します。 第2回ではコンテナ環境にKeycloakをデプロイし、シングルサインオンを実現する方法を紹介しました。第3回ではKeycloakに加えて、認可を実現できるプロダクトを用いたマイクロサービスにおける認証認可のアーキテクチャについて紹介します。認可を実現できるプロダクトとして、CNCFのGraduatedプロジェクトであるOPA(Open Policy Agent)と、CNCFプロジェクトではありませんが認可フレームワークであるCasbinを利用します。 1. マイクロサービスにおける認証認可の課題 システムのアーキテクチャはモノリシックなシステムからサービス指向アーキテクチャ、そしてクラウドが普及するとともにマイクロサービスアーキテクチャへと変化してきました。クラウド上の
今日やること 以前に私が投稿したKeycloakの記事では、Keycloakアダプターやmod_auth_openidcを利用したアプリケーション保護の仕方について書きました。しかし、アプリケーション利用後のログアウトの仕組みについてはほとんど言及していなかったので、今回の投稿ではKeycloakのシングル・ログアウト(以降SLOと省略)の仕組みをまとめることにしました。 ここでいうSLOとは、OIDCで複数のRPにログインした状態で、Keycloakもしくは特定のRP起点のログアウト処理を行った際に、Keycloakを含め、ユーザーが利用していたすべてのRPからログアウトされる動作を指しています。 KeycloakのSLOの仕組みについて KeycloakのSLO処理は、大まかに以下のどちらかのパターンで処理されます。 主な違いはKeycloakのログアウト・エンドポイントにフロントチャ
閉域に Keycloak を構築して SAML 2.0 で AWS マネージメントコンソールに SSO を試す - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 標準化でシステム間のファイル連携を考える時、標準準拠システムが AWS 同士ならば AWS の認証認可の仕組みを使ってオブジェクトストレージ S3 で比較的簡単にファイルを連携できます。しかし、標準準拠システムが AWS とその他の CSP で構成されていたり、オンプレミスと AWS との間でファイル連携が必要だったりする場合、地方公共団体情報システム認証機能・ファイル連携機能に関するリファレンス(推奨指針)ガイド によると認証認可サーバを自前で構築する必要があるとされています。 標準準拠システムのファイル連携における認証認可サーバのた
こんにちは、エンジニアの chota60 です。いま私は、組織を横断した課題と向き合う Platform Unit という部署で、ギフティの様々なプロダクトで使える汎用認証基盤「WAYPoint1」の導入・運用保守・トラブルシューティングまで全てを担当しています。 WAYPoint は Keycloak を中心に据えて実装されていますが、Keycloak の運用をうまく回すのはなかなか簡単ではありません。この記事は、「いい感じに運用できていると思うからドヤりたい・・・!」という純粋な私欲でできています。Keycloak と向き合う誰かの支えになれれば、大変ありがたいです。 概要 この記事では、以下のトピックを取り扱います。 Keycloak とは何か?みたいな基本的な内容は取り扱いません。 Keycloak の権限管理はどうして大変になっていくのか ラクに運用するにはどうしたら良いのか 成
Docker + Keycloak + FastAPIを用いたローカル OAuth2.0 Authorization Code Grant 検証環境構築 メモ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
オープンソースソフトウエア(OSS)はもはやシステム開発には不可欠なほどに存在感を強めた。ベンダーにとって開発・運営への参加は直接的に売り上げや利益をもたらさなくとも、OSSへの顧客ニーズの反映や受注で大きなアドバンテージを得ることにつながる。 ただ、多くのOSSの運営はボランティアや善意に頼るところが大きい。営利を目的とする企業が足を踏み入れるのはメリットが少ないようにも思えるが、日立製作所はアイデンティティー・アクセス管理のOSSソフトウエア「Keycloak」の開発プロジェクトなどをとりまとめる「メンテナー」に人材を輩出した。無報酬となるこのポジションはどういうもので、日立がメンテナーに人材を輩出した意味合いとは何か。 OSSは公開されたソースコードを自由に改変したり再配布したりできるソフトウエアを指す。利用できる分野もLinuxをはじめとしたOSやJavaScriptやPython
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
コンテナ上のマイクロサービスの認証強化 ~IstioとKeycloak~
コンテナ上のマイクロサービスの認証強化 ~StrimziとKeycloak~
Keycloak on Quarkus
Keycloakを用いて外部ID連携を試してみる - Qiita
keycloakでOIDC認証するときに知っておくと良いこと | k-ota's weblog
コンテナ上のマイクロサービスの認証強化 ~QuarkusとKeycloak~
Keycloakとは(2023年12月版) - Qiita
KeycloakでのOpenID Connectお勉強メモ #2
パスキーの概要とKeycloakでの動作確認 - Qiita
実践 KeycloakとAdvancedな機能の紹介
FIDOパスワードレス認証をKeycloakで実現する方法 | OSSのデージーネット
KeycloakのToken Exchangeを活用した一時的なAWSアクセスキーの発行 - Qiita
KeycloakからAWSコンソールにSAML認証でサインイン - Qiita
Keycloakと認可プロダクトを利用したマイクロサービスにおける認証認可の実現
Keycloakのシングル・ログアウト(SLO)についてのまとめ - Qiita
Keycloak はもっとラクできる。無理をしない権限管理のススメ - giftee Tech Blog
システム開発で存在感強めるOSS、日立にKeycloakの「メンテナー」がいる理由
Keycloakを使ってSAMLを理解する#1 - Qiita
detail.chiebukuro.yahoo.co.jp
www.tokyo-np.co.jp
katandeyasasiokodukaikasegi.blog.jp
ksj3691.seesaa.net
ascii.jp
posfie.com