Hitachi, Ltd. OSS Solution Center., profile picture
Uploaded byHitachi, Ltd. OSS Solution Center.
158 views

API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~

スクエアfreeセミナー 第167回セミナー: いま求められている “スマートな認証システム”

Embed presentation

Download to read offline
©Hitachi, Ltd. 2025. All rights reserved スクエアfreeセミナー第167回 API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ Prepared by 田畑 義之 Hitachi OSPO Date June 26, 2025
©Hitachi, Ltd. 2025. All rights reserved 2 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
©Hitachi, Ltd. 2025. All rights reserved Welcome – about speaker API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ 3 田畑 義之 シニアOSSコンサルタント Hitachi OSPO ➢ CNCF TAG Security and ComplianceのTech Lead ➢ CNCF Ambassador / Cloud Native Community Japan organizer / Cloud Native Security Japan founder ➢ LinkedIn: @ytabata, X: @yo_tabata, GitHub: @y-tabata • IDアクセス管理(IAM)とAPI分野のコンサルタント ➢APIおよび認証・認可プラットフォーム構築の上流工程等。 • コミュニティ貢献 ➢CNCF TAG Security への貢献(ホワイトペーパー執筆など)。 ➢Keycloak(IAMのOSS)などのOSSの開発。 • その他の活動 ➢KubeCon、Apidays、Open Source Summit などのイベントでの講演。 ➢KeycloakやIAMに関する書籍や記事の執筆。 ➢日本でCNCF関連ミートアップの主催。
©Hitachi, Ltd. 2025. All rights reserved 4 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
©Hitachi, Ltd. 2025. All rights reserved 5 認証と認可とは 認証と認可およびKeycloakの概要 システムがユーザーに応じた適切な処理を行うためには、認証(Authentication)と認可(Authorization)が必 須です。
©Hitachi, Ltd. 2025. All rights reserved 6 Keycloakとは 認証と認可およびKeycloakの概要 主な機能 ⚫ 標準仕様のサポート。 ex. OAuth 2.0, OpenID Connect 1.0, SAML v2, … ⚫ SNSアカウントを使ったログイン。 ex. GitHub, X, Facebook, … ⚫ 既存ユーザストアとの連携。 ex. LDAP, Active Directory, … • IAM (IDアクセス管理) のOSS。 • OAuth2認可サーバの機能とシングルサインオン (SSO) の機能を有する。 • CNCF Incubatingプロジェクト。 標準仕様のサポート Keycloak LDAP Active Directory RDB OpenID Connect 1.0 SAML v2 GitHub X Facebook ID管理 ソーシャルログイン OAuth 2.0
©Hitachi, Ltd. 2025. All rights reserved 7 Keycloakの主要なユースケース 認証と認可およびKeycloakの概要 Keycloakには主に、①API認可、②SSO(シングルサインオン)、③さまざまな認証、の3つのユースケースがあります。 前半の本セッションでは①のAPI認可のユースケースを詳しく取り上げます。
©Hitachi, Ltd. 2025. All rights reserved 8 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
©Hitachi, Ltd. 2025. All rights reserved 9 OAuthとは OAuthとOIDCの基礎知識 OAuth (OAuth 2.0)は、ユーザーのリソースへのアクセスを外部アプリケーションに認可するためのプロトコルであり、API 認可で広く用いられています。 API認可とは、「API呼び出しを行う際の認可」のことです。 OAuthには、リソースオーナー、リソースサーバー、クライアント、認可サーバー、といった4つの登場人物が存在します。
©Hitachi, Ltd. 2025. All rights reserved 10 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
©Hitachi, Ltd. 2025. All rights reserved 11 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
©Hitachi, Ltd. 2025. All rights reserved 12 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 302 Found Location: https://keycloak.example.com/realms/example/protocol/op enid-connect/auth ?response_type=code&client_id=kakeiboapp&redirect_uri =https%3A%2F%2Fkakeibo.example.com%2Fgettoken&sc ope=read_balance
©Hitachi, Ltd. 2025. All rights reserved 13 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
©Hitachi, Ltd. 2025. All rights reserved 14 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
©Hitachi, Ltd. 2025. All rights reserved 15 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 302 Found Location: https://kakeibo.example.com/gettoken ?session_state=0c1ab474-d596-4abe-aeea- 2b57af3304a5&iss=https%3A%2F%2Fkeycloak.example.co m%2Frealms%2Fapi&code=54af2eef-8b71-4c4e-b5f4- 381165cda2a5.0c1ab474-d596-4abe-aeea- 2b57af3304a5.e24e64db-66d5-479b-8cfc-e921e1b429d3
©Hitachi, Ltd. 2025. All rights reserved 16 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン POST /realms/example/protocol/openid-connect/token HTTP/1.1 Authorization: Basic a2FrZWlibzo5M2U1ODEzYy1kYTJhLTRmMzQtOWZjNi01Zm JmM2FmNmZkNjE= Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=54af2eef-8b71- 4c4e-b5f4-381165cda2a5.0c1ab474-d596-4abe-aeea- 2b57af3304a5.e24e64db-66d5-479b-8cfc- e921e1b429d3&redirect_uri=https%3A%2F%2Fkakeibo.exa mple.com%2Fgettoken
©Hitachi, Ltd. 2025. All rights reserved 17 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token":"eyJhbGciOiJS<略>", "expires_in":300, "refresh_expires_in":1800, "refresh_token":"eyJhbGciOiJI<略>", "token_type":"Bearer", "not-before-policy":0, "session_state":"98793696-3f01-4a35-801a-4d30dcf75628", "scope":"read_balance" }
©Hitachi, Ltd. 2025. All rights reserved 18 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン GET /sampleapi HTTP/1.1 Authorization: Bearer eyJhbGciOiJS<略>
©Hitachi, Ltd. 2025. All rights reserved 19 アクセストークン OAuthとOIDCの基礎知識 Keycloakのアクセストークンは、JWS(JSON Web Signature)に従ったフォーマットで表現され、Base64URLエン コードされた3つの文字列が「.」で連結されています。 中央のペイロード部分にトークンとして扱うために必要な情報が、JWT(JSON Web Token)と呼ばれるJSON形式 で格納されています。
©Hitachi, Ltd. 2025. All rights reserved 20 リフレッシュトークン OAuthとOIDCの基礎知識 リフレッシュトークンは、アクセストークンと一緒に発行され、アクセストークンを再発行するために使います。 クライアント 認可サーバー リフレッシュリクエスト w/ リフレッシュトークン リフレッシュレスポンス POST /realms/example/protocol/openid-connect/token HTTP/1.1 Authorization: Basic YXBwbGljYXRpb246OTNlNTgxM2MtZGEyYS00ZjM0LTlmYzYt NWZiZjNhZjZmZDYx Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=eyJhbGciOiJI<略> HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token":"eyJhbGciOiJS<略>", "expires_in":300, "refresh_expires_in":1800, "refresh_token":"eyJhbGciOiJI<略>", "token_type":"Bearer", "not-before-policy":0, "session_state":"98793696-3f01-4a35-801a-4d30dcf75628", "scope":"read_balance" }
©Hitachi, Ltd. 2025. All rights reserved 21 トークン無効化 OAuthとOIDCの基礎知識 トークンは、トークン無効化エンドポイントを使って無効化することができます。 クライアント 認可サーバー 無効化リクエスト 無効化レスポンス POST /realms/example/protocol/openid-connect/revoke HTTP/1.1 Authorization: Basic YXBwbGljYXRpb246OTNlNTgxM2MtZGEyYS00ZjM0LTlmYz YtNWZiZjNhZjZmZDYx Content-Type: application/x-www-form-urlencoded token=eyJhbGciOiJS<略>&token_type_hint=refresh_token HTTP/1.1 200 OK
©Hitachi, Ltd. 2025. All rights reserved 22 リソースサーバーでの認可判断 OAuthとOIDCの基礎知識 リソースサーバーは、アクセストークンを用いて、認可判断や業務処理を行います。
©Hitachi, Ltd. 2025. All rights reserved 23 トークンイントロスペクション OAuthとOIDCの基礎知識 認可サーバーのイントロスペクションエンドポイントにトークンを送信すると、認可サーバーは、それが有効であるか否かを 判断し、結果を属性情報とともに返却します。 クライアント 認可サーバー リソースサーバー API呼出し w/ アクセストークン イントロスペクションリクエスト イントロスペクションレスポンス POST /realms/example/protocol/openid- connect/token/introspect HTTP/1.1 Authorization: Basic cmVzb3VyY2Utc2VydmVyOmIxNzg0 MzI3LWIxMGEtNDJlNi1iMWIxLWVkZ Dc5ND g0MGMxZg== Content-Type: application/x-www- form-urlencoded token=eyJhbGciOiJS<略> HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { [アクセストークンのJWSペイロードの内容] "active": true }
©Hitachi, Ltd. 2025. All rights reserved 24 OIDCとは OAuthとOIDCの基礎知識 OIDCは、OAuthを拡張して作られた認証のためのプロトコルであり、主にSSOに使われます。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 エンドユーザー (ブラウザー) RP *Relying Party OP *OpenID Provider API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス
©Hitachi, Ltd. 2025. All rights reserved 25 OIDCとは OAuthとOIDCの基礎知識 OIDCは、OAuthを拡張して作られた認証のためのプロトコルであり、主にSSOに使われます。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 エンドユーザー (ブラウザー) RP OP API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス トークンレスポンスでIDトークンも一緒に返却 する。 IDトークンを検証し、RPはOPで認証されたエ ンドユーザーの情報を取得する。
©Hitachi, Ltd. 2025. All rights reserved 26 ログアウト OAuthとOIDCの基礎知識 OIDCではログアウトについても規定されています。 ここでは、「バックチャネルログアウト」のフローについて説明します。 エンドユーザー (ブラウザー) RP1 OP RP2 ログアウト指示 ログアウトリクエスト ログアウト後URLに遷移 バックチャネルログアウト セッション削除 セッション削除 セッション削除
©Hitachi, Ltd. 2025. All rights reserved 27 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
©Hitachi, Ltd. 2025. All rights reserved 28 デモの構成 デモ 認可コードフローによるアクセストークンの取得、リソースサーバーにおける認可判断、トークンリフレッシュ、トークン無効化 についてデモを行います。
©Hitachi, Ltd. 2025. All rights reserved 29 商標 OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders. API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
©Hitachi, Ltd. 2025. All rights reserved Thank you 30 スクエアfreeセミナー第167回 田畑 義之 Hitachi OSPO API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ June 26, 2025
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~

More Related Content

PPTX
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
PPTX
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
PDF
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PDF
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 

Similar to API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~

PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
PDF
Keycloakの動向
byYuichi Nakamura
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PPTX
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloak入門
byHiroyuki Wada
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
PPTX
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
PDF
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
PDF
今更聞けないOAuth2.0
byTakahiro Sato
 
PDF
OAuth 2.0の概要とセキュリティ
byHiroshi Hayakawa
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
PDF
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
PDF
OAuth 2.0 MAC Authentication
byRyo Ito
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
Keycloakの動向
byYuichi Nakamura
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
OpenID Connect入門
by土岐 孝平
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
Keycloak入門
byHiroyuki Wada
 
認証技術、デジタルアイデンティティ技術の最新動向
byTatsuo Kudo
 
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
Financial-grade API Hands-on with Authlete
byTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
byTatsuo Kudo
 
今更聞けないOAuth2.0
byTakahiro Sato
 
OAuth 2.0の概要とセキュリティ
byHiroshi Hayakawa
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
OAuth 2.0 MAC Authentication
byRyo Ito
 

More from Hitachi, Ltd. OSS Solution Center.

PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
PDF
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
PDF
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
PDF
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 

API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~

  • 1.
    ©Hitachi, Ltd. 2025.All rights reserved スクエアfreeセミナー第167回 API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ Prepared by 田畑 義之 Hitachi OSPO Date June 26, 2025
  • 2.
    ©Hitachi, Ltd. 2025.All rights reserved 2 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
  • 3.
    ©Hitachi, Ltd. 2025.All rights reserved Welcome – about speaker API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ 3 田畑 義之 シニアOSSコンサルタント Hitachi OSPO ➢ CNCF TAG Security and ComplianceのTech Lead ➢ CNCF Ambassador / Cloud Native Community Japan organizer / Cloud Native Security Japan founder ➢ LinkedIn: @ytabata, X: @yo_tabata, GitHub: @y-tabata • IDアクセス管理(IAM)とAPI分野のコンサルタント ➢APIおよび認証・認可プラットフォーム構築の上流工程等。 • コミュニティ貢献 ➢CNCF TAG Security への貢献(ホワイトペーパー執筆など)。 ➢Keycloak(IAMのOSS)などのOSSの開発。 • その他の活動 ➢KubeCon、Apidays、Open Source Summit などのイベントでの講演。 ➢KeycloakやIAMに関する書籍や記事の執筆。 ➢日本でCNCF関連ミートアップの主催。
  • 4.
    ©Hitachi, Ltd. 2025.All rights reserved 4 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
  • 5.
    ©Hitachi, Ltd. 2025.All rights reserved 5 認証と認可とは 認証と認可およびKeycloakの概要 システムがユーザーに応じた適切な処理を行うためには、認証(Authentication)と認可(Authorization)が必 須です。
  • 6.
    ©Hitachi, Ltd. 2025.All rights reserved 6 Keycloakとは 認証と認可およびKeycloakの概要 主な機能 ⚫ 標準仕様のサポート。 ex. OAuth 2.0, OpenID Connect 1.0, SAML v2, … ⚫ SNSアカウントを使ったログイン。 ex. GitHub, X, Facebook, … ⚫ 既存ユーザストアとの連携。 ex. LDAP, Active Directory, … • IAM (IDアクセス管理) のOSS。 • OAuth2認可サーバの機能とシングルサインオン (SSO) の機能を有する。 • CNCF Incubatingプロジェクト。 標準仕様のサポート Keycloak LDAP Active Directory RDB OpenID Connect 1.0 SAML v2 GitHub X Facebook ID管理 ソーシャルログイン OAuth 2.0
  • 7.
    ©Hitachi, Ltd. 2025.All rights reserved 7 Keycloakの主要なユースケース 認証と認可およびKeycloakの概要 Keycloakには主に、①API認可、②SSO(シングルサインオン)、③さまざまな認証、の3つのユースケースがあります。 前半の本セッションでは①のAPI認可のユースケースを詳しく取り上げます。
  • 8.
    ©Hitachi, Ltd. 2025.All rights reserved 8 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
  • 9.
    ©Hitachi, Ltd. 2025.All rights reserved 9 OAuthとは OAuthとOIDCの基礎知識 OAuth (OAuth 2.0)は、ユーザーのリソースへのアクセスを外部アプリケーションに認可するためのプロトコルであり、API 認可で広く用いられています。 API認可とは、「API呼び出しを行う際の認可」のことです。 OAuthには、リソースオーナー、リソースサーバー、クライアント、認可サーバー、といった4つの登場人物が存在します。
  • 10.
    ©Hitachi, Ltd. 2025.All rights reserved 10 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
  • 11.
    ©Hitachi, Ltd. 2025.All rights reserved 11 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
  • 12.
    ©Hitachi, Ltd. 2025.All rights reserved 12 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 302 Found Location: https://keycloak.example.com/realms/example/protocol/op enid-connect/auth ?response_type=code&client_id=kakeiboapp&redirect_uri =https%3A%2F%2Fkakeibo.example.com%2Fgettoken&sc ope=read_balance
  • 13.
    ©Hitachi, Ltd. 2025.All rights reserved 13 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
  • 14.
    ©Hitachi, Ltd. 2025.All rights reserved 14 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン
  • 15.
    ©Hitachi, Ltd. 2025.All rights reserved 15 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 302 Found Location: https://kakeibo.example.com/gettoken ?session_state=0c1ab474-d596-4abe-aeea- 2b57af3304a5&iss=https%3A%2F%2Fkeycloak.example.co m%2Frealms%2Fapi&code=54af2eef-8b71-4c4e-b5f4- 381165cda2a5.0c1ab474-d596-4abe-aeea- 2b57af3304a5.e24e64db-66d5-479b-8cfc-e921e1b429d3
  • 16.
    ©Hitachi, Ltd. 2025.All rights reserved 16 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン POST /realms/example/protocol/openid-connect/token HTTP/1.1 Authorization: Basic a2FrZWlibzo5M2U1ODEzYy1kYTJhLTRmMzQtOWZjNi01Zm JmM2FmNmZkNjE= Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=54af2eef-8b71- 4c4e-b5f4-381165cda2a5.0c1ab474-d596-4abe-aeea- 2b57af3304a5.e24e64db-66d5-479b-8cfc- e921e1b429d3&redirect_uri=https%3A%2F%2Fkakeibo.exa mple.com%2Fgettoken
  • 17.
    ©Hitachi, Ltd. 2025.All rights reserved 17 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token":"eyJhbGciOiJS<略>", "expires_in":300, "refresh_expires_in":1800, "refresh_token":"eyJhbGciOiJI<略>", "token_type":"Bearer", "not-before-policy":0, "session_state":"98793696-3f01-4a35-801a-4d30dcf75628", "scope":"read_balance" }
  • 18.
    ©Hitachi, Ltd. 2025.All rights reserved 18 OAuthのフロー OAuthとOIDCの基礎知識 OAuthではアクセストークンを発行するため、4種類のフローが定義されています。Keycloakは認可サーバーとしてこれら すべてのフローに対応しています。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 リソースオーナー (ブラウザー) クライアント 認可サーバー リソースサーバー API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス API呼出し w/ アクセストークン GET /sampleapi HTTP/1.1 Authorization: Bearer eyJhbGciOiJS<略>
  • 19.
    ©Hitachi, Ltd. 2025.All rights reserved 19 アクセストークン OAuthとOIDCの基礎知識 Keycloakのアクセストークンは、JWS(JSON Web Signature)に従ったフォーマットで表現され、Base64URLエン コードされた3つの文字列が「.」で連結されています。 中央のペイロード部分にトークンとして扱うために必要な情報が、JWT(JSON Web Token)と呼ばれるJSON形式 で格納されています。
  • 20.
    ©Hitachi, Ltd. 2025.All rights reserved 20 リフレッシュトークン OAuthとOIDCの基礎知識 リフレッシュトークンは、アクセストークンと一緒に発行され、アクセストークンを再発行するために使います。 クライアント 認可サーバー リフレッシュリクエスト w/ リフレッシュトークン リフレッシュレスポンス POST /realms/example/protocol/openid-connect/token HTTP/1.1 Authorization: Basic YXBwbGljYXRpb246OTNlNTgxM2MtZGEyYS00ZjM0LTlmYzYt NWZiZjNhZjZmZDYx Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=eyJhbGciOiJI<略> HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { "access_token":"eyJhbGciOiJS<略>", "expires_in":300, "refresh_expires_in":1800, "refresh_token":"eyJhbGciOiJI<略>", "token_type":"Bearer", "not-before-policy":0, "session_state":"98793696-3f01-4a35-801a-4d30dcf75628", "scope":"read_balance" }
  • 21.
    ©Hitachi, Ltd. 2025.All rights reserved 21 トークン無効化 OAuthとOIDCの基礎知識 トークンは、トークン無効化エンドポイントを使って無効化することができます。 クライアント 認可サーバー 無効化リクエスト 無効化レスポンス POST /realms/example/protocol/openid-connect/revoke HTTP/1.1 Authorization: Basic YXBwbGljYXRpb246OTNlNTgxM2MtZGEyYS00ZjM0LTlmYz YtNWZiZjNhZjZmZDYx Content-Type: application/x-www-form-urlencoded token=eyJhbGciOiJS<略>&token_type_hint=refresh_token HTTP/1.1 200 OK
  • 22.
    ©Hitachi, Ltd. 2025.All rights reserved 22 リソースサーバーでの認可判断 OAuthとOIDCの基礎知識 リソースサーバーは、アクセストークンを用いて、認可判断や業務処理を行います。
  • 23.
    ©Hitachi, Ltd. 2025.All rights reserved 23 トークンイントロスペクション OAuthとOIDCの基礎知識 認可サーバーのイントロスペクションエンドポイントにトークンを送信すると、認可サーバーは、それが有効であるか否かを 判断し、結果を属性情報とともに返却します。 クライアント 認可サーバー リソースサーバー API呼出し w/ アクセストークン イントロスペクションリクエスト イントロスペクションレスポンス POST /realms/example/protocol/openid- connect/token/introspect HTTP/1.1 Authorization: Basic cmVzb3VyY2Utc2VydmVyOmIxNzg0 MzI3LWIxMGEtNDJlNi1iMWIxLWVkZ Dc5ND g0MGMxZg== Content-Type: application/x-www- form-urlencoded token=eyJhbGciOiJS<略> HTTP/1.1 200 OK Content-Type: application/json Cache-Control: no-store Pragma: no-cache { [アクセストークンのJWSペイロードの内容] "active": true }
  • 24.
    ©Hitachi, Ltd. 2025.All rights reserved 24 OIDCとは OAuthとOIDCの基礎知識 OIDCは、OAuthを拡張して作られた認証のためのプロトコルであり、主にSSOに使われます。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 エンドユーザー (ブラウザー) RP *Relying Party OP *OpenID Provider API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス
  • 25.
    ©Hitachi, Ltd. 2025.All rights reserved 25 OIDCとは OAuthとOIDCの基礎知識 OIDCは、OAuthを拡張して作られた認証のためのプロトコルであり、主にSSOに使われます。 ここでは、ユーザーの認証が必要な場合によく用いられる「認可コードフロー」について説明します。 エンドユーザー (ブラウザー) RP OP API連携指示 認可リクエスト ログイン 同意 ログイン画面 同意画面 認可レスポンス トークンリクエスト トークンレスポンス トークンレスポンスでIDトークンも一緒に返却 する。 IDトークンを検証し、RPはOPで認証されたエ ンドユーザーの情報を取得する。
  • 26.
    ©Hitachi, Ltd. 2025.All rights reserved 26 ログアウト OAuthとOIDCの基礎知識 OIDCではログアウトについても規定されています。 ここでは、「バックチャネルログアウト」のフローについて説明します。 エンドユーザー (ブラウザー) RP1 OP RP2 ログアウト指示 ログアウトリクエスト ログアウト後URLに遷移 バックチャネルログアウト セッション削除 セッション削除 セッション削除
  • 27.
    ©Hitachi, Ltd. 2025.All rights reserved 27 1 認証と認可およびKeycloakの概要 2 OAuthとOIDCの基礎知識 3 デモ Agenda
  • 28.
    ©Hitachi, Ltd. 2025.All rights reserved 28 デモの構成 デモ 認可コードフローによるアクセストークンの取得、リソースサーバーにおける認可判断、トークンリフレッシュ、トークン無効化 についてデモを行います。
  • 29.
    ©Hitachi, Ltd. 2025.All rights reserved 29 商標 OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders. API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
  • 30.
    ©Hitachi, Ltd. 2025.All rights reserved Thank you 30 スクエアfreeセミナー第167回 田畑 義之 Hitachi OSPO API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~ June 26, 2025