SlideShare a Scribd company logo

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向

Hitachi, Ltd. OSS Solution Center.
Hitachi, Ltd. OSS Solution Center.

Cloud Native Community Japan Kickoff meetup

Technology
1 of 26
Download to read offline
© Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/01 田畑 義之 Cloud Native Community Japan キックオフミートアップ Keycloakの全体像 基本概念、ユースケース、そして最新の開発動向
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
© Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 2
© Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 3
4 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
5 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのデータ • GitHubスター数は18k ※2023/11 • 2022年のOpen Source Projects with Highest Contributor Growthで7位にランクイン https://octoverse.github.com/2022/state-of-open-source • CNCFプロジェクトの成長速度(velocity)のランキングで7位にランクイン ※2023/10 https://www.cncf.io/blog/2023/10/27/october-2023-where-we-are-with-velocity-of-cncf-lf-and-top-30-open-source-projects/ • 2023年4月にCNCFのIncubating Projectに選出 https://www.cncf.io/blog/2023/04/11/keycloak-joins-cncf-as-an-incubating-project/
6 © Hitachi, Ltd. 2023. All rights reserved. Keycloakと日本 • 2021年10月に日立製作所の乗松さんがメンテナに就任。主にOAuth SIGのリーダとして、 OAuth/OIDC関連のセキュリティ仕様への準拠を推進。 https://www.keycloak.org/2021/10/takashi.adoc.html • Keycloakのコミット数ランキングにおいて日本人は上位100人中6人(おそらく)。 ※2023/11 • Companyとしては、コントリビュータ数、コミット数、ともに日立製作所がRed Hatに次いで2位。 ※2023/11 https://keycloak.devstats.cncf.io/d/5/companies-table?orgId=1&var-period_name=Last%20decade&var-metric=contributors
© Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 7
8 © Hitachi, Ltd. 2023. All rights reserved. Keycloakで実現できるユースケース 1. アプリケーションにログインするユースケース 2. APIでユーザのリソースにアクセスするユースケース 3. (リソースアクセスを認可するユースケース) ← 今回は割愛
9 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • セキュリティベストプラクティスは年々進化しており、スクラッチで作るとセキュリティホールを作りこむ可能性あり。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ※簡単のため、一部やり取りは省略しています。
10 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • アプリケーションタイプとして、Webアプリ、ネイティブアプリ、ブラウザベースアプリのすべてに対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) ※簡単のため、一部やり取りは省略しています。
11 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • 認証プロトコルとして、一般的なプロトコルであるOpenID Connect 1.0、SAML v2に対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) 認証プロトコル  OpenID Connect 1.0  SAML v2 ※簡単のため、一部やり取りは省略しています。
12 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • ユーザ認証方法として、パスワード認証から多要素認証まで幅広く対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ユーザ認証方法  パスワード認証  OTP認証(Google Authenticator、FreeOTP)  クッキー認証(≒シングルサインオン)  外部IdP認証(ソーシャルログイン)  WebAuthn(生体認証の組合せ、パスワードレス認証) アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) 認証プロトコル  OpenID Connect 1.0  SAML v2 ※簡単のため、一部やり取りは省略しています。
13 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • API認可のデファクトスタンダードであるOAuth 2.0にセキュアに準拠する必要あり。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。
14 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • ブラウザを持たないスマートTVなどのデバイスがユーザのリソースにアクセスすることもできる。 (RFC8628: OAuth 2.0 Device Authorization Grant で規定) ユーザ (ブラウザ) Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 アプリケーション (スマートTVなど)  ユーザは自身のスマホのブラ ウザなどを使って同意する。
15 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • アプリケーションのユーザ以外のユーザのリソースにアクセスすることもできる。 (OpenID Connect Client-Initiated Backchannel Authentication Flow - Core 1.0 で規定) ユーザ (ブラウザ) Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 リソースオーナ アプリケーション  医者による患者の診断情報の取得。  スーパーのレジにおけるキャッシュレス決済。
© Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 16
17 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 • FAPI 2.0 • DPoP (OAuth 2.0 Demonstrating Proof of Possession: RFC9449) • Passkeys • Lightweight Access Token
18 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - FAPI 2.0 • FAPI 2.0 (Financial-grade API 2.0)は、OAuth 2.0をベースに、高いセキュリティ保護が必要なAPI を保護することを目的としたセキュリティプロファイル。Implementer's Draftが公開されている。 • Keycloakはバージョン23で、このFAPI 2.0のドラフト版をサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。  OAuth MTLSやDPoPによるアクセストークン横取り攻 撃対策。  PARによる認可リクエスト改ざん攻撃対策。  PKCEによる認可コードインジェクション攻撃対策。
19 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - DPoP • DPoP (OAuth 2.0 Demonstrating Proof of Possession: RFC9449)は、非対称鍵ペアを使った 所有証明(proof-of-possession)メカニズムによってアクセストークンに送信者制約を施し、アクセストーク ン横取り攻撃を検知することを目的としたメカニズム。2023年9月に公開。 • Keycloakはバージョン23で、DPoPをプレビューサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンとDPoP proofを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 I. 公開鍵の情報を含み、秘密鍵で署名したDPoP proofを生成。 II. アプリケーションから受け取ったDPoP proof内公開 鍵を紐づけたアクセストークンを発行。 III. DPoP proof内公開鍵と、アクセストークンに紐づけ られた公開鍵とを比較検証。
20 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - Passkeys • Passkeysは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期すること でスケーラビリティの課題を解決した新しい認証技術。 • Keycloakはバージョン23で、Passkeysをプレビューサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ユーザ認証方法  Passkeys ※簡単のため、一部やり取りは省略しています。  アプリケーションやデバイスごとに新しいFIDOクレデン シャルを登録する必要がない。  デバイスを紛失・交換した際に、新しいFIDOクレデン シャルを登録する必要がない。
21 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - Lightweight Access Token • Lightweight Access Tokenは、プライバシーやパフォーマンスの観点から、アクセストークンに格納する情 報を減らす(アクセストークンを軽量化する)ソリューション。リソースサーバは必要な情報をイントロスペクション エンドポイント経由で取得する。 • Keycloakはバージョン23で、Lightweight Access Tokenをサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. 軽量アクセス トークン発行 リソースサーバ 6. APIリクエスト(軽量アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。  軽量アクセストークンに格納する情報は必要最小限。 6-1. 追加情報要求 6-2. 追加情報  必要な情報があればイントロスペク ションエンドポイント経由で取得。
22 © Hitachi, Ltd. 2023. All rights reserved. まとめ • Keycloakは今波に乗っているOSSであり、日本からも多くの機能がコントリビュートされている。 • 2023年4月にCNCFのIncubating Projectに選出 • CNCFプロジェクトの成長速度(velocity)のランキングで7位にランクイン • Keycloakは様々なユースケースを実現できる。 • アプリケーションにログインするユースケース • 多要素認証、シングルサインオン、など。 • APIでユーザのリソースにアクセスするユースケース • ユーザリソースへのセキュアなAPIアクセス、第三者リソースへのAPIアクセス、など。 • Keycloakはコミュニティが活発で、最新仕様や注目機能を次々とサポートしている。 • FAPI 2.0、DPoP、Passkeys、Lightweight Access Token、など。
23 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
© Hitachi, Ltd. 2023. All rights reserved. 24 END Keycloakの全体像 2023/12/01 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向

Recommended

KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてHiroyuki Wada
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 

Recommended

KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてHiroyuki Wada
 
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜Masaru Kurahayashi
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話Hitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門Yahoo!デベロッパーネットワーク
 
Keycloak開発入門
Keycloak開発入門Keycloak開発入門
Keycloak開発入門Yuichi Nakamura
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
Keycloakの動向
Keycloakの動向Keycloakの動向
Keycloakの動向Yuichi Nakamura
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピックHitachi, Ltd. OSS Solution Center.
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開について富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開についてFIDO Alliance
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 

More Related Content

What's hot

KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜Masaru Kurahayashi
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Jun Kurihara
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)kazkiti
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携Naohiro Fujie
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用Masaru Kurahayashi
 
富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開について富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開についてFIDO Alliance
 

What's hot (20)

FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
 
Keycloak開発入門
Keycloak開発入門Keycloak開発入門
Keycloak開発入門
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
Keycloakの動向
Keycloakの動向Keycloakの動向
Keycloakの動向
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
 
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
 
プロトコルから見るID連携
プロトコルから見るID連携プロトコルから見るID連携
プロトコルから見るID連携
 
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
 
富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開について富士通によるFIDOソリューションの展開について
富士通によるFIDOソリューションの展開について
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 

Similar to Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システTech Summit 2016
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデルde:code 2017
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理fisuda
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護Naohiro Fujie
 
数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポートFIDO Alliance
 
Spring Social でソーシャルログインを実装する
Spring Social でソーシャルログインを実装するSpring Social でソーシャルログインを実装する
Spring Social でソーシャルログインを実装するRakuten Group, Inc.
 
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAmazon Web Services Japan
 
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~Yasunobu Fukasawa
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Yasuhiro Kobayashi
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402IO Architect Inc.
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説QlikPresalesJapan
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるNaohiro Fujie
 
FIDOセキュリティ認定の概要と最新状況
FIDOセキュリティ認定の概要と最新状況FIDOセキュリティ認定の概要と最新状況
FIDOセキュリティ認定の概要と最新状況FIDO Alliance
 
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOICloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOITatsuo Kudo
 

Similar to Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向 (20)

認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
Cld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システCld014 セキュアな io_t_システ
Cld014 セキュアな io_t_システ
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル
 
Shibbolethご説明資料
Shibbolethご説明資料Shibbolethご説明資料
Shibbolethご説明資料
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理FIWARE の ID 管理、アクセス制御、API 管理
FIWARE の ID 管理、アクセス制御、API 管理
 
OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護OAuth2.0によるWeb APIの保護
OAuth2.0によるWeb APIの保護
 
数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート数々の実績:迅速なFIDO認証の展開をサポート
数々の実績:迅速なFIDO認証の展開をサポート
 
Spring Social でソーシャルログインを実装する
Spring Social でソーシャルログインを実装するSpring Social でソーシャルログインを実装する
Spring Social でソーシャルログインを実装する
 
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニングAWS IoTにおけるデバイスへの認証情報のプロビジョニング
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
 
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
 
Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報Microsoft Azure で実現するAIとIoT最新情報
Microsoft Azure で実現するAIとIoT最新情報
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
 
Azure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみるAzure AD B2CにIdPを色々と繋いでみる
Azure AD B2CにIdPを色々と繋いでみる
 
FIDOセキュリティ認定の概要と最新状況
FIDOセキュリティ認定の概要と最新状況FIDOセキュリティ認定の概要と最新状況
FIDOセキュリティ認定の概要と最新状況
 
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOICloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
 

More from Hitachi, Ltd. OSS Solution Center.

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Hitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Hitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~Hitachi, Ltd. OSS Solution Center.
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現Hitachi, Ltd. OSS Solution Center.
 

More from Hitachi, Ltd. OSS Solution Center. (20)

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
 

Recently uploaded

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 

Recently uploaded (12)

SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向

  • 1. © Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/01 田畑 義之 Cloud Native Community Japan キックオフミートアップ Keycloakの全体像 基本概念、ユースケース、そして最新の開発動向
  • 2. 1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
  • 3. © Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 2
  • 4. © Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 3
  • 5. 4 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
  • 6. 5 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのデータ • GitHubスター数は18k ※2023/11 • 2022年のOpen Source Projects with Highest Contributor Growthで7位にランクイン https://octoverse.github.com/2022/state-of-open-source • CNCFプロジェクトの成長速度(velocity)のランキングで7位にランクイン ※2023/10 https://www.cncf.io/blog/2023/10/27/october-2023-where-we-are-with-velocity-of-cncf-lf-and-top-30-open-source-projects/ • 2023年4月にCNCFのIncubating Projectに選出 https://www.cncf.io/blog/2023/04/11/keycloak-joins-cncf-as-an-incubating-project/
  • 7. 6 © Hitachi, Ltd. 2023. All rights reserved. Keycloakと日本 • 2021年10月に日立製作所の乗松さんがメンテナに就任。主にOAuth SIGのリーダとして、 OAuth/OIDC関連のセキュリティ仕様への準拠を推進。 https://www.keycloak.org/2021/10/takashi.adoc.html • Keycloakのコミット数ランキングにおいて日本人は上位100人中6人(おそらく)。 ※2023/11 • Companyとしては、コントリビュータ数、コミット数、ともに日立製作所がRed Hatに次いで2位。 ※2023/11 https://keycloak.devstats.cncf.io/d/5/companies-table?orgId=1&var-period_name=Last%20decade&var-metric=contributors
  • 8. © Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 7
  • 9. 8 © Hitachi, Ltd. 2023. All rights reserved. Keycloakで実現できるユースケース 1. アプリケーションにログインするユースケース 2. APIでユーザのリソースにアクセスするユースケース 3. (リソースアクセスを認可するユースケース) ← 今回は割愛
  • 10. 9 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • セキュリティベストプラクティスは年々進化しており、スクラッチで作るとセキュリティホールを作りこむ可能性あり。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ※簡単のため、一部やり取りは省略しています。
  • 11. 10 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • アプリケーションタイプとして、Webアプリ、ネイティブアプリ、ブラウザベースアプリのすべてに対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) ※簡単のため、一部やり取りは省略しています。
  • 12. 11 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • 認証プロトコルとして、一般的なプロトコルであるOpenID Connect 1.0、SAML v2に対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) 認証プロトコル  OpenID Connect 1.0  SAML v2 ※簡単のため、一部やり取りは省略しています。
  • 13. 12 © Hitachi, Ltd. 2023. All rights reserved. アプリケーションにログインするユースケース • アプリケーションのセキュリティの要となるユーザ認証処理をKeycloakにお任せするユースケース。 • ユーザ認証方法として、パスワード認証から多要素認証まで幅広く対応。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ユーザ認証方法  パスワード認証  OTP認証(Google Authenticator、FreeOTP)  クッキー認証(≒シングルサインオン)  外部IdP認証(ソーシャルログイン)  WebAuthn(生体認証の組合せ、パスワードレス認証) アプリケーションタイプ  Webアプリ  ネイティブアプリ(モバイルアプリ、PCアプリ)  ブラウザベースアプリ(SPAなど) 認証プロトコル  OpenID Connect 1.0  SAML v2 ※簡単のため、一部やり取りは省略しています。
  • 14. 13 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • API認可のデファクトスタンダードであるOAuth 2.0にセキュアに準拠する必要あり。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。
  • 15. 14 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • ブラウザを持たないスマートTVなどのデバイスがユーザのリソースにアクセスすることもできる。 (RFC8628: OAuth 2.0 Device Authorization Grant で規定) ユーザ (ブラウザ) Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 アプリケーション (スマートTVなど)  ユーザは自身のスマホのブラ ウザなどを使って同意する。
  • 16. 15 © Hitachi, Ltd. 2023. All rights reserved. APIでユーザのリソースにアクセスするユースケース • ユーザのリソースにアクセスするために必要なアクセストークンをKeycloakに発行してもらうユースケース。 • アプリケーションのユーザ以外のユーザのリソースにアクセスすることもできる。 (OpenID Connect Client-Initiated Backchannel Authentication Flow - Core 1.0 で規定) ユーザ (ブラウザ) Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 リソースオーナ アプリケーション  医者による患者の診断情報の取得。  スーパーのレジにおけるキャッシュレス決済。
  • 17. © Hitachi, Ltd. 2023. All rights reserved. 1. Keycloakとは 2. Keycloakで実現できる様々なユースケース 3. Keycloakの最新開発動向 Contents 16
  • 18. 17 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 • FAPI 2.0 • DPoP (OAuth 2.0 Demonstrating Proof of Possession: RFC9449) • Passkeys • Lightweight Access Token
  • 19. 18 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - FAPI 2.0 • FAPI 2.0 (Financial-grade API 2.0)は、OAuth 2.0をベースに、高いセキュリティ保護が必要なAPI を保護することを目的としたセキュリティプロファイル。Implementer's Draftが公開されている。 • Keycloakはバージョン23で、このFAPI 2.0のドラフト版をサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。  OAuth MTLSやDPoPによるアクセストークン横取り攻 撃対策。  PARによる認可リクエスト改ざん攻撃対策。  PKCEによる認可コードインジェクション攻撃対策。
  • 20. 19 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - DPoP • DPoP (OAuth 2.0 Demonstrating Proof of Possession: RFC9449)は、非対称鍵ペアを使った 所有証明(proof-of-possession)メカニズムによってアクセストークンに送信者制約を施し、アクセストーク ン横取り攻撃を検知することを目的としたメカニズム。2023年9月に公開。 • Keycloakはバージョン23で、DPoPをプレビューサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. アクセス トークン発行 リソースサーバ 6. APIリクエスト(アクセストークンとDPoP proofを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。 I. 公開鍵の情報を含み、秘密鍵で署名したDPoP proofを生成。 II. アプリケーションから受け取ったDPoP proof内公開 鍵を紐づけたアクセストークンを発行。 III. DPoP proof内公開鍵と、アクセストークンに紐づけ られた公開鍵とを比較検証。
  • 21. 20 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - Passkeys • Passkeysは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期すること でスケーラビリティの課題を解決した新しい認証技術。 • Keycloakはバージョン23で、Passkeysをプレビューサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 6. 価値提供 2. ユーザ認証の委譲 3. ユーザ認証要求 4. ログイン 5. ユーザ認証結果 ユーザ認証方法  Passkeys ※簡単のため、一部やり取りは省略しています。  アプリケーションやデバイスごとに新しいFIDOクレデン シャルを登録する必要がない。  デバイスを紛失・交換した際に、新しいFIDOクレデン シャルを登録する必要がない。
  • 22. 21 © Hitachi, Ltd. 2023. All rights reserved. Keycloakの最新開発動向 - Lightweight Access Token • Lightweight Access Tokenは、プライバシーやパフォーマンスの観点から、アクセストークンに格納する情 報を減らす(アクセストークンを軽量化する)ソリューション。リソースサーバは必要な情報をイントロスペクション エンドポイント経由で取得する。 • Keycloakはバージョン23で、Lightweight Access Tokenをサポート予定。 ユーザ (ブラウザ) アプリケーション Keycloak 1. アクセス 8. 価値提供 2. 認可要求 3. ユーザ認可取得 4. 同意 5. 軽量アクセス トークン発行 リソースサーバ 6. APIリクエスト(軽量アクセストークンを付与) 7. APIレスポンス ※簡単のため、一部やり取りは省略しています。  軽量アクセストークンに格納する情報は必要最小限。 6-1. 追加情報要求 6-2. 追加情報  必要な情報があればイントロスペク ションエンドポイント経由で取得。
  • 23. 22 © Hitachi, Ltd. 2023. All rights reserved. まとめ • Keycloakは今波に乗っているOSSであり、日本からも多くの機能がコントリビュートされている。 • 2023年4月にCNCFのIncubating Projectに選出 • CNCFプロジェクトの成長速度(velocity)のランキングで7位にランクイン • Keycloakは様々なユースケースを実現できる。 • アプリケーションにログインするユースケース • 多要素認証、シングルサインオン、など。 • APIでユーザのリソースにアクセスするユースケース • ユーザリソースへのセキュアなAPIアクセス、第三者リソースへのAPIアクセス、など。 • Keycloakはコミュニティが活発で、最新仕様や注目機能を次々とサポートしている。 • FAPI 2.0、DPoP、Passkeys、Lightweight Access Token、など。
  • 24. 23 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
  • 25. © Hitachi, Ltd. 2023. All rights reserved. 24 END Keycloakの全体像 2023/12/01 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 基本概念、ユースケース、そして最新の開発動向