Hitachi, Ltd. OSS Solution Center., profile picture
Uploaded byHitachi, Ltd. OSS Solution Center.
670 views

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

F5 Engage Tokyo 2023

Embed presentation

Download to read offline
© Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
4 © Hitachi, Ltd. 2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
5 © Hitachi, Ltd. 2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
7 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
8 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
9 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
10 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
11 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
13 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
14 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
15 © Hitachi, Ltd. 2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
16 © Hitachi, Ltd. 2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
17 © Hitachi, Ltd. 2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
18 © Hitachi, Ltd. 2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
19 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
© Hitachi, Ltd. 2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

More Related Content

PDF
Keycloak拡張入門
byHiroyuki Wada
 
PDF
Keycloak開発入門
byYuichi Nakamura
 
PDF
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
PDF
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
PDF
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
PPTX
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
Keycloak拡張入門
byHiroyuki Wada
 
Keycloak開発入門
byYuichi Nakamura
 
KeycloakのDevice Flow、CIBAについて
byHiroyuki Wada
 
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
認証の課題とID連携の実装 〜ハンズオン〜
byMasaru Kurahayashi
 
Modern Authentication -- FIDO2 Web Authentication (WebAuthn) を学ぶ --
byJun Kurihara
 
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 

What's hot

PPTX
Keycloak入門
byHiroyuki Wada
 
PDF
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
byOpenID Foundation Japan
 
PDF
Keycloakの動向
byYuichi Nakamura
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
PDF
シングルサインオンの歴史とSAMLへの道のり
byShinichi Tomita
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
PDF
外部キー制約に伴うロックの小話
byichirin2501
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PPTX
ぱぱっと理解するSpring Cloudの基本
bykazuki kumagai
 
PPTX
Infrastructure as Code自身のテストを考える
by辰徳 斎藤
 
PDF
[B31] LOGMinerってレプリケーションソフトで使われているけどどうなってる? by Toshiya Morita
byInsight Technology, Inc.
 
PDF
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
PDF
Keycloak & midPoint の紹介
byHiroyuki Wada
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
PDF
Google Cloud で実践する SRE
byGoogle Cloud Platform - Japan
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
Keycloak入門
byHiroyuki Wada
 
IDA,VC,DID関連仕様 最新情報 - OpenID BizDay #15
byOpenID Foundation Japan
 
Keycloakの動向
byYuichi Nakamura
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
シングルサインオンの歴史とSAMLへの道のり
byShinichi Tomita
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
OpenID Connect入門
by土岐 孝平
 
OpenID ConnectとSCIMの標準化動向
byTatsuo Kudo
 
外部キー制約に伴うロックの小話
byichirin2501
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
ぱぱっと理解するSpring Cloudの基本
bykazuki kumagai
 
Infrastructure as Code自身のテストを考える
by辰徳 斎藤
 
[B31] LOGMinerってレプリケーションソフトで使われているけどどうなってる? by Toshiya Morita
byInsight Technology, Inc.
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
Keycloak & midPoint の紹介
byHiroyuki Wada
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
Google Cloud で実践する SRE
byGoogle Cloud Platform - Japan
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

PPTX
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
PDF
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
PDF
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
PPTX
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
PPTX
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
PDF
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
PDF
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PPTX
CSS2020 Client Policies on keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
CSS2020 Client Policies on keycloak
byHitachi, Ltd. OSS Solution Center.
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
金融向けoへの認証の導入
byFIDO Alliance
 

More from Hitachi, Ltd. OSS Solution Center.

PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
PDF
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Why Assertion-based Access Token is preferred to Handle-based one?
byHitachi, Ltd. OSS Solution Center.
 
PPTX
What API Specifications and Tools Help Engineers to Construct a High-Security...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Implementing security and availability requirements for banking API system us...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
byHitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
byHitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
byHitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
byHitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
byHitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
byHitachi, Ltd. OSS Solution Center.
 

Recently uploaded

PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PDF
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PDF
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PDF
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PPTX
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PDF
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
PPTX
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PDF
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PDF
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

  • 1.
    © Hitachi, Ltd.2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
  • 2.
    1 © Hitachi, Ltd.2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
  • 3.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
  • 4.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
  • 5.
    4 © Hitachi, Ltd.2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
  • 6.
    5 © Hitachi, Ltd.2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
  • 7.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
  • 8.
    7 © Hitachi, Ltd.2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
  • 9.
    8 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 10.
    9 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
  • 11.
    10 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 12.
    11 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
  • 13.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
  • 14.
    13 © Hitachi, Ltd.2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
  • 15.
    14 © Hitachi, Ltd.2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
  • 16.
    15 © Hitachi, Ltd.2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
  • 17.
    16 © Hitachi, Ltd.2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
  • 18.
    17 © Hitachi, Ltd.2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
  • 19.
    18 © Hitachi, Ltd.2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
  • 20.
    19 © Hitachi, Ltd.2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
  • 21.
    © Hitachi, Ltd.2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可