Hitachi, Ltd. OSS Solution Center., profile picture
Uploaded byHitachi, Ltd. OSS Solution Center.
712 views

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

F5 Engage Tokyo 2023

Embed presentation

Download to read offline
© Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
4 © Hitachi, Ltd. 2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
5 © Hitachi, Ltd. 2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
7 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
8 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
9 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
10 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
11 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
13 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
14 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
15 © Hitachi, Ltd. 2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
16 © Hitachi, Ltd. 2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
17 © Hitachi, Ltd. 2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
18 © Hitachi, Ltd. 2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
19 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
© Hitachi, Ltd. 2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

More Related Content

PDF
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
byNTT DATA Technology & Innovation
 
PDF
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
PDF
OAuth 2.0のResource Serverの作り方
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Dockerからcontainerdへの移行
byAkihiro Suda
 
PDF
Keycloak & midPoint の紹介
byHiroyuki Wada
 
PPTX
分散システムについて語らせてくれ
byKumazaki Hiroki
 
PPTX
ここがつらいよ、Hyperledger Fabricの商用適用(Blockchain GIG #4発表資料)
byNTT DATA Technology & Innovation
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
byNTT DATA Technology & Innovation
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
OAuth 2.0のResource Serverの作り方
byHitachi, Ltd. OSS Solution Center.
 
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
Dockerからcontainerdへの移行
byAkihiro Suda
 
Keycloak & midPoint の紹介
byHiroyuki Wada
 
分散システムについて語らせてくれ
byKumazaki Hiroki
 
ここがつらいよ、Hyperledger Fabricの商用適用(Blockchain GIG #4発表資料)
byNTT DATA Technology & Innovation
 

What's hot

PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
PDF
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
byAtsushi Tanaka
 
PDF
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
PDF
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
PDF
AWS BlackBelt AWS上でのDDoS対策
byAmazon Web Services Japan
 
PDF
ストリーム処理を支えるキューイングシステムの選び方
byYoshiyasu SAEKI
 
PDF
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
PDF
Pod Security AdmissionによるKubernetesのポリシー制御(Kubernetes Novice Tokyo #21 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
Amazon EKS への道 ~ EKS 再入門 ~
byHideaki Aoyagi
 
PDF
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
byNTT DATA OSS Professional Services
 
PPTX
分析指向データレイク実現の次の一手 ~Delta Lake、なにそれおいしいの?~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
byNTT DATA Technology & Innovation
 
PDF
クラウド環境下におけるAPIリトライ設計
byKouji YAMADA
 
PDF
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
byNTT DATA OSS Professional Services
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
byonozaty
 
PDF
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
byAmazon Web Services Japan
 
PPTX
基礎から学ぶ? EC2マルチキャスト
byNoritaka Sekiyama
 
PDF
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
PPTX
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
byAtsushi Tanaka
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
AWS BlackBelt AWS上でのDDoS対策
byAmazon Web Services Japan
 
ストリーム処理を支えるキューイングシステムの選び方
byYoshiyasu SAEKI
 
SSIとDIDで何を解決したいのか?(β版)
byNaohiro Fujie
 
Pod Security AdmissionによるKubernetesのポリシー制御(Kubernetes Novice Tokyo #21 発表資料)
byNTT DATA Technology & Innovation
 
Amazon EKS への道 ~ EKS 再入門 ~
byHideaki Aoyagi
 
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
byNTT DATA OSS Professional Services
 
分析指向データレイク実現の次の一手 ~Delta Lake、なにそれおいしいの?~(NTTデータ テクノロジーカンファレンス 2020 発表資料)
byNTT DATA Technology & Innovation
 
クラウド環境下におけるAPIリトライ設計
byKouji YAMADA
 
Apache Sparkに手を出してヤケドしないための基本 ~「Apache Spark入門より」~ (デブサミ 2016 講演資料)
byNTT DATA OSS Professional Services
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
byonozaty
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
byAmazon Web Services Japan
 
基礎から学ぶ? EC2マルチキャスト
byNoritaka Sekiyama
 
マルチテナントのアプリケーション実装〜実践編〜
byYoshiki Nakagawa
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PDF
Keycloakの動向
byYuichi Nakamura
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
PDF
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
PDF
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
PPTX
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
PDF
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
PPTX
Keycloak入門
byHiroyuki Wada
 
PDF
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PPTX
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
Keycloakの動向
byYuichi Nakamura
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
Keycloak入門
byHiroyuki Wada
 
Keycloakの最近のトピック
byHitachi, Ltd. OSS Solution Center.
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
byTatsuo Kudo
 

More from Hitachi, Ltd. OSS Solution Center.

PDF
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
PDF
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
PDF
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Why Assertion-based Access Token is preferred to Handle-based one?
byHitachi, Ltd. OSS Solution Center.
 
PPTX
What API Specifications and Tools Help Engineers to Construct a High-Security...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Implementing security and availability requirements for banking API system us...
byHitachi, Ltd. OSS Solution Center.
 
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
byHitachi, Ltd. OSS Solution Center.
 
IDガバナンス&管理の基礎
byHitachi, Ltd. OSS Solution Center.
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
byHitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
byHitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
byHitachi, Ltd. OSS Solution Center.
 

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

  • 1.
    © Hitachi, Ltd.2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
  • 2.
    1 © Hitachi, Ltd.2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
  • 3.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
  • 4.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
  • 5.
    4 © Hitachi, Ltd.2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
  • 6.
    5 © Hitachi, Ltd.2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
  • 7.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
  • 8.
    7 © Hitachi, Ltd.2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
  • 9.
    8 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 10.
    9 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
  • 11.
    10 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 12.
    11 © Hitachi, Ltd.2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
  • 13.
    © Hitachi, Ltd.2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
  • 14.
    13 © Hitachi, Ltd.2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
  • 15.
    14 © Hitachi, Ltd.2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
  • 16.
    15 © Hitachi, Ltd.2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
  • 17.
    16 © Hitachi, Ltd.2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
  • 18.
    17 © Hitachi, Ltd.2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
  • 19.
    18 © Hitachi, Ltd.2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
  • 20.
    19 © Hitachi, Ltd.2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
  • 21.
    © Hitachi, Ltd.2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可