Hitachi, Ltd. OSS Solution Center., profile picture
Uploaded byHitachi, Ltd. OSS Solution Center.
PPTX, PDF662 views

CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現

The presentation for CloudNative Days Spring 2021 Online.

Embed presentation

Downloaded 15 times
© Hitachi, Ltd. 2021. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2021/03/12 謝 洋 Apache CamelおよびKeycloak を用いたAPI管理基盤の実現 CloudNative Days Spring 2021 ONLINE
1 © Hitachi, Ltd. 2021. All rights reserved. ・Keycloak/3scale/Apache Camelのコミュニティ版および商用製品の技術サポ ートに従事している ・過去にはApache Spark、ElasticsearchなどのOSSのサポートにも従事していた。 自己紹介 謝 洋 株式会社 日立製作所 OSSソリューションセンタ ソフトウェアエンジニア GitHub:@Yang-Xie-OSS
© Hitachi, Ltd. 2021. All rights reserved. 1. はじめに 2. CamelでAPI管理基盤の実現 3. KeycloakでAPI管理基盤にAPIアクセス制御の追加 目次 2 4. API管理基盤におけるその他機能の実現 5. まとめ
3 © Hitachi, Ltd. 2021. All rights reserved. 1. はじめに
4 © Hitachi, Ltd. 2021. All rights reserved.  異種システムを連携する製品として知られているApache Camel(以降、Camel)はAPIゲートウェイを実現 できる。  認可サーバであるKeycloakをCamelに付与することで、APIのアクセス制御を実現できる。  Camelの多様な機能を用いて、 多くのその他の機能(例: 統計情報提供、API仕様公開)を実現できる。 はじめに API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel アプリケーション JDBC REST(HTTP) FTP REST(HTTP) REST(HTTP) APIサーバ REST(HTTP) アクセストークン マッシュアップ プロトコル変換 リバースプロキシ 流量制御 トークン イントロスペクション APIサーバ APIサーバ APIサーバ APIサーバ その他の機能 統計情報提供 API仕様公開 OAuth MTLS アクセストークン トークン発行/管理
5 © Hitachi, Ltd. 2021. All rights reserved. 2. CamelでAPI管理基盤の実現
6 © Hitachi, Ltd. 2021. All rights reserved.  Apache Camel(以降、Camel)は、異種システムを連携することができるOSSである。  プロトコル変換、データフォーマット変換とマッシュアップが得意である。  RESTをはじめJDBC(=Java Database Connectivity)、MQ(=Message Queue)など多数のプロトコルを サポートする。 Camelとは … … FTP JDBC Camel MQ HTTP Kafka REST ※ Camelでは、200以上の接続コンポーネントが提供されている。
7 © Hitachi, Ltd. 2021. All rights reserved.  開発言語として、xmlベースのSpring DSL、Blueprint DSLとJavaベースのJava DSLを提供している。  xmlベースの開発言語では、GUIの開発画面がサポートされており、ローコード開発ができる。  Javaに慣れた開発者でもコーディング経験がない開発者でもストレスなく着手できる。 Camelの特徴 xmlで開発の画面(GUI) Javaで開発の画面 ※Source画面でxmlソースを確認できる。
8 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、リバースプロキシ、流量制御、プロトコル変換とマッシュアップなどAPIゲートウェイに必要な機 能を持っているAPI管理基盤を実現できる。 CamelでAPI管理基盤の実現 APIサーバ APIサーバ プロトコル変換 API管理基盤 APIゲートウェイ Camel アプリケーション JDBC REST(HTTP) FTP REST(HTTP) 流量制御 REST(HTTP) APIサーバ APIサーバ マッシュアップ APIサーバ REST(HTTP) リバースプロキシ
9 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、リバースプロキシを実現できる。 リバースプロキシ API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ REST(HTTP) REST(HTTP)
10 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、以下の2方式の流量制御を実現できる。 1. 同時に受け付けられるリクエスト数を制限する方式。 2. 単位時間に受け付けられるリクエスト総数を制限する方式。 流量制御 API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ ①APIをコールする ③超えていなければ APIをコールする ②指定した流量を超えていないか を確認する
11 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、RESTからJDBC、FTPなどへのプロトコル変換を実現できる。 プロトコル変換 API管理基盤 APIゲートウェイ Camel アプリケーション JDBC FTP APIサーバ APIサーバ REST(HTTP)
12 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、マッシュアップを実現できる。 マッシュアップ ※ マッシュアップとは、複数のAPIをまとめて1つのAPIとして公開する技術である。 API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ APIサーバ ①APIをコールする ②複数のAPIをコールし、 その結果をマージしてレスポンスとして返す
13 © Hitachi, Ltd. 2021. All rights reserved.  Camelでは、APIアクセス制御ができない。APIがそのままネット上に公開されると、機密性の高いデータ、 個人情報が流出し、利用される可能性がある。 APIアクセス制御の問題 アプリケーション アプリケーション API管理基盤 APIゲートウェイ Camel APIサーバ APIサーバ APIサーバ APIアクセス制御をしない場合、誰でもAPIにアクセス でき、機密性の高いデータ、個人情報が流出する可 能性がある APIユーザ その他の人
14 © Hitachi, Ltd. 2021. All rights reserved. 3. KeycloakでAPI管理基盤にAPIアクセス制御の追加
15 © Hitachi, Ltd. 2021. All rights reserved.  Red Hat社を中心にOSSにて開発されているID管理・アクセス管理のソフトウェアである。  OAuth 2.0の認可サーバとして使用することができる。 Keycloakとは
16 © Hitachi, Ltd. 2021. All rights reserved.  Keycloakを認可サーバとしてCamelに組み込むことにより、API管理基盤にAPIアクセス制御を追加できる。 KeycloakでAPIアクセス制御の追加 API管理基盤 APIゲートウェイ Camel 認可サーバ Keycloak APIサーバ アプリケーション アクセストークン アクセストークン トークン発行/トークン管理 OAuth MTLS トークン イントロスペクション
17 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OAuth 2.0 に対応したトークンの発行やトークンの 管理を実現できる。 OAuth 2.0に対応したトークン発行/トークン管理 API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ ①トークンリクエストを送る ②アクセストークンを発行する アプリケーション ③アクセストークンを付与 してAPIをコールする ④アクセストークンが有効で あればAPIをコールする アクセストークン アクセストークン
18 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、トークンイントロスペクションを実現できる。 トークンイントロスペクション API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ ①Keycloakから発行したアク セストークンを付与してAPIを コールする アクセストークン ②アクセストークンの有効性を確認する (=トークンイントロスペクション) ③アクセストークンが有効であれば APIをコールする アプリケーション
19 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OAuth MTLS(RFC 8705で定義されている)など の高度なアクセス制御を実現できる。 OAuth MTLS API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel アプリケーション APIサーバ ③アクセストークンを付与して APIをコールする (クライアント証明書を提示) ⑤一致すれば APIをコールする ④アクセストークン内のクライアント 証明書のハッシュ値を確認する ①トークンをリクエストする(クライアント 証明書を提示) ②クライアント証明書のハッシュ が記載されるアクセストークン を発行する アクセストークン アクセストークン ※ RFC 8705: https://tools.ietf.org/html/rfc8705
20 © Hitachi, Ltd. 2021. All rights reserved. 4. API管理基盤におけるその他機能の実現
21 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、APIゲートウェイと認可サーバの基本機能だけでなく、 その他の機能も実現できる。 API管理基盤におけるその他機能の実現 API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ アプリケーション その他の機能 統計情報提供 API仕様公開
22 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、以下の2方式の統計情報の提供を実現できる。  ヒープメモリ使用量といったJVM(=Java Virtual Machine)関連の方式  各APIのレスポンスコードごとのレスポンス数といったAPI関連の方式 統計情報提供 API関連の統計情報提供 JVM関連の統計情報
23 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、JVM関連の統計情報提供を実現できる。  JVM関連の統計情報がJMX(Java Management eXtensions)プロトコルで公開される。JMXをサポート する可視化ツールを用いて統計情報の可視化を実現できる。 JVM関連の統計情報提供 ※ JMXとは、Javaアプリケーション から統計情報を取得する技術の 一種。 ※ 例として、Javaに組み込まれた JMX可視化ツールであるJConsole を使用。
24 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、API関連の統計情報提供を実現できる。  API関連の統計情報がJMXプロトコルで公開される。 Prometheusなどの監視ツールを経由して統計情 報を収集し、Grafanaなどのダッシュボードツールで可視化することを実現できる。  Grafanaの機能を利用して、エラーレスポンスの回数が制限値を超えるとメールで管理者に通知するアラー トを実現できる。 API関連方式の統計情報提供(1/2) API関連の統計情報の可視化 API関連の統計情報のアラート
25 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、API関連の統計情報提供を実現できる。  API関連の統計情報がJMXプロトコルで公開される。 Prometheusなどの監視ツールを経由して統計情 報を収集し、Grafanaなどのダッシュボードツールで可視化することを実現できる。  Grafanaの機能を利用して、エラーレスポンスの回数が制限値を超えるとメールで管理者に通知するアラー トを実現できる。 API関連方式の統計情報提供(2/2) アラートが発動時に関係者に送信するメール
26 © Hitachi, Ltd. 2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OpenAPI Specification(旧Swagger)に適合す るAPI仕様の公開を実現できる。 API仕様公開 ※ API仕様とは、APIの使い方(メソッド、パス、各種パラメータ、レスポンスなど)を示すJSONやYAMLのことである。 ※ OpenAPI Specification: https://www.openapis.org/
27 © Hitachi, Ltd. 2021. All rights reserved. 5. まとめ
28 © Hitachi, Ltd. 2021. All rights reserved.  Camelは、APIゲートウェイを実現できる。  KeycloakをCamelに付与することで、APIのアクセス制御を実現できる。  CamelとKeycloakを組み合わせたAPI管理基盤では、 APIゲートウェイと認可サーバ以外にも、多くのその 他の機能を実現できる。  Camelはカスタマイズ性が高いので、Javaで本資料に言及した機能以外の機能も実現できる。 まとめ
29 © Hitachi, Ltd. 2021. All rights reserved.  Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries.  Apache and Camel are registered trademarks or trademarks of The Apache Software Foundation in the United States and other countries.  OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries.  GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries.  Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders. Trademarks
© Hitachi, Ltd. 2021. All rights reserved. 30 END Apache CamelおよびKeycloak を用いたAPI管理基盤の実現 2021/03/12 株式会社 日立製作所 OSSソリューションセンタ 謝 洋
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現

More Related Content

PDF
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
byAmazon Web Services Japan
 
PDF
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
byAmazon Web Services Japan
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
PPTX
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
byNTT DATA Technology & Innovation
 
PDF
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
byssuser868e2d
 
PDF
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
byAmazon Web Services Japan
 
PDF
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
byAmazon Web Services Japan
 
PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
byAmazon Web Services Japan
 
20200804 AWS Black Belt Online Seminar Amazon CodeGuru
byAmazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
byNTT DATA Technology & Innovation
 
わたくし、やっぱりCDKを使いたいですわ〜CDK import編〜.pdf
byssuser868e2d
 
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
byAmazon Web Services Japan
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
byAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 

What's hot

PDF
20190522 AWS Black Belt Online Seminar AWS Step Functions
byAmazon Web Services Japan
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PDF
20210330 AWS Black Belt Online Seminar AWS Glue -Glue Studioを使ったデータ変換のベストプラクティス-
byAmazon Web Services Japan
 
PDF
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
byAmazon Web Services Japan
 
PDF
20180717 AWS Black Belt Online Seminar AWS大阪ローカルリージョンの活用とAWSで実現するDisaster Rec...
byAmazon Web Services Japan
 
PDF
20200617 AWS Black Belt Online Seminar Amazon Athena
byAmazon Web Services Japan
 
PDF
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
PDF
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
byAmazon Web Services Japan
 
PPTX
Azure Key Vault
byjunichi anno
 
PDF
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
byAmazon Web Services Japan
 
PDF
20210317 AWS Black Belt Online Seminar Amazon MQ
byAmazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
byAmazon Web Services Japan
 
PDF
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
byAmazon Web Services Japan
 
PDF
20191009 AWS Black Belt Online Seminar Amazon GameLift
byAmazon Web Services Japan
 
PDF
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
by都元ダイスケ Miyamoto
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PPTX
CloudFront最近の事例と間違った使い方
byHirokazu Ouchi
 
PDF
Amazon Kinesis Familyを活用したストリームデータ処理
byAmazon Web Services Japan
 
PDF
20190205 AWS Black Belt Online Seminar 公共機関によるAWSの利活用
byAmazon Web Services Japan
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
byAmazon Web Services Japan
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
20210330 AWS Black Belt Online Seminar AWS Glue -Glue Studioを使ったデータ変換のベストプラクティス-
byAmazon Web Services Japan
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
byAmazon Web Services Japan
 
20180717 AWS Black Belt Online Seminar AWS大阪ローカルリージョンの活用とAWSで実現するDisaster Rec...
byAmazon Web Services Japan
 
20200617 AWS Black Belt Online Seminar Amazon Athena
byAmazon Web Services Japan
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
byAmazon Web Services Japan
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
byAmazon Web Services Japan
 
Azure Key Vault
byjunichi anno
 
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
byAmazon Web Services Japan
 
20210317 AWS Black Belt Online Seminar Amazon MQ
byAmazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar AWSで実現するDisaster Recovery
byAmazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
byAmazon Web Services Japan
 
20191009 AWS Black Belt Online Seminar Amazon GameLift
byAmazon Web Services Japan
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
by都元ダイスケ Miyamoto
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
CloudFront最近の事例と間違った使い方
byHirokazu Ouchi
 
Amazon Kinesis Familyを活用したストリームデータ処理
byAmazon Web Services Japan
 
20190205 AWS Black Belt Online Seminar 公共機関によるAWSの利活用
byAmazon Web Services Japan
 

Similar to CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現

PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
PPTX
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
PDF
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
PDF
IBM bluemix api connect によるAPIエコノミーの実現 20170426
byTsuyoshi Hirayama
 
PDF
IntelliJ IDEAとKotlinで作るSpring 5アプリケーション
byCASAREAL, Inc.
 
PDF
Lightweight Keycloak
byHiroyuki Wada
 
PDF
OpenStack API
byAkira Yoshiyama
 
PDF
AWS SDK for Haskell開発
byNomura Yusuke
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Talend StudioでAPIを開発 - SOAP/RESTのサービス開発手法
byQlikPresalesJapan
 
PDF
20120528 aws meister-reloaded-awssd-kforjava-public
byAmazon Web Services Japan
 
PDF
ochacafe#6 人にもマシンにもやさしいAPIのエコシステム
byオラクルエンジニア通信
 
PDF
Kongの概要と導入事例
bybriscola-tokyo
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
Keycloakの紹介と最新開発動向
byYuichi Nakamura
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
IBM bluemix api connect によるAPIエコノミーの実現 20170426
byTsuyoshi Hirayama
 
IntelliJ IDEAとKotlinで作るSpring 5アプリケーション
byCASAREAL, Inc.
 
Lightweight Keycloak
byHiroyuki Wada
 
OpenStack API
byAkira Yoshiyama
 
AWS SDK for Haskell開発
byNomura Yusuke
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
Talend StudioでAPIを開発 - SOAP/RESTのサービス開発手法
byQlikPresalesJapan
 
20120528 aws meister-reloaded-awssd-kforjava-public
byAmazon Web Services Japan
 
ochacafe#6 人にもマシンにもやさしいAPIのエコシステム
byオラクルエンジニア通信
 
Kongの概要と導入事例
bybriscola-tokyo
 

More from Hitachi, Ltd. OSS Solution Center.

PDF
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
PDF
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
PDF
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
byHitachi, Ltd. OSS Solution Center.
 

Recently uploaded

PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
PPTX
ddevについて .
byiPride Co., Ltd.
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
Drupal Recipes 解説 .
byiPride Co., Ltd.
 
PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
ddevについて .
byiPride Co., Ltd.
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
Drupal Recipes 解説 .
byiPride Co., Ltd.
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 

CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現

  • 1.
    © Hitachi, Ltd.2021. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2021/03/12 謝 洋 Apache CamelおよびKeycloak を用いたAPI管理基盤の実現 CloudNative Days Spring 2021 ONLINE
  • 2.
    1 © Hitachi, Ltd.2021. All rights reserved. ・Keycloak/3scale/Apache Camelのコミュニティ版および商用製品の技術サポ ートに従事している ・過去にはApache Spark、ElasticsearchなどのOSSのサポートにも従事していた。 自己紹介 謝 洋 株式会社 日立製作所 OSSソリューションセンタ ソフトウェアエンジニア GitHub:@Yang-Xie-OSS
  • 3.
    © Hitachi, Ltd.2021. All rights reserved. 1. はじめに 2. CamelでAPI管理基盤の実現 3. KeycloakでAPI管理基盤にAPIアクセス制御の追加 目次 2 4. API管理基盤におけるその他機能の実現 5. まとめ
  • 4.
    3 © Hitachi, Ltd.2021. All rights reserved. 1. はじめに
  • 5.
    4 © Hitachi, Ltd.2021. All rights reserved.  異種システムを連携する製品として知られているApache Camel(以降、Camel)はAPIゲートウェイを実現 できる。  認可サーバであるKeycloakをCamelに付与することで、APIのアクセス制御を実現できる。  Camelの多様な機能を用いて、 多くのその他の機能(例: 統計情報提供、API仕様公開)を実現できる。 はじめに API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel アプリケーション JDBC REST(HTTP) FTP REST(HTTP) REST(HTTP) APIサーバ REST(HTTP) アクセストークン マッシュアップ プロトコル変換 リバースプロキシ 流量制御 トークン イントロスペクション APIサーバ APIサーバ APIサーバ APIサーバ その他の機能 統計情報提供 API仕様公開 OAuth MTLS アクセストークン トークン発行/管理
  • 6.
    5 © Hitachi, Ltd.2021. All rights reserved. 2. CamelでAPI管理基盤の実現
  • 7.
    6 © Hitachi, Ltd.2021. All rights reserved.  Apache Camel(以降、Camel)は、異種システムを連携することができるOSSである。  プロトコル変換、データフォーマット変換とマッシュアップが得意である。  RESTをはじめJDBC(=Java Database Connectivity)、MQ(=Message Queue)など多数のプロトコルを サポートする。 Camelとは … … FTP JDBC Camel MQ HTTP Kafka REST ※ Camelでは、200以上の接続コンポーネントが提供されている。
  • 8.
    7 © Hitachi, Ltd.2021. All rights reserved.  開発言語として、xmlベースのSpring DSL、Blueprint DSLとJavaベースのJava DSLを提供している。  xmlベースの開発言語では、GUIの開発画面がサポートされており、ローコード開発ができる。  Javaに慣れた開発者でもコーディング経験がない開発者でもストレスなく着手できる。 Camelの特徴 xmlで開発の画面(GUI) Javaで開発の画面 ※Source画面でxmlソースを確認できる。
  • 9.
    8 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、リバースプロキシ、流量制御、プロトコル変換とマッシュアップなどAPIゲートウェイに必要な機 能を持っているAPI管理基盤を実現できる。 CamelでAPI管理基盤の実現 APIサーバ APIサーバ プロトコル変換 API管理基盤 APIゲートウェイ Camel アプリケーション JDBC REST(HTTP) FTP REST(HTTP) 流量制御 REST(HTTP) APIサーバ APIサーバ マッシュアップ APIサーバ REST(HTTP) リバースプロキシ
  • 10.
    9 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、リバースプロキシを実現できる。 リバースプロキシ API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ REST(HTTP) REST(HTTP)
  • 11.
    10 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、以下の2方式の流量制御を実現できる。 1. 同時に受け付けられるリクエスト数を制限する方式。 2. 単位時間に受け付けられるリクエスト総数を制限する方式。 流量制御 API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ ①APIをコールする ③超えていなければ APIをコールする ②指定した流量を超えていないか を確認する
  • 12.
    11 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、RESTからJDBC、FTPなどへのプロトコル変換を実現できる。 プロトコル変換 API管理基盤 APIゲートウェイ Camel アプリケーション JDBC FTP APIサーバ APIサーバ REST(HTTP)
  • 13.
    12 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、マッシュアップを実現できる。 マッシュアップ ※ マッシュアップとは、複数のAPIをまとめて1つのAPIとして公開する技術である。 API管理基盤 APIゲートウェイ Camel アプリケーション APIサーバ APIサーバ ①APIをコールする ②複数のAPIをコールし、 その結果をマージしてレスポンスとして返す
  • 14.
    13 © Hitachi, Ltd.2021. All rights reserved.  Camelでは、APIアクセス制御ができない。APIがそのままネット上に公開されると、機密性の高いデータ、 個人情報が流出し、利用される可能性がある。 APIアクセス制御の問題 アプリケーション アプリケーション API管理基盤 APIゲートウェイ Camel APIサーバ APIサーバ APIサーバ APIアクセス制御をしない場合、誰でもAPIにアクセス でき、機密性の高いデータ、個人情報が流出する可 能性がある APIユーザ その他の人
  • 15.
    14 © Hitachi, Ltd.2021. All rights reserved. 3. KeycloakでAPI管理基盤にAPIアクセス制御の追加
  • 16.
    15 © Hitachi, Ltd.2021. All rights reserved.  Red Hat社を中心にOSSにて開発されているID管理・アクセス管理のソフトウェアである。  OAuth 2.0の認可サーバとして使用することができる。 Keycloakとは
  • 17.
    16 © Hitachi, Ltd.2021. All rights reserved.  Keycloakを認可サーバとしてCamelに組み込むことにより、API管理基盤にAPIアクセス制御を追加できる。 KeycloakでAPIアクセス制御の追加 API管理基盤 APIゲートウェイ Camel 認可サーバ Keycloak APIサーバ アプリケーション アクセストークン アクセストークン トークン発行/トークン管理 OAuth MTLS トークン イントロスペクション
  • 18.
    17 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OAuth 2.0 に対応したトークンの発行やトークンの 管理を実現できる。 OAuth 2.0に対応したトークン発行/トークン管理 API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ ①トークンリクエストを送る ②アクセストークンを発行する アプリケーション ③アクセストークンを付与 してAPIをコールする ④アクセストークンが有効で あればAPIをコールする アクセストークン アクセストークン
  • 19.
    18 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、トークンイントロスペクションを実現できる。 トークンイントロスペクション API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ ①Keycloakから発行したアク セストークンを付与してAPIを コールする アクセストークン ②アクセストークンの有効性を確認する (=トークンイントロスペクション) ③アクセストークンが有効であれば APIをコールする アプリケーション
  • 20.
    19 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OAuth MTLS(RFC 8705で定義されている)など の高度なアクセス制御を実現できる。 OAuth MTLS API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel アプリケーション APIサーバ ③アクセストークンを付与して APIをコールする (クライアント証明書を提示) ⑤一致すれば APIをコールする ④アクセストークン内のクライアント 証明書のハッシュ値を確認する ①トークンをリクエストする(クライアント 証明書を提示) ②クライアント証明書のハッシュ が記載されるアクセストークン を発行する アクセストークン アクセストークン ※ RFC 8705: https://tools.ietf.org/html/rfc8705
  • 21.
    20 © Hitachi, Ltd.2021. All rights reserved. 4. API管理基盤におけるその他機能の実現
  • 22.
    21 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、APIゲートウェイと認可サーバの基本機能だけでなく、 その他の機能も実現できる。 API管理基盤におけるその他機能の実現 API管理基盤 認可サーバ Keycloak APIゲートウェイ Camel APIサーバ アプリケーション その他の機能 統計情報提供 API仕様公開
  • 23.
    22 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、以下の2方式の統計情報の提供を実現できる。  ヒープメモリ使用量といったJVM(=Java Virtual Machine)関連の方式  各APIのレスポンスコードごとのレスポンス数といったAPI関連の方式 統計情報提供 API関連の統計情報提供 JVM関連の統計情報
  • 24.
    23 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、JVM関連の統計情報提供を実現できる。  JVM関連の統計情報がJMX(Java Management eXtensions)プロトコルで公開される。JMXをサポート する可視化ツールを用いて統計情報の可視化を実現できる。 JVM関連の統計情報提供 ※ JMXとは、Javaアプリケーション から統計情報を取得する技術の 一種。 ※ 例として、Javaに組み込まれた JMX可視化ツールであるJConsole を使用。
  • 25.
    24 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、API関連の統計情報提供を実現できる。  API関連の統計情報がJMXプロトコルで公開される。 Prometheusなどの監視ツールを経由して統計情 報を収集し、Grafanaなどのダッシュボードツールで可視化することを実現できる。  Grafanaの機能を利用して、エラーレスポンスの回数が制限値を超えるとメールで管理者に通知するアラー トを実現できる。 API関連方式の統計情報提供(1/2) API関連の統計情報の可視化 API関連の統計情報のアラート
  • 26.
    25 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、API関連の統計情報提供を実現できる。  API関連の統計情報がJMXプロトコルで公開される。 Prometheusなどの監視ツールを経由して統計情 報を収集し、Grafanaなどのダッシュボードツールで可視化することを実現できる。  Grafanaの機能を利用して、エラーレスポンスの回数が制限値を超えるとメールで管理者に通知するアラー トを実現できる。 API関連方式の統計情報提供(2/2) アラートが発動時に関係者に送信するメール
  • 27.
    26 © Hitachi, Ltd.2021. All rights reserved.  CamelとKeycloakを組み合わせたAPI管理基盤では、OpenAPI Specification(旧Swagger)に適合す るAPI仕様の公開を実現できる。 API仕様公開 ※ API仕様とは、APIの使い方(メソッド、パス、各種パラメータ、レスポンスなど)を示すJSONやYAMLのことである。 ※ OpenAPI Specification: https://www.openapis.org/
  • 28.
    27 © Hitachi, Ltd.2021. All rights reserved. 5. まとめ
  • 29.
    28 © Hitachi, Ltd.2021. All rights reserved.  Camelは、APIゲートウェイを実現できる。  KeycloakをCamelに付与することで、APIのアクセス制御を実現できる。  CamelとKeycloakを組み合わせたAPI管理基盤では、 APIゲートウェイと認可サーバ以外にも、多くのその 他の機能を実現できる。  Camelはカスタマイズ性が高いので、Javaで本資料に言及した機能以外の機能も実現できる。 まとめ
  • 30.
    29 © Hitachi, Ltd.2021. All rights reserved.  Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries.  Apache and Camel are registered trademarks or trademarks of The Apache Software Foundation in the United States and other countries.  OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries.  GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries.  Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders. Trademarks
  • 31.
    © Hitachi, Ltd.2021. All rights reserved. 30 END Apache CamelおよびKeycloak を用いたAPI管理基盤の実現 2021/03/12 株式会社 日立製作所 OSSソリューションセンタ 謝 洋