SlideShare a Scribd company logo

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

Hitachi, Ltd. OSS Solution Center.
Hitachi, Ltd. OSS Solution Center.

F5 Engage Tokyo 2023

Technology
1 of 22
Download to read offline
© Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
4 © Hitachi, Ltd. 2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
5 © Hitachi, Ltd. 2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
7 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
8 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
9 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
10 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
11 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
© Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
13 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
14 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
15 © Hitachi, Ltd. 2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
16 © Hitachi, Ltd. 2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
17 © Hitachi, Ltd. 2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
18 © Hitachi, Ltd. 2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
19 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
© Hitachi, Ltd. 2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

Recommended

細かすぎて伝わらないD3 ver.4の話
細かすぎて伝わらないD3 ver.4の話細かすぎて伝わらないD3 ver.4の話
細かすぎて伝わらないD3 ver.4の話清水 正行
 
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)Amazon Web Services Japan
 
Apiドキュメンテーションツールを使いこなす【api blueprint編】
Apiドキュメンテーションツールを使いこなす【api blueprint編】Apiドキュメンテーションツールを使いこなす【api blueprint編】
Apiドキュメンテーションツールを使いこなす【api blueprint編】dcubeio
 
「オルタンシア・サーガ」開発の裏側
「オルタンシア・サーガ」開発の裏側「オルタンシア・サーガ」開発の裏側
「オルタンシア・サーガ」開発の裏側geechs inc. / geechs株式会社
 
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話Takuto Wada
 
脱RESTful API設計の提案
脱RESTful API設計の提案脱RESTful API設計の提案
脱RESTful API設計の提案樽八 仲川
 
富士ゼロックスのクラウド活用で起こした変革
富士ゼロックスのクラウド活用で起こした変革富士ゼロックスのクラウド活用で起こした変革
富士ゼロックスのクラウド活用で起こした変革Yuta Watanabe
 
Swagger 入門
Swagger 入門Swagger 入門
Swagger 入門Yoshiaki Yoshida
 

Recommended

細かすぎて伝わらないD3 ver.4の話
細かすぎて伝わらないD3 ver.4の話細かすぎて伝わらないD3 ver.4の話
細かすぎて伝わらないD3 ver.4の話清水 正行
 
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)
[AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB)Amazon Web Services Japan
 
Apiドキュメンテーションツールを使いこなす【api blueprint編】
Apiドキュメンテーションツールを使いこなす【api blueprint編】Apiドキュメンテーションツールを使いこなす【api blueprint編】
Apiドキュメンテーションツールを使いこなす【api blueprint編】dcubeio
 
「オルタンシア・サーガ」開発の裏側
「オルタンシア・サーガ」開発の裏側「オルタンシア・サーガ」開発の裏側
「オルタンシア・サーガ」開発の裏側geechs inc. / geechs株式会社
 
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話Takuto Wada
 
脱RESTful API設計の提案
脱RESTful API設計の提案脱RESTful API設計の提案
脱RESTful API設計の提案樽八 仲川
 
富士ゼロックスのクラウド活用で起こした変革
富士ゼロックスのクラウド活用で起こした変革富士ゼロックスのクラウド活用で起こした変革
富士ゼロックスのクラウド活用で起こした変革Yuta Watanabe
 
Swagger 入門
Swagger 入門Swagger 入門
Swagger 入門Yoshiaki Yoshida
 
Spanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたSpanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたtechgamecollege
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話Hitachi, Ltd. OSS Solution Center.
 
SlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行しますSlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行しますMamoru Ohashi
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Noritaka Sekiyama
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
深い親子関係のテーブル設計
深い親子関係のテーブル設計深い親子関係のテーブル設計
深い親子関係のテーブル設計琢磨 三浦
 
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターンAzure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターンKazuyuki Miyake
 
オラクルのHadoopソリューションご紹介
オラクルのHadoopソリューションご紹介オラクルのHadoopソリューションご紹介
オラクルのHadoopソリューションご紹介オラクルエンジニア通信
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etcAzure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etcYoichi Kawasaki
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
Azure Search 大全
Azure Search 大全Azure Search 大全
Azure Search 大全Daiyu Hatakeyama
 
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門Shuji Kikuchi
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
アジャイル開発とメトリクス
アジャイル開発とメトリクスアジャイル開発とメトリクス
アジャイル開発とメトリクスRakuten Group, Inc.
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥Insight Technology, Inc.
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 

More Related Content

What's hot

Spanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたSpanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたtechgamecollege
 
SlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行しますSlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行しますMamoru Ohashi
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Noritaka Sekiyama
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
深い親子関係のテーブル設計
深い親子関係のテーブル設計深い親子関係のテーブル設計
深い親子関係のテーブル設計琢磨 三浦
 
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターンAzure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターンKazuyuki Miyake
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay都元ダイスケ Miyamoto
 
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etcAzure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etcYoichi Kawasaki
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツpospome
 
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門Shuji Kikuchi
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021Hiroshi Tokumaru
 
アジャイル開発とメトリクス
アジャイル開発とメトリクスアジャイル開発とメトリクス
アジャイル開発とメトリクスRakuten Group, Inc.
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥Insight Technology, Inc.
 

What's hot (20)

Spanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたSpanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみた
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
SlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行しますSlideShareをやめて SpeakerDeckに移行します
SlideShareをやめて SpeakerDeckに移行します
 
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
Hadoop/Spark で Amazon S3 を徹底的に使いこなすワザ (Hadoop / Spark Conference Japan 2019)
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
 
深い親子関係のテーブル設計
深い親子関係のテーブル設計深い親子関係のテーブル設計
深い親子関係のテーブル設計
 
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターンAzure Cosmos DB を使った高速分散アプリケーションの設計パターン
Azure Cosmos DB を使った高速分散アプリケーションの設計パターン
 
オラクルのHadoopソリューションご紹介
オラクルのHadoopソリューションご紹介オラクルのHadoopソリューションご紹介
オラクルのHadoopソリューションご紹介
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDayマイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
 
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etcAzure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
Azure Search 言語処理関連機能 〜 アナライザー、検索クエリー、辞書、& ランキング, etc
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
 
Azure Search 大全
Azure Search 大全Azure Search 大全
Azure Search 大全
 
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
アジャイル開発とメトリクス
アジャイル開発とメトリクスアジャイル開発とメトリクス
アジャイル開発とメトリクス
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
[db tech showcase Tokyo 2014] B26: PostgreSQLを拡張してみよう by SRA OSS, Inc. 日本支社 高塚遥
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬日本マイクロソフト株式会社
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムOCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムオラクルエンジニア通信
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402IO Architect Inc.
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdftomokoitoda1
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdftomokoitoda1
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdfYusukeTamura7
 
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Shotaro Suzuki
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説QlikPresalesJapan
 
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介CASAREAL, Inc.
 
はたらく認証
はたらく認証はたらく認証
はたらく認証Tsukasa Kato
 
Azure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAzure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAtomu Hidaka
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可 (20)

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムOCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
AIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdfAIP改め、MIP_20230128_it.pdf
AIP改め、MIP_20230128_it.pdf
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
 
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
 
インフラチームの歴史とこれから
インフラチームの歴史とこれからインフラチームの歴史とこれから
インフラチームの歴史とこれから
 
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
 
はたらく認証
はたらく認証はたらく認証
はたらく認証
 
Azure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAzure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practice
 

More from Hitachi, Ltd. OSS Solution Center.

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Hitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakHitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Hitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Hitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~Hitachi, Ltd. OSS Solution Center.
 

More from Hitachi, Ltd. OSS Solution Center. (20)

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 

Recently uploaded

AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案sugiuralab
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 

Recently uploaded (14)

AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

  • 1. © Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
  • 2. 1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
  • 3. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
  • 4. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
  • 5. 4 © Hitachi, Ltd. 2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
  • 6. 5 © Hitachi, Ltd. 2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
  • 7. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
  • 8. 7 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
  • 9. 8 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 10. 9 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
  • 11. 10 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 12. 11 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
  • 13. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
  • 14. 13 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
  • 15. 14 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
  • 16. 15 © Hitachi, Ltd. 2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
  • 17. 16 © Hitachi, Ltd. 2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
  • 18. 17 © Hitachi, Ltd. 2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
  • 19. 18 © Hitachi, Ltd. 2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
  • 20. 19 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
  • 21. © Hitachi, Ltd. 2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可