SlideShare a Scribd company logo

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

F5 Engage Tokyo 2023

1 of 22
Download to read offline
© Hitachi, Ltd. 2023. All rights reserved.
株式会社 日立製作所
OSSソリューションセンタ
2023/12/07
田畑 義之
F5 Engage Tokyo 2023
パスキーでリードする
NGINXとKeycloakによる効率的な認証・認可
1
© Hitachi, Ltd. 2023. All rights reserved.
自己紹介
田畑 義之 (たばた よしゆき)
 シニアOSSコンサルタント
@株式会社 日立製作所 OSSソリューションセンタ
 CNCFアンバサダー
 GitHub: @y-tabata, LinkedIn: @ytabata
• 認証認可やAPI関連分野のソリューション開発&コンサルティング
 金融、公共、社会、産業分野における
API管理基盤や認証認可システムの導入支援
• 認証認可・API管理関連のOSSへのコントリビュート
 Keycloak (IAMのOSS)
 3scale (API管理のOSS)
• 情報発信
 Keycloak書籍
 ThinkIT/@ITでのWeb記事連載
 Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
© Hitachi, Ltd. 2023. All rights reserved.
1. 認証と認可のセキュリティリスク
2. NGINXとKeycloakによる効率的な認証・認可
3. 認証・認可の最新戦略
Contents
2
© Hitachi, Ltd. 2023. All rights reserved.
1. 認証と認可のセキュリティリスク
2. NGINXとKeycloakによる効率的な認証・認可
3. 認証・認可の最新戦略
Contents
3
4
© Hitachi, Ltd. 2023. All rights reserved.
認証とは/認可とは
 「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。
• 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで
はない。
• 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ
スを認可されるべきではない。
• 「認証」は必ずしも必須ではない。
• 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ
る。
「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。
「認可」とは、要求されたアクションまたはサービスが特定のエンティティ
に対して承認されていることを確認するプロセス。
5
© Hitachi, Ltd. 2023. All rights reserved.
認証と認可のセキュリティリスク
「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ
リスクとしてリストアップされている。
* OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/
#1 オブジェクトレベルの「認可」の不備
#3 オブジェクトプロパティレベルの「認可」の不備
#5 機能レベルの「認可」の不備
#2 「認証」の不備
#6 機微なビジネスフローへの制限のないアクセス
#8 セキュリティの設定ミス
#4 制限のないリソース消費
#7 サーバサイドリクエストフォージェリ
#9 不適切なインベントリ管理
#10 APIの安全でない使用

Recommended

Spanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたSpanner移行について本気出して考えてみた
Spanner移行について本気出して考えてみたtechgamecollege
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能Kohei Tokunaga
 
KubernetesバックアップツールVeleroとちょっとした苦労話
KubernetesバックアップツールVeleroとちょっとした苦労話KubernetesバックアップツールVeleroとちょっとした苦労話
KubernetesバックアップツールVeleroとちょっとした苦労話imurata8203
 
分散システムについて語らせてくれ
分散システムについて語らせてくれ分散システムについて語らせてくれ
分散システムについて語らせてくれKumazaki Hiroki
 
Goでかんたんソースコードの静的解析
Goでかんたんソースコードの静的解析Goでかんたんソースコードの静的解析
Goでかんたんソースコードの静的解析Takuya Ueda
 
老害について
老害について老害について
老害についてKen SASAKI
 
PFN のオンプレML基盤の取り組み / オンプレML基盤 on Kubernetes 〜PFN、ヤフー〜
PFN のオンプレML基盤の取り組み / オンプレML基盤 on Kubernetes 〜PFN、ヤフー〜PFN のオンプレML基盤の取り組み / オンプレML基盤 on Kubernetes 〜PFN、ヤフー〜
PFN のオンプレML基盤の取り組み / オンプレML基盤 on Kubernetes 〜PFN、ヤフー〜Preferred Networks
 

More Related Content

What's hot

CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善Ito Takayuki
 
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...NTT DATA Technology & Innovation
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)mosa siru
 
地理分散DBについて
地理分散DBについて地理分散DBについて
地理分散DBについてKumazaki Hiroki
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方Yoshiyasu SAEKI
 
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021Preferred Networks
 
Spannerに関する技術メモ
Spannerに関する技術メモSpannerに関する技術メモ
Spannerに関する技術メモEtsuji Nakai
 
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)NTT DATA Technology & Innovation
 
分散システムの限界について知ろう
分散システムの限界について知ろう分散システムの限界について知ろう
分散システムの限界について知ろうShingo Omura
 
ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理Hyperleger Tokyo Meetup
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語る
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語るKubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語る
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語るPreferred Networks
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 

What's hot (20)

CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
実践!OpenTelemetry と OSS を使った Observability 基盤の構築(CloudNative Days Tokyo 2022 発...
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
 
地理分散DBについて
地理分散DBについて地理分散DBについて
地理分散DBについて
 
KafkaとPulsar
KafkaとPulsarKafkaとPulsar
KafkaとPulsar
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
 
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
 
Spannerに関する技術メモ
Spannerに関する技術メモSpannerに関する技術メモ
Spannerに関する技術メモ
 
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)
その Pod 突然落ちても大丈夫ですか!?(OCHaCafe5 #5 実験!カオスエンジニアリング 発表資料)
 
分散システムの限界について知ろう
分散システムの限界について知ろう分散システムの限界について知ろう
分散システムの限界について知ろう
 
ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理ブロックチェーンを用いた自己主権型デジタルID管理
ブロックチェーンを用いた自己主権型デジタルID管理
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語る
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語るKubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語る
Kubernetes にこれから入るかもしれない注目機能!(2022年11月版) / TechFeed Experts Night #7 〜 コンテナ技術を語る
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptx
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
HTTP/2 入門
HTTP/2 入門HTTP/2 入門
HTTP/2 入門
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬日本マイクロソフト株式会社
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムOCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムオラクルエンジニア通信
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402IO Architect Inc.
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdfYusukeTamura7
 
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Shotaro Suzuki
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説QlikPresalesJapan
 
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介CASAREAL, Inc.
 
はたらく認証
はたらく認証はたらく認証
はたらく認証Tsukasa Kato
 
Azure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAzure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAtomu Hidaka
 
【MicoCloud】サービス紹介資料
【MicoCloud】サービス紹介資料【MicoCloud】サービス紹介資料
【MicoCloud】サービス紹介資料mhamada5
 
ドミノピザおよびJet.comの事例 から学ぶストレスフリーな 顧客体験の作り方
ドミノピザおよびJet.comの事例から学ぶストレスフリーな顧客体験の作り方ドミノピザおよびJet.comの事例から学ぶストレスフリーな顧客体験の作り方
ドミノピザおよびJet.comの事例 から学ぶストレスフリーな 顧客体験の作り方Microsoft Azure Japan
 

Similar to パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可 (20)

Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステムOCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
OCHaCafe2#5 変幻自在♪ 広がるKubernetesのエコシステム
 
Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402Otrs&OTOBO_document 20210402
Otrs&OTOBO_document 20210402
 
20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf20230712_KARAKURI Digital CS Series概要.pdf
20230712_KARAKURI Digital CS Series概要.pdf
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピック
 
Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用Oss事例紹介資料20141111 明日の認証会議 掲載用
Oss事例紹介資料20141111 明日の認証会議 掲載用
 
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
Enterprise agile dev ops-and-xr-techonology-adoption-for-fintech-20180324
 
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
TECHTALK 20210126 Qlik Sense SaaSの 認証連携を詳細解説
 
インフラチームの歴史とこれから
インフラチームの歴史とこれからインフラチームの歴史とこれから
インフラチームの歴史とこれから
 
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
日立ソリューションズの取り組みとプラットフォーム関連セション内容のご紹介
 
はたらく認証
はたらく認証はたらく認証
はたらく認証
 
Azure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practiceAzure IoT Plug and Play, the overview and practice
Azure IoT Plug and Play, the overview and practice
 
【MicoCloud】サービス紹介資料
【MicoCloud】サービス紹介資料【MicoCloud】サービス紹介資料
【MicoCloud】サービス紹介資料
 
ドミノピザおよびJet.comの事例 から学ぶストレスフリーな 顧客体験の作り方
ドミノピザおよびJet.comの事例から学ぶストレスフリーな顧客体験の作り方ドミノピザおよびJet.comの事例から学ぶストレスフリーな顧客体験の作り方
ドミノピザおよびJet.comの事例 から学ぶストレスフリーな 顧客体験の作り方
 

More from Hitachi, Ltd. OSS Solution Center.

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Hitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakHitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Hitachi, Ltd. OSS Solution Center.
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Hitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~Hitachi, Ltd. OSS Solution Center.
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現Hitachi, Ltd. OSS Solution Center.
 

More from Hitachi, Ltd. OSS Solution Center. (20)

Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
 

Recently uploaded

解説: Token Extensions - Solana Developer Hub Online #SolDevHub
解説: Token Extensions - Solana Developer Hub Online #SolDevHub解説: Token Extensions - Solana Developer Hub Online #SolDevHub
解説: Token Extensions - Solana Developer Hub Online #SolDevHubK Kinzal
 
00001_test_automation_portfolio_20240227
00001_test_automation_portfolio_2024022700001_test_automation_portfolio_20240227
00001_test_automation_portfolio_20240227ssuserf8ea02
 
20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishinMakoto Mori
 
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介FumieNakayama
 
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdfAyachika Kitazaki
 
20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdfAyachika Kitazaki
 
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんscikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんtoshinori622
 
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 

Recently uploaded (8)

解説: Token Extensions - Solana Developer Hub Online #SolDevHub
解説: Token Extensions - Solana Developer Hub Online #SolDevHub解説: Token Extensions - Solana Developer Hub Online #SolDevHub
解説: Token Extensions - Solana Developer Hub Online #SolDevHub
 
00001_test_automation_portfolio_20240227
00001_test_automation_portfolio_2024022700001_test_automation_portfolio_20240227
00001_test_automation_portfolio_20240227
 
20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin20240227 完全に理解した LT 「mise いいよ mise」 / morishin
20240227 完全に理解した LT 「mise いいよ mise」 / morishin
 
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
Kubernetes環境のアプリケーションバックアップソフトウェアKasten K10ご紹介
 
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf
20240222_Neko_IoTLT_vol9_kitazaki_v1.pdf
 
20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf20240227_IoTLT_vol108____kitazaki_v1.pdf
20240227_IoTLT_vol108____kitazaki_v1.pdf
 
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみんscikit-learn以外の分類器でpipelineを作ってみた! いずみん
scikit-learn以外の分類器でpipelineを作ってみた! いずみん
 
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
COPY FROMで異常データをスキップできるようになった話(第45回 PostgreSQLアンカンファレンス@オンライン 発表資料)
 

パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可

  • 1. © Hitachi, Ltd. 2023. All rights reserved. 株式会社 日立製作所 OSSソリューションセンタ 2023/12/07 田畑 義之 F5 Engage Tokyo 2023 パスキーでリードする NGINXとKeycloakによる効率的な認証・認可
  • 2. 1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 田畑 義之 (たばた よしゆき)  シニアOSSコンサルタント @株式会社 日立製作所 OSSソリューションセンタ  CNCFアンバサダー  GitHub: @y-tabata, LinkedIn: @ytabata • 認証認可やAPI関連分野のソリューション開発&コンサルティング  金融、公共、社会、産業分野における API管理基盤や認証認可システムの導入支援 • 認証認可・API管理関連のOSSへのコントリビュート  Keycloak (IAMのOSS)  3scale (API管理のOSS) • 情報発信  Keycloak書籍  ThinkIT/@ITでのWeb記事連載  Kubecon/Apidays/OAuth Security Workshopなど、国内外のイベントでの登壇
  • 3. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 2
  • 4. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 3
  • 5. 4 © Hitachi, Ltd. 2023. All rights reserved. 認証とは/認可とは  「認証」と「認可」は混同されがちだが、明確に区別して扱う必要がある。 • 「認証」されたからと言って、すべてのリソースへのアクセスが「認可」されたわけで はない。 • 例) 一般ユーザは、たとえ認証されたとしても、管理者向けの機能へのアクセ スを認可されるべきではない。 • 「認証」は必ずしも必須ではない。 • 例) 未認証ユーザがアクセスを認可されるパブリックリソースというものがあ る。 「認証」とは、エンティティの身元(アイデンティティ)を確認するプロセス。 「認可」とは、要求されたアクションまたはサービスが特定のエンティティ に対して承認されていることを確認するプロセス。
  • 6. 5 © Hitachi, Ltd. 2023. All rights reserved. 認証と認可のセキュリティリスク 「認証」や「認可」に関わるセキュリティリスクが重要度の高いセキュリティ リスクとしてリストアップされている。 * OWASP Top 10 API Security Risks - 2023 https://owasp.org/API-Security/editions/2023/en/0x11-t10/ #1 オブジェクトレベルの「認可」の不備 #3 オブジェクトプロパティレベルの「認可」の不備 #5 機能レベルの「認可」の不備 #2 「認証」の不備 #6 機微なビジネスフローへの制限のないアクセス #8 セキュリティの設定ミス #4 制限のないリソース消費 #7 サーバサイドリクエストフォージェリ #9 不適切なインベントリ管理 #10 APIの安全でない使用
  • 7. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 6
  • 8. 7 © Hitachi, Ltd. 2023. All rights reserved. 主な特徴  OAuth 2.0、OpenID ConnectやSAMLなどの 標準仕様に準拠した認証・認可  LDAPサーバやActive Directoryと連携したID 管理  GitHub、Twitter、Facebookなどのユーザアカ ウントを利用したソーシャルログイン Keycloakとは • Keycloakは、IAM (Identity and Access Management: IDアクセス管理)のOSS。 • シングルサインオンや、OAuth 2.0の認可サーバの機能を提供。 • 2023年4月にCNCFのIncubating Projectに選出。 主要標準に準拠した認証・認可 Keycloak LDAP Active Directory RDB OpenID Connect SAML GitHub Twitter Facebook ID管理 ソーシャルログイン
  • 9. 8 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 10. 9 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakによる認証・認可 • 認証・認可を実現するにあたって重要なのは、現在のベストプラクティスに従って標準仕様にセキュアに準拠 すること。 • BFF(Backend For Frontend)やAPIゲートウェイとして、NGINX (NGINX Plus)やNGINX Ingress Controllerを導入することで、効率的に認証・認可を実現できる。 Keycloak 2. APIリクエスト w/ アクセストークン 3. トークンの 検証 1. 標準仕様に準拠した トークン発行 4. トークンの 検証結果 5-2. APIリクエスト NGINX APIゲートウェイ <APIゲートウェイの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. APIリクエスト サードパーティ アプリなど
  • 11. 10 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット  認証・認可を現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  認証・認可機能を集約できる。  開発コスト削減、統一したUXの提供。  認証・認可に関する統制を取りやすい。 • 例) 社内規則に則って、サービスに共通的に2要素認証を導入したいケースなど。 ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み)
  • 12. 11 © Hitachi, Ltd. 2023. All rights reserved. NGINXとKeycloakで認証・認可を実現するメリット ユーザ (ブラウザ) Keycloak 1. アクセス 2. 認証・認可 の委譲 3. ユーザの認証・ 認可の取得 4. 認証・認可 の結果 5-2. アクセス(認証済み) NGINX BFF <BFFの例> ※簡単のため、一部やり取りは省略しています。 サービスB サービスA 5-1. アクセス(認証済み) PEP PDP <認可の例> 開発部に所属し資産管理者のロールを持っているから、サービスAの /resources 配下にリソースを作成することができる。  Keycloakの認可サービス(ABAC*1)を使って、認可を中央集権的に実現できる。  実案件やゼロトラストネットワークの実装のキーとなるきめ細かな認可の実現。  OWASP Top 10 API Security Risks 2023でも言及されているBOLA*2にも有効。 *1) Attribute-Based Access Control (属性ベースのアクセス制御)、*2) Broken Object Level Authorization (オブジェクトレベルの認可の不備)
  • 13. © Hitachi, Ltd. 2023. All rights reserved. 1. 認証と認可のセキュリティリスク 2. NGINXとKeycloakによる効率的な認証・認可 3. 認証・認可の最新戦略 Contents 12
  • 14. 13 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。  2022年の1年間に89%もの組織がフィッシング攻撃の被害にあった。 https://get.hypr.com/2022-state-of-passwordless-security ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <フィッシング攻撃の例>  被害にあうかどうかはエンドユーザのリテラシーの 高さに委ねられる。  OTP認証を第2要素として追加してもフィッシング攻 撃対策にはならない。
  • 15. 14 © Hitachi, Ltd. 2023. All rights reserved. 認証・認可の最新戦略のご紹介 ~パスキー (Passkeys)~  パスキーとは、非対象鍵ペアを使った高いセキュリティを誇るFIDO認証をベースに、秘密鍵を同期することで スケーラビリティの課題を解決した新しい認証技術。  パスワード認証やOTP認証を代表とする従来の認証技術のフィッシング攻撃への脆弱性やパスワード管理 の煩雑さを解消する技術として注目を集めている。 ユーザ 攻撃者が準備したサイト 正規のサイト 攻撃者 1. 攻撃者が準備した サイトに誘導 2. 正規のサイトとそっくりなため パスワードを入力してしまう 3. パスワードを取得 4. 正規サイトのログイン画面に 取得したパスワードを入力 <パスキーによるフィッシング攻撃対策>  オリジンが異なるサイトには正規のサイト へのログインに必要な情報は送られない。  クレデンシャル(秘密鍵)はユーザの持つデバイスの中にあり、攻撃者は取得 できないので正規のサイトへログインに必要な情報を送れない。
  • 16. 15 © Hitachi, Ltd. 2023. All rights reserved. まとめ  「認証」と「認可」は明確に区別して扱う必要があり、かつ重要度の高いセキュリティリスクである。  OWASP Top 10 API Security Risks 2023の上位5つ中4つを占める。  NGINXとKeycloakを組み合わせることで効率的に認証・認可を実現できる。  現在のベストプラクティスに従って標準仕様にセキュアに準拠した形で実現できる。  Keycloakの認可サービス(ABAC)を使って、認可を中央集権的に実現できる。  パスキーという、フィッシング攻撃への脆弱性やパスワード管理の煩雑さを解消する技術として注目を集めて いる認証技術がある。  もちろんNGINXとKeycloakを組み合わせれば、簡単な設定で実現できます!
  • 17. 16 © Hitachi, Ltd. 2023. All rights reserved. プロフェッショナルサービスとサポートサービスのご紹介 日立OSSプロフェッショナルサービス 日立OSSサポートサービス コミュニティ貢献で培った高度な知見を元に、OSS製品の活用を支援します。 上流フェーズ 設計/構築フェーズ 保守/運用フェーズ ※ 支援範囲などは案件ごとに個別で調整いたします。まずはご相談ください。 • 最適な製品/サービスの選定 • 最適なアーキテクチャーの提案 • 認証認可フローの作成 • カスタマイズのフィージビリティ検証 など ■コンサルティングサービス • 設計ドキュメント(基本/詳細など)作成 • 構築(開発/検証/本番環境など)の実施 • カスタマイズ部分の開発 など ■設計/構築支援サービス • カスタマイズ部分の継続利用支援(パッ チ/バージョンアップ時の影響調査や修 正対応など) • 保守開発における計画や方針策定など のコンサルティング ■維持保守支援サービス OSS製品やその周辺技術に関する問い合わせ対応(インシデント制) ■Q&A対応 パッチ/脆弱性情報提供 ■情報提供 製品問い合わせや障害発生時の問い合わせ対応 ■問い合わせサービス 製品を利用するためのライセンスを提供 ■サブスクリプション(製品利用権)
  • 18. 17 © Hitachi, Ltd. 2023. All rights reserved. 日立の強み:APIに関するプレゼンス強化/ノウハウ蓄積の活動 日立はAPIライフサイクル管理や認証認可分野を中心に高度な知見を保有し、OSS開発やプレゼンス向上などコミュニティに貢献しています。 これらの知見を活かし、障害発生時のソースコード詳細調査など、他社ではできないソリューションを提供しています。 OSS開発貢献(Keycloak) ■最新のAPIセキュリティ仕様への準拠をリード - RFC7636(PKCE)対応 (v3.1,v6.0)、Holder of Key対応 (v4.0) 強固な署名アルゴリズム対応 (v4.5)、トークン暗号化(v7.0) など ■主要機能を開発 - WebAuthn対応(v8.0) - OAuth 2.0 Device Authorization Grant対応(v13.0) - CIBA対応(v13.0)、FAPI対応(v14.0) - FAPI-CIBA対応(v15.0) ■日本市場からのニーズに対してパッチ投稿 ■Keycloakメンテナーに日立社員が就任 https://www.hitachi.co.jp/products/it/oss/news/20211026.html プレゼンス向上 ■Keycloakや認証認可分野についてのWeb連載記事を掲載 - ThinkIT: Keycloakで実現するAPIセキュリティ https://thinkit.co.jp/series/9721 - ThinkIT: KeycloakのFAPI1.0対応で実現する高度なAPIセキュリティ https://thinkit.co.jp/article/18829 ■国内外の著名なカンファレンスでの講演 - APIdays Paris(2022/12) “Securing APIs in Open Banking –FAPI implementation to OSS” - Open Identity Summit 2022(2022/07) “Flexible Method for Supporting OAuth 2.0 Based Security Profiles in Keycloak” - APIsecure 2022(2022/04) “Why Assertion-based Access Token is preferred to Handle-based one?” ■Keycloakの書籍執筆 - 「認証と認可 Keycloak入門」(2022/1) - 「実践Keycloak」(2022/10) OSSのメンテナーは、コミュニティの開発プロジェ クトを取りまとめ、開発方針などをリードする責任 者です。 Keycloakコミュニティには、日立社員の乗松さん がグローバルで9番目、日本では初のメンテナー として就任しました。
  • 19. 18 © Hitachi, Ltd. 2023. All rights reserved. 日立はOSSコミュニティリーダーを擁する専門チームを保有し、金融(銀行、保険など)や公共、社会、産業など 様々な分野の案件を多数支援しています。 社外でも認証認可の専門家として認知されており、お客様のご指名で案件対応した実績もあります。 多くの導入実績 CIO補佐官向けに監査説明ができるセキュリ ティ専門家として要望を受け対応。 認証認可のフロー設計やAPI管理基盤構築の 支援を実施。 お客様へOAuthやAPI管理について説明ができ るセキュリティ専門家としての要望を受け対応。 APIゲートウェイや認証認可サーバーの構築支 援を実施。 Red Hat主催のセミナーの日立講演をきっかけ に日立のセキュリティ技術力の高さを評価いた だき、日立をご指名頂いた。 日立の社外著作物で日立のセキュリティ技術 の高さを認知。 お客様のご指名で案件を対応。 専門家としての技術力を評価され 対応した案件の一例 [金融] 某金融機関様 デジタル決済プラットフォーム [公共] 某省庁様 国民向け申請システム [金融] 某金融機関様 API管理基盤構築 [金融] 某金融機関様 認証認可システムのトラブル対応 お客様のご指名で 対応した案件の一例
  • 20. 19 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • GitHub is a trademark or registered trademark of GitHub, Inc. in the United States and other countries. • Red Hat is a registered trademark of Red Hat, Inc. in the United States and other countries. • NGINX and NGINX Plus are registered trademarks of F5, inc. in the United States and other countries. • Twitter is a trademark or registered trademark of X Corp. in the United States and other countries. • Facebook is a trademark or registered trademark of Meta Platforms, Inc. in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
  • 21. © Hitachi, Ltd. 2023. All rights reserved. 20 END パスキーでリードする 2023/12/07 株式会社 日立製作所 OSSソリューションセンタ 田畑 義之 NGINXとKeycloakによる効率的な認証・認可