Submit Search
Upload
KeycloakのDevice Flow、CIBAについて
•
1 like
•
3,148 views
Hiroyuki Wada
Follow
OSSセキュリティ技術の会 第九回勉強会 KeycloakのFAPI CIBA 対応記念の巻 の「KeycloakのDevice Flow、CIBAについて」発表資料です。
Read less
Read more
Software
Report
Share
Report
Share
1 of 33
Download now
Download to read offline
Recommended
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
Keycloak開発入門
Keycloak開発入門
Yuichi Nakamura
Recommended
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
Hitachi, Ltd. OSS Solution Center.
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
Keycloak開発入門
Keycloak開発入門
Yuichi Nakamura
Keycloak & midPoint の紹介
Keycloak & midPoint の紹介
Hiroyuki Wada
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
OpenID Connect入門
OpenID Connect入門
土岐 孝平
Keycloak入門
Keycloak入門
Hiroyuki Wada
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
Fido認証概要説明
Fido認証概要説明
FIDO Alliance
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
Masatoshi Tada
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
Masanori KAMAYAMA
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Kongの概要と導入事例
Kongの概要と導入事例
briscola-tokyo
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
QlikPresalesJapan
More Related Content
What's hot
Keycloak & midPoint の紹介
Keycloak & midPoint の紹介
Hiroyuki Wada
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
OpenID Connect入門
OpenID Connect入門
土岐 孝平
Keycloak入門
Keycloak入門
Hiroyuki Wada
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
Fido認証概要説明
Fido認証概要説明
FIDO Alliance
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
Masatoshi Tada
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
Masanori KAMAYAMA
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Kongの概要と導入事例
Kongの概要と導入事例
briscola-tokyo
What's hot
(20)
Keycloak & midPoint の紹介
Keycloak & midPoint の紹介
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Keycloakの最近のトピック
Keycloakの最近のトピック
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
OpenID Connect入門
OpenID Connect入門
Keycloak入門
Keycloak入門
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Fido認証概要説明
Fido認証概要説明
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Kongの概要と導入事例
Kongの概要と導入事例
Similar to KeycloakのDevice Flow、CIBAについて
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
QlikPresalesJapan
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM,INC
20150715 xflow kikuta_final
20150715 xflow kikuta_final
Kazumasa Ikuta
OAuthのHolder of Key Token
OAuthのHolder of Key Token
Yuichi Nakamura
MVPComCamp2015:Hyper-V仮想スイッチのTipsとTo Be(仮)
MVPComCamp2015:Hyper-V仮想スイッチのTipsとTo Be(仮)
wind06106
Domino v12の新機能 - 多要素認証対応 (TOTP) -
Domino v12の新機能 - 多要素認証対応 (TOTP) -
Haruyuki Nakano
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
Keycloak で SSO #渋谷java
Keycloak で SSO #渋谷java
Yoshimasa Tanabe
インフラエンジニアのためのKrypton For DevOps入門
インフラエンジニアのためのKrypton For DevOps入門
AkiraMidouchi
Docker hands on nifty sakura jul19
Docker hands on nifty sakura jul19
Masahito Zembutsu
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコシステムズ合同会社
FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法
fisuda
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
OSSはどこまで産業用機器に使えるか_20230520.pdf
OSSはどこまで産業用機器に使えるか_20230520.pdf
Kioto Hirahara
最新Web 通信系API総まくり!WebRTC, Streams, Push api etc.
最新Web 通信系API総まくり!WebRTC, Streams, Push api etc.
Kensaku Komatsu
Gaeja20121130
Gaeja20121130
Shinichiro Takezaki
ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理
Hideaki Aoyagi
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
Yasunobu Fukasawa
Similar to KeycloakのDevice Flow、CIBAについて
(20)
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
SORACOM Bootcamp Rec12 | SORACOM Inventory
SORACOM Bootcamp Rec12 | SORACOM Inventory
20150715 xflow kikuta_final
20150715 xflow kikuta_final
OAuthのHolder of Key Token
OAuthのHolder of Key Token
MVPComCamp2015:Hyper-V仮想スイッチのTipsとTo Be(仮)
MVPComCamp2015:Hyper-V仮想スイッチのTipsとTo Be(仮)
Domino v12の新機能 - 多要素認証対応 (TOTP) -
Domino v12の新機能 - 多要素認証対応 (TOTP) -
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Keycloak で SSO #渋谷java
Keycloak で SSO #渋谷java
インフラエンジニアのためのKrypton For DevOps入門
インフラエンジニアのためのKrypton For DevOps入門
Docker hands on nifty sakura jul19
Docker hands on nifty sakura jul19
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
シスコ装置を使い倒す!組込み機能による可視化からセキュリティ強化
FIWARE IoTデバイスを保護する方法
FIWARE IoTデバイスを保護する方法
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
OSSはどこまで産業用機器に使えるか_20230520.pdf
OSSはどこまで産業用機器に使えるか_20230520.pdf
最新Web 通信系API総まくり!WebRTC, Streams, Push api etc.
最新Web 通信系API総まくり!WebRTC, Streams, Push api etc.
Gaeja20121130
Gaeja20121130
ネットワーク構成から考える AWS IaaS 管理
ネットワーク構成から考える AWS IaaS 管理
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
富士市役所におけるCitrix仮想化ソリューション導入成功のポイント ~ノート型ゼロクライアントとICカードログオンの採用~
KeycloakのDevice Flow、CIBAについて
1.
KeycloakのDevice Flow、 CIBAについて OSSセキュリティ技術の会 第九回勉強会 KeycloakのFAPI CIBA
対応記念の巻 Hiroyuki Wada / @wadahiro
2.
今日話すこと ● Device Flow、CIBAの紹介 ●
Keycloakでの使い方、設定のポイントとか
3.
Keycloakの設定 Device Flowについて
4.
Device Flow (OAuth 2.0
Device Authorization Grant) ● ブラウザがない/文字入力に制限のあるデバイス上で動くアプリケーション 向けにトークンを発行するフロー ● 例: スマートTV、プリンターなど ● 利用者は別のデバイス (PCやスマホ) で認証/同意する ● (何度かプルリクエストのリレーを経てようやく ) Keycloak 13.0.0で実装された
5.
出所: https://qiita.com/TakahikoKawasaki/items/78eff94cef92741131f0 ※フローの詳細については既に詳しい日本語記事がいくつかあるのでそちらを参照 ・図解デバイスフロー(RFC 8628) ・OAuth
Device Flow(Draft 8)の概要と感想
6.
出所: https://www.lg.com/jp/support/product-help/CT20160005-20151886218724
7.
出所: https://developer.okta.com/blog/2019/02/19/add-oauth-device-flow-to-any-server
8.
Keycloakの設定 設定のポイント
9.
● クライアント設定で、Device Flowを 有効化するだけ ●
基本的にパブリッククライアントで使う ため、不要なフローは無効化しておこ う
10.
● Consent Requiredはオフにしていて も、Device
Flowでは常に(毎回)同意 が要求される(フィッシング対策のた め)
11.
Device Flowの フィッシングと言えば・・・
12.
先月ちょっと話題に ● Microsoft 365のDevice
Flow実 装におけるフィッシング問題 ● 詳しくは @ritou 先生の日本語記 事を参照 https://zenn.dev/ritou/articles /560ee21f03a727 ● Device Flowそのものの問題では ないが、利用する際は注意が必要 出所: https://www.netskope.com/jp/blog/new-phishing-attacks-exploiting-oauth-authentication-flows-part-2
13.
フィッシングへの備え ● 同意画面での説明 ○ どのクライアントがリソースアクセスを要求しているか説明 ○
要求しているscopeについて説明 ● スコープ設計 ○ 必要最低限の権限をクライアントに渡すようにする
14.
※多言語化も可能です ※テーマをカスタマイズすればもっと好きなようにカスタマイズ可能です ※ただし、15.0.2で「Consent Required」を有効にするとトークンリクエストで エラーとなるバグがあります (プルリク提出済み
) https://issues.redhat.com/browse/KEYCLOAK-19237
15.
● デフォルトでいくつかのスコープ は有効 (Assigned) ●
不要なscopeは利用できないよ うにアサイン解除しておく ● ロールスコープマッピングがデ フォルトではフルスコープ許可に なっている ● リソースサーバにてKeycloakの ロールを利用して認可制御する 場合は注意
16.
Keycloakの設定 CIBAについて
17.
CIBA (OpenID Connect Client
Initiated Backchannel Authentication Flow) ● これまた一味違う新しいフロー ● トークンを必要とするアプリケーションと、実際に認証/同意を行う利用者 のデバイスを分離 ● Device Flowと異なり、ユーザを介したリダイレクトは行わない ● 事前にユーザに紐付けられたスマホなどに直接通知される ● その代わり、フロー開始時にユーザを特定するための情報を与える必要 あり (クライアント認証必須) ● こちらもKeycloak 13.0.0で実装された(Pollモードのみ) ● Keycloak 15.0.0ではPingモードも追加された
18.
CIBA (OpenID Connect Client
Initiated Backchannel Authentication Flow) ● ユースケース ○ コールセンターでのユーザ認証、同意取得 ○ 銀行窓口でのユーザ認証(対面での認証) ○ POS端末での支払いの承認 ○ Googleのスマホでログインの機能
19.
出所: https://ritou.hatenablog.com/entry/2019/03/04/005238 ※フローの詳細については既に詳しい日本語記事があるのでそちらを参照 ・実装者による CIBA
解説 ・OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 詳細もとい感想編
20.
● OP <=>
認証デバイス(AD) 間のやりとりは仕様では決まっていない ● KeycloakはADとどう通信する・・・? CIBAの範囲 出所: https://openid.net/specs/openid-client-initiated-backchannel-authentication-core-1_0.html#auth_server_obtains_consent 出所: https://ritou.hatenablog.com/entry/2019/03/04/005238
21.
● Keycloakでは Decoupled
Auth Server (ドキュメントでは Authentication Entity) というもの を想定している ● KeycloakとHTTP(S)で相互通信を行う (デフォルトSPI実装では) ● Authentication Entity の実装 (ADとのやりとり) はKeycloakの外側で開発者にお任せ 出所: https://github.com/keycloak/keycloak-community/blob/e750f8cbeeaec5506316b6dec765b01f782ffe88/design/client-initiated-backchannel-authentication-flow.md
22.
Authentication Entity の作り方 KeycloakからのHTTPリクエスト (Authentication
Delegation Request) KeycloakへのHTTPリクエスト (Authentication Result Notification) 出所: 受け取ったトークンで返信する login_hintより、ス マホに通知などし て同意を得る
23.
Keycloakの設定 設定のポイント
24.
<subsystem xmlns="urn:jboss:domain:keycloak-server:1.1"> ... <spi name="ciba-auth-channel"> <default-provider>ciba-http-auth-channel</default-provider> <provider
name="ciba-http-auth-channel" enabled="true"> <properties> <property name="httpAuthenticationChannelUri" value="${env.AUTHENTICATION_ENTITY_URL}"/> </properties> </provider> </spi> </subsystem> Authentication Entity の指定 (standalone(-ha).xml 設定)
25.
/subsystem=keycloak-server/spi=ciba-auth-channel/:add(default-provider=ciba-http-auth-channel) /subsystem=keycloak-server/spi=ciba-auth-channel/provider=ciba-http-auth-channel:add(enabled=tru e,properties={httpAuthenticationChannelUri=${env.AUTHENTICATION_ENTITY_URL}}) Authentication Entity の指定
(CLIで設定の場合)
26.
● クライアント設定で、Access Typeを confidential
にする。 ● 後は、CIBAを有効化するだけ ● こちらも不要なフローは無効化しておく とよい
27.
後は Authentication Entity
を用意 ● ここの実装はCIBAのユースケース次第 ● 設定ではなく開発・・・ ● よく紹介されるコンシューマ向けの用途ではなく、エンタープライズ向けで 何か利用できないか考えて試しに実装してみました
28.
試したユースケースと実装方式 社内のある重要なWebアプリにアクセスする際には、管理者による承認がないとアクセス不可としたい チャットツール(Mattermost)にBotよりDMでメッセージを送りチャットツール上で許可を得る 3) ログイン 6) 承認依頼 7)
許可 1) アクセス 2) 未認証のためリダイレクト (OIDCの認可コードフロー開始 ) 9) アクセス 4) 認証リクエスト (CIBAのフロー開始) 5) Authentication Delegation Request 8) Authentication Result Notification
29.
2) 未認証のためリダイレクト (OIDCの認可コードフロー開始 ) 試したユースケースと実装方式 社内のある重要なWebアプリにアクセスする際には、管理者による承認がないとアクセス不可としたい チャットツール(Mattermost)にBotよりDMでメッセージを送りチャットツール上で許可を得る 3)
ログイン 6) 承認依頼 7) 許可 1) アクセス 9) アクセス 4) 認証リクエスト (CIBAのフロー開始) 5) Authentication Delegation Request 8) Authentication Result Notification ここがCIBAの利 用範囲 このケースでは Keycloak自身がCIBAの クライアントになる
30.
デモ Keycloakのアカウント管理画 面をアプリケーションとみたて て実行
31.
参考) 作ったもの ● https://github.com/wadahiro/mattermost-plugin-keycloak-ciba ○
Mattermost用プラグイン ■ Authentication Entityの役割の実装(HTTP受付、KeycloakにPOST)、Botを 使いDMでユーザとやりとり ○ Keycloak拡張部品 ■ Mattermost用AuthenticationChannelProvider ● デフォルトSPI実装だとMattermostにBearerトークンが弾かれたため泣く 泣く実装 ■ CIBAAuthenticator ● CIBAクライアントの実装 ● 認証フローの最後に必須として設定
32.
Keycloakの設定 まとめ
33.
まとめ ● Keycloakでついに Device
Flow / CIBA が使えるようになりました ● Device Flowはフィッシングを念頭に置いて、ご利用は計画的に ● CIBAの利用例として、社内チャットツールを連携したアクセス許可を試してみ ました ● 皆さんも CIBA のユースケースを考えてみてください!
Download now