タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で
Keycloakは、シングルページアプリケーション(SPA)、モバイルアプリケーション、REST APIなどのモダンなアプリケーションに焦点を当てた、オープンソースのIdentity and Access Management(IAM)ツールです。 小規模なウェブサイトから、数百万人のユーザーを抱える大企業まで、さまざまなシナリオの本番環境で使用されています。 本書は、開発コミュニティーのプロジェクトリーダーとコアディベロッパーが著した、Keycloakの包括的な解説書です。インストール方法から、管理コンソールやアカウントコンソールの使い方、本番環境での使用に備えた設定方法、ユーザーの管理、トークンとセッションの管理、SPIによるカスタマイズまでを詳しく解説しています。さらに、アプリケーションのセキュリティーを保護する方法や、OAuth 2.0とOpenID Connect(OIDC)を理
「Ubuntu」が最長15年サポートされる!? WSLにも対応した「Ubuntu Pro」を使ってみよう 1月13日 6:30
keycloakを使ってOIDC認証を導入することになり、設定画面で何を設定すべきかなどに困ったのでまとめておく。 前提 OAuth2の基本的な理解 OIDCの基本的な理解() OIDC自体を知りたい場合はこの説明とかがわかりやすいと思う keycloakのOIDCクライアントは作成済み(手順) 極めて単純なkeycloakの要素 keycloakの設定方法が分かりづらいのは管理画面に設定する項目が大量にあるからだが、極めて単純化すると最初に知るべきなのはrealm, client, userくらいである。 realm 用語集の記述を抜粋すると レルムは、ユーザー、クレデンシャル、ロール、および、グループのセットを管理します。ユーザーは属しているレルムにログインします。レルムは互いに分離されており、制御するユーザーのみを管理して、認証することができます。 となっている。言ってみればname
OSSセキュリティ技術の会 第11回勉強会での発表資料です。
Keycloakとは Keycloakはオープンソースのアイデンティティ・アクセス管理(IAM)ソフトウェアです。シングルサインオンやAPIアクセスの認証・認可制御を実現するソフトウェアです。ちょうど6年前である2017年のAdvent Calendarで初めてKeycloakを紹介したときは、この分野のOSSとしてはOpenAMが第一人者的な存在でした。その後、Keycloakは着実に進化し、2023年4月にCNCF(Cloud Native Computing Foundation)のIncubatingプロジェクトとして承認され、ますます注目度が上がっています。今やKeycloakがこの分野の代表的なOSSになったと言えるでしょう。近年ではKeycloak Alternativeを狙う他のOSS1が登場したりと、逆に追いかけられる存在にまでなりました。 Keycloakの提供機能 こ
Keycloakとは インストール Docker でインストールする方法 OpenJDK を用いてインストールする方法 チュートリアル ログイン 一時的なadminユーザを削除する 自分のパスワードを変更する レルムを作成する レルムにユーザを追加する クライアントを作成する OIDCサンプルプログラムと連携 リンク Keycloakとは ID&アクセス管理を行うオープンソースです。 cloak はホテルのコート類預り所を意味します。 シングルサインオン(SSO) に対応し、OpenID Connect や SAML 2.0 の IdP(OP) として動作することができます。 ライセンスは Apache License 2.0 で商用でも無償で利用可能です。 ここでは、現時点の最新版 Keycloak 26.0 を対象として説明します。 インストール Docker でインストールする方法
はじめに #1 からのつづきです。前回はこのフローを作りました。 今回はこの内容を詳しく見ていきます。 フロー図 Flow_OIDC 参考文献 調べていくにあたり以下の資料を見ながら進めて行きます。 OpenID Connect Core 1.0 日本語訳 OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 OpenID Connect Discovery 1.0 OpenID Connect フローには種類があるということを知る OpenID Connect Basic Client Implementer's Guide 1.0 日本語訳 - 2. Protocol Elementsに書いてあるように OpenID Connect には以下の種類があります。 Authorization Code Flow Implicit
NRI OpenStandia Advent Calendar 2020の3日目は、2日目の続きとしてKeycloakのToken Exchangeを活用した話を紹介します。具体的には、AWSのCLIツールなどの利用で必要なAWSアクセスキーの発行をToken Exchange経由で行うというものです。 やりたいこと 皆さんAWSアクセスキーの管理はどのようにされているでしょうか?誤ってGitリポジトリにコミットしちゃって漏洩し、たくさんEC2インスタンスを起動されて高額請求されちゃう、なんていう事故をたまに聞きますよね。ベストプラクティスとしてそもそも発行しない (EC2インスタンスロールなど、IAMロールで制御する)という考え方がありますが、ローカルPCなどから作業したい場合はどうしても発行が必要になります。そのような場合は、有効期限付きの一時的なAWSアクセスキーを使うと漏洩したとき
なお、上記は2023年12月時点でのFIDOアラインスの定義に基づきます。これらの用語はこれまで定義が変化してきたり、FIDOアライアンスの定義が業界のコンセンサスを得ていないケースで意味の揺れがあったりすることもありました。 同期するもののみを指すケース パスキーはFIDOアライアンスの発表では、「マルチデバイスFIDOクレデンシャル」の通称という扱いでした34。つまり、当初はクラウド同期して複数デバイスで使えるもののみがパスキーでした。しかし、パスキーの勢いを見てか分かりませんが、セキュリティキーベンダーが自分たちもパスキーだと主張し始めました5。その後FIDOアライアンスもSingle-device passkey(現: デバイスバウンドパスキー)を定義し、同期しない従来のFIDOクレデンシャルもパスキーとなりました6。 認証方式を指すケース パスキーは「FIDOクレデンシャル」です
様々なシステムを利用する中で、現在ではID/パスワードを使ってユーザ認証をするシステムが大半を占めています。自身で管理するIDやパスワードが増えることで、ユーザは、管理をしやすくするためにパスワードを簡単な文字列にしたり、パスワードの使いまわしをしてしまう可能性があります。その結果、パスワードが漏えいしてしまう危険性が高くなり、不正アクセス被害の原因となります。今回は、不正アクセスの対策にもなる、Keycloakでパスワードを使わずに認証を可能にするパスワードレス認証を紹介します。 パスワードレスの認証方式とは パスワードレス認証とは、パスワード以外の、生体認証や所持認証等の情報を利用してシステムにログインを行う認証方式で、多要素認証(MFA)の一種です。パスワードを使う認証では、ユーザは複数のパスワードを管理する必要がありましたが、生体認証と言われている身体的または行動的特徴を組み合わせ
この記事は、NewsPicks Advent Calendar 2022 の 17 日目の記事になります。 qiita.com こんにちは。AlphaDrive で Web アプリケーションエンジニアをしている fmatzy です。普段は主に Go でバックエンドの開発を行なっています。 現在新規開発中のプロダクトにて、パスワードログインの導入に Keycloak を利用しました。社内ではすでに Keycloak の導入事例があり、かなり参考にできる環境が整っていました。一方で Keycloak 自体は近年 WildFly から Quarkus に移行し、公式含め技術情報が outdated なものが多く見受けられました (例えば、公式の docker-compose の example は WildFly 版がアーカイブされた後 Quarkus 版が追加されていない…)。 本記事では、今
Future Tech Night # 19
2022/02/09(水)に開催された「OSSセキュリティ技術の会 第10回勉強会」の資料です。 https://secureoss-sig.connpass.com/event/235671/
はじめに AWSコンソールに,KeycloakからSAMLでサインインできるようにする設定手順です(2023/11現在)。KeycloakをIdP,AWSコンソールをSPとしたSAML認証の設定を行います。 関連して,記事中で扱うXMLやMapperについて,別記事にまとめました。 設定方法 keycloakの立ち上げ KeycloakはDockerhubの公式イメージで立ち上げます。バージョンは16.1.1でした。 参考 今回はDockerホストの18080番ポートで,TLSなしで起動します。DockerホストのIPアドレスは10.0.99.9です。 AWSのSAML用メタデータを取得 https://signin.aws.amazon.com/static/saml-metadata.xml を取得してローカルに保存しておきます。 keycloak設定その1 http://Docker
【2026年の新常識】「良い質問」より「良い前提」。生成AIを動かすコンテキスト設計 1月8日 6:30
はじめに #2からのつづきです。 今回は以下の点について調べていきます。 ログアウトのフロー ログアウトしないでトップに戻る ログアウトしないでトップに戻ってからの再ログイン アクセストークンの有効期限内の場合 アクセストークンの有効期限が切れている場合 Cookieを削除した場合 再認証 検証環境は #1 を参照してください 1. ログアウトのフロー ログアウトボタンを押すとRPとKeycloak両方ログアウトされます、こういうのを シングルログアウト(SLO) というみたいです。 このシングルログアウトですが、OpenID Connectの仕様はまだ正式ではなく Draft版だそうでmod-auth-openidcとKeycloakで連携しているシングルログアウトも独自なもののようです。 OpenID Connect Front-Channel Logout 1.0 OpenID Co
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 標準化でシステム間のファイル連携を考える時、標準準拠システムが AWS 同士ならば AWS の認証認可の仕組みを使ってオブジェクトストレージ S3 で比較的簡単にファイルを連携できます。しかし、標準準拠システムが AWS とその他の CSP で構成されていたり、オンプレミスと AWS との間でファイル連携が必要だったりする場合、地方公共団体情報システム認証機能・ファイル連携機能に関するリファレンス(推奨指針)ガイド によると認証認可サーバを自前で構築する必要があるとされています。 標準準拠システムのファイル連携における認証認可サーバのた
こんにちは、エンジニアの chota60 です。いま私は、組織を横断した課題と向き合う Platform Unit という部署で、ギフティの様々なプロダクトで使える汎用認証基盤「WAYPoint1」の導入・運用保守・トラブルシューティングまで全てを担当しています。 WAYPoint は Keycloak を中心に据えて実装されていますが、Keycloak の運用をうまく回すのはなかなか簡単ではありません。この記事は、「いい感じに運用できていると思うからドヤりたい・・・!」という純粋な私欲でできています。Keycloak と向き合う誰かの支えになれれば、大変ありがたいです。 概要 この記事では、以下のトピックを取り扱います。 Keycloak とは何か?みたいな基本的な内容は取り扱いません。 Keycloak の権限管理はどうして大変になっていくのか ラクに運用するにはどうしたら良いのか 成
オープンソースソフトウエア(OSS)はもはやシステム開発には不可欠なほどに存在感を強めた。ベンダーにとって開発・運営への参加は直接的に売り上げや利益をもたらさなくとも、OSSへの顧客ニーズの反映や受注で大きなアドバンテージを得ることにつながる。 ただ、多くのOSSの運営はボランティアや善意に頼るところが大きい。営利を目的とする企業が足を踏み入れるのはメリットが少ないようにも思えるが、日立製作所はアイデンティティー・アクセス管理のOSSソフトウエア「Keycloak」の開発プロジェクトなどをとりまとめる「メンテナー」に人材を輩出した。無報酬となるこのポジションはどういうもので、日立がメンテナーに人材を輩出した意味合いとは何か。 OSSは公開されたソースコードを自由に改変したり再配布したりできるソフトウエアを指す。利用できる分野もLinuxをはじめとしたOSやJavaScriptやPython
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く