「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>認証基盤]]

*目次 [#l6d274e4]
#contents

*概要 [#h17ab70c]
-メジャーな、OSSの、OAuth2 / OIDC の IdP / STS。
-この分野のソフトウェアとしては最も勢いのあるソフトウェア

*詳細 [#n9bab99f]

**機能 [#b201b3ec]
割愛、[[コノ辺>認証基盤]]を見て。

**使い方 [#iae19dd5]
取り敢えず、探すと、[[コチラ>#qb8b2ed6]]のような情報がある。

色々と検討しましたが、tosierさんの[[Dockerコンポーズ]]が動かなかったので、~
他のお二方の[[Dockerコマンド]]を[[Dockerコンポーズ]]に組み込んでいくような感じにしました。

***起動 [#h86506d0]
-例
--[[Dockerコマンド]]~
簡単なメモリストア
---例1
 $ docker run -d -p 8080:8080 --network oidc-network -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=password --name keycloak jboss/keycloak
---例2
 docker run -d -p 18080:8080 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin --name keycloak jboss/keycloak

--[[Dockerコンポーズ]]
---例1~
DBMSストア(mariadb)
 version: "2"
 
 services:
 ...
 
 # KeyCloak
   keycloak:
     image: jboss/keycloak:3.4.0.Final
     restart: always
     volumes_from:
       - keycloak-data
     links:
       - keycloak-mariadb
     expose:
       - "8080"
     environment:
       KEYCLOAK_USER: admin
       KEYCLOAK_PASSWORD: admin
       PROXY_ADDRESS_FORWARDING: "true"
 
 ...
参考:https://github.com/tosier/keycloak-mariadb-dc

-自作
--docker-compose.yml~
簡単なメモリストア
 version: '3.4'
 
 services:
   keycloak:
     image: jboss/keycloak:latest
     restart: always
     ports:
       - "8888:8080"
     environment:
       KEYCLOAK_USER: seigi
       KEYCLOAK_PASSWORD: seigi@123

--起動~
おなじみの。
 >docker-compose up -d
 Creating network "keycloak_default" with the default driver
 Pulling keycloak (jboss/keycloak:latest)...
 latest: Pulling from jboss/keycloak
 e96e3a1df3b2: Pull complete
 1b99828eddf5: Pull complete
 6298f612e428: Pull complete
 0d7d3759e7ca: Pull complete
 6c0c91dde365: Pull complete
 Digest: sha256:bb12fd9de6754e20e0021d3ff75e2f5fc0e3544a853cadd3c7fbe7373a80d139
 Status: Downloaded newer image for jboss/keycloak:latest
 Creating keycloak_keycloak_1 ... done

--アクセス~
http://localhost:8888/

***把握 [#qfd339fe]
-管理コンソール~
http://localhost:8888/auth/admin/
#ref(login.png,left,nowrap,login))

-メタデータ
--.well-known/openid-configuration~
http://localhost:8888/auth/realms/master/.well-known/openid-configuration
 {
     "issuer": "http://localhost:8888/auth/realms/master",
     "authorization_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/auth",
     "token_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token",
     "token_introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect",
     "userinfo_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/userinfo",
     "end_session_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/logout",
     "jwks_uri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs",
     "check_session_iframe": "http://localhost:8888/auth/realms/master/protocol/openid-connect/login-status-iframe.html",
     "grant_types_supported": [
         "authorization_code",
         "implicit",
         "refresh_token",
         "password",
         "client_credentials"
     ],
     "response_types_supported": [
         "code",
         "none",
         "id_token",
         "token",
         "id_token token",
         "code id_token",
         "code token",
         "code id_token token"
     ],
     "subject_types_supported": [
         "public",
         "pairwise"
     ],
     "id_token_signing_alg_values_supported": [
         "PS384",
         "ES384",
         "RS384",
         "HS256",
         "HS512",
         "ES256",
         "RS256",
         "HS384",
         "ES512",
         "PS256",
         "PS512",
         "RS512"
     ],
     "id_token_encryption_alg_values_supported": [
         "RSA-OAEP",
         "RSA1_5"
     ],
     "id_token_encryption_enc_values_supported": [
         "A128GCM",
         "A128CBC-HS256"
     ],
     "userinfo_signing_alg_values_supported": [
         "PS384",
         "ES384",
         "RS384",
         "HS256",
         "HS512",
         "ES256",
         "RS256",
         "HS384",
         "ES512",
         "PS256",
         "PS512",
         "RS512",
         "none"
     ],
     "request_object_signing_alg_values_supported": [
         "PS384",
         "ES384",
         "RS384",
         "HS256",
         "HS512",
         "ES256",
         "RS256",
         "HS384",
         "ES512",
         "PS256",
         "PS512",
         "RS512",
         "none"
     ],
     "response_modes_supported": [
         "query",
         "fragment",
         "form_post"
     ],
     "registration_endpoint": "http://localhost:8888/auth/realms/master/clients-registrations/openid-connect",
     "token_endpoint_auth_methods_supported": [
         "private_key_jwt",
         "client_secret_basic",
         "client_secret_post",
         "tls_client_auth",
         "client_secret_jwt"
     ],
     "token_endpoint_auth_signing_alg_values_supported": [
         "PS384",
         "ES384",
         "RS384",
         "HS256",
         "HS512",
         "ES256",
         "RS256",
         "HS384",
         "ES512",
         "PS256",
         "PS512",
         "RS512"
     ],
     "claims_supported": [
         "aud",
         "sub",
         "iss",
         "auth_time",
         "name",
         "given_name",
         "family_name",
         "preferred_username",
         "email",
         "acr"
     ],
     "claim_types_supported": [
         "normal"
     ],
     "claims_parameter_supported": false,
     "scopes_supported": [
         "openid",
         "address",
         "email",
         "microprofile-jwt",
         "offline_access",
         "phone",
         "profile",
         "roles",
         "web-origins"
     ],
     "request_parameter_supported": true,
     "request_uri_parameter_supported": true,
     "code_challenge_methods_supported": [
         "plain",
         "S256"
     ],
     "tls_client_certificate_bound_access_tokens": true,
     "introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect"
 }

--jwks_uri~
http://localhost:8888/auth/realms/master/protocol/openid-connect/certs
 {
     "keys": [
         {
             "kid": "rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q",
             "kty": "RSA",
             "alg": "RS256",
             "use": "sig",
             "n": "hCnz-ZtjIjfaL_wkOWhdo58UN1ap_bRxFxRnYrJ4pDMbxINhGLN8CUNlWLIwaydjMmbtsjSuJHkmf8TmFJadFu28fcKK8CiDm5kEEu8FeqMuZIQ_36BYQeiljBvuZeIIiLMkUcBfOSS0Qx79GPSek5OucpM7mZAF6A1OrQW9Tm7oN-v8Rrbz2nvTh7_WqWWrcKR4y2SZsC3UXDZsmK9Fz_lVdNBc-iRbU5ylv82WHawZlMUYY4BFsMtSZcRWOXvZQlCjxRP59xaJOlo-oST4wAVHQxuW-078AmcizlNHkdG-3w2Y3qthTD_ffXpbeDRNz3a2ktCITVGtK70uqiyWuQ",
             "e": "AQAB",
             "x5c": [
                 "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"
             ],
             "x5t": "fKVUd7VAVPxaQrL-MITaklh33v0",
             "x5t#S256": "NP-fHl97wx77ZMHX9cvHjbr61R9N0ud2FG95WpYPolo"
         }
     ]
 }

--SAML > IDPSSODescriptor~
http://localhost:8888/auth/realms/master/protocol/saml/descriptor
 <EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Name="urn:keycloak">
   <EntityDescriptor entityID="http://localhost:8888/auth/realms/master">
     <IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
       <KeyDescriptor use="signing">
         <dsig:KeyInfo>
         <dsig:KeyName>rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q</dsig:KeyName>
         <dsig:X509Data>
         <dsig:X509Certificate>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</dsig:X509Certificate>
         </dsig:X509Data>
         </dsig:KeyInfo>
       </KeyDescriptor>
       <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
       <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
       <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
       <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
       <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
       <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
       <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
       <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
       <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
     </IDPSSODescriptor>
   </EntityDescriptor>
 </EntitiesDescriptor>

***操作 [#p73b8504]
参考:[[用語>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E8%A8%BC#c44e4a44]]

-Client, RP (Relying Party)の登録

--左メニューの「Clients」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/master/clients

--右の方にある「Create」をクリック

--「Client ID」を入力して、「Save」をクリック

--「Access Type」を以下の様に変更
---「public」(スマホ・アプリの意味)
---「confidential」(Webアプリの意味)

--「Valid Redirect URIs」にスマホ・アプリ / Webアプリ~
のリダイレクトURLを入力して「Save」をクリック

--「Access Type」に
---「confidential」を選択した場合、~
「Credentials」のタブをクリックして、~
「Secret」に表示されている文字列をメモ
---「public」を選択した場合、~
「Web Origins」にCORSで許可するURIを入力

-Userアカウント (Resource Owner) の登録

--左メニューの「User」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/master/users

--右の方にある「Add user」をクリック

--「Username」を入力して、「Save」をクリック

--「Credentials」のタブをクリックし「Password」に任意のパスワードを入力

--「Temporary」のスイッチを「OFF」(初回パスワード変更が不要になる)

**連携 [#hfdad179]

***コンパチ (1) [#v0476d13]
[[MVC_sample>https://github.com/OpenTouryoProject/OpenTouryo/tree/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample]]と連携させてみる。

-[[汎用認証サイトのMVC_Sampleの設定>https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSiteCore/MultiPurposeAuthSiteCore/appsettings.json#L295]]を~
Keycloakに登録する(MVC_Sampleは&color(red){confidential client};)
 "f53469c17c5a432f86ce563b7805ab89": {
   "client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
   "redirect_uri_code": "http://localhost:58496/Home/OAuth2AuthorizationCodeGrantClient",
   "redirect_uri_token": "hogehoge0",
   "client_name": "MVC_Sample"
 },

-[[MVC_sampleの設定>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/appsettings.json#L50]]を、~
汎用認証サイト → Keycloakに変更する。

--AS-IS
    // OAuth2, OIDC認証
    "SpRp_Isser": "https://ssoauth.opentouryo.com",
    "OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89",
    "OAuth2AndOidcSecret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
    "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Server.cer",
    "JwkSetUri": "https://localhost:44300/MultiPurposeAuthSite/jwkcerts/",
--TO-BE
    // OAuth2, OIDC認証
    "SpRp_Isser": "http://localhost:8888/auth/realms/master",
    "OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89",
    "OAuth2AndOidcSecret": "<Keycloakが生成した値を入力する>",
    "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Keycloak.cer",
    "JwkSetUri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs",
※ SHA256RSA_Keycloak.cer~
---以下から、鍵(RS256のCertificate)を取得し、~
http://localhost:8888/auth/admin/master/console/#/realms/master/keys
---以下の様にファイルを作成する。~
・Bag Attributesの部分は不要~
・改行はあってもなくても良い~
・コンテナ初回起動時に初期化している~
 様なので削除したら再作成が必要になる。~
 -----BEGIN CERTIFICATE-----
 MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQDDAZtYXN0
 ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYDVQQDDAZt
 YXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5m2MiN9ov
 /CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2yNK4keSZ/
 xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRRwF85JLRD
 Hv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjLZJmwLdRc
 NmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPFE/n3Fok6
 Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS0IhNUa0r
 vS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZJWmJd6al
 ASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFDT6SMZL3j
 Dun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFBNlgj9pYD
 y5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VHQDqtjZsc
 5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgzgOlCk+pX
 qUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpLxqVqbRE=
 -----END CERTIFICATE-----

-[[MVC_sampleの実装>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/]]を修正する。
--[[認可リクエスト>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L159]]
---認可エンドポイントをKeycloakの値に変更する。
---redirect_uriはOIDCでは必須なので追加する。
---"prompt=none"はダメっぽいので外す。

--[[認可レスポンス>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L202]]

---TokenエンドポイントをKeycloakの値に変更する。~
複数指定可能なので、ココでも、redirect_uriが必要。~
また、ココでは、HttpUtility.HtmlEncodeでエンコをする。

---UserinfoエンドポイントをKeycloakの値に変更する。

***コンパチ (2) [#hc3a041e]
[[FrontendTemplates>https://github.com/OpenTouryoProject/FrontendTemplates]]&[[ResourceServerTemplates>https://github.com/OpenTouryoProject/ResourceServerTemplates]]と連携させてみる。

-[[汎用認証サイトのSPA_Sampleの設定>https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSiteCore/MultiPurposeAuthSiteCore/appsettings.json#L307]]を~
Keycloakに登録する(SPA_Sampleは&color(red){public client};)。
 "f374a155909d486a9234693c34e94479": {
   "client_secret": "z54lhkewWPl4hk3eF1WYwvdqt7Fz24jYamLPZFVnWpA",
   "redirect_uri_code": "http://localhost:3000/RedirectEndpoint",
   "redirect_uri_token": "",
   "client_name": "SPA_Application"
 },

-[[SPA_Sampleの設定>https://github.com/OpenTouryoProject/FrontendTemplates/blob/develop/UI/SPA/React/react_template/src/const.js]]を、~
汎用認証サイト → Keycloakに変更する。

--AS-IS
 // const.js
 let FrontendHostRootUrl = 'http://localhost:3000';
 let AuthServerRootUrl = 'https://localhost:44300/MultiPurposeAuthSite';
 let ResourcesServerRootUrl = 'http://localhost:8888';
 
 let constants = {
     BaseUrl: '~/',
     ClientId: 'f374a155909d486a9234693c34e94479',
     AuthRequestUrl: AuthServerRootUrl + '/authorize',
     TokenRequestUrl: AuthServerRootUrl + '/token',
     UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
     FetchDataRootUrl: FrontendHostRootUrl + '/api/sampledata/weatherforecasts?',
     CrudSampleRootUrl: ResourcesServerRootUrl + '/api/json/'
 };
--TO-BE
 // const.js
 let FrontendHostRootUrl = 'http://localhost:3000';
 let AuthServerRootUrl = 'http://localhost:8888/auth/realms/master/protocol/openid-connect';
 let ResourcesServerRootUrl = 'http://localhost:9999';
 
 let constants = {
     BaseUrl: '~/',
     ClientId: 'f374a155909d486a9234693c34e94479',
     AuthRequestUrl: AuthServerRootUrl + '/auth',
     TokenRequestUrl: AuthServerRootUrl + '/token',
     UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
     FetchDataRootUrl: FrontendHostRootUrl + '/api/sampledata/weatherforecasts?',
     CrudSampleRootUrl: ResourcesServerRootUrl + '/api/json/'
 };
※ Auth ServerとResource Serverのポート競合のため、Resource Serverを9999に変更。

-[[ResourceServerTemplatesの設定>https://github.com/OpenTouryoProject/ResourceServerTemplates/blob/develop/root/programs/ASPNETWebServiceCore/ASPNETWebServiceCore/appsettings.json#L71]]を、~
汎用認証サイト → Keycloakに変更する。
--AS-IS
 // OAuth2, OIDC認証
 "JwkSetUri": "https://localhost:44300/MultiPurposeAuthSite/jwkcerts/",
 "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Server.cer",
 "SpRp_Isser": "https://ssoauth.opentouryo.com",

--TO-BE
 // OAuth2, OIDC認証
 "JwkSetUri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs",
 "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Keycloak.cer",
 "SpRp_Isser": "http://localhost:8888/auth/realms/master",

-[[SPA_Sampleの実装>https://github.com/OpenTouryoProject/FrontendTemplates/blob/develop/UI/SPA/React/react_template/src]]を修正する。
--[[認可リクエスト>https://github.com/OpenTouryoProject/FrontendTemplates/blob/develop/UI/SPA/React/react_template/src/components/SignIn.js]]
---redirect_uriはOAuth2でも必須っぽいので追加する。
---scopeをKeycloakでサポートされているものに絞る。
  let params =
    "?client_id={0}&response_type=code&scope=profile"
    + "&state={1}&code_challenge={2}&code_challenge_method=S256&response_mode=fragment"
    + "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedirectEndpoint";

--[[認可レスポンス>https://github.com/OpenTouryoProject/FrontendTemplates/blob/develop/UI/SPA/React/react_template/src/common.js]]
---Tokenエンドポイントにredirect_uriを送る。
  const body = 
    "grant_type=authorization_code"
    + "&client_id=" + ClientId
    + "&code=" + code
    + "&code_verifier=" + code_verifier
    + "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedirectEndpoint";

*参考 [#jcab15e1]
-Keycloak〜OpenAMに替わるシングルサインオン〜~
OSSでのシステム構築・デージーネット~
https://www.designet.co.jp/ossinfo/keycloak/

-Keycloakとは - Qiita~
https://qiita.com/daian183/items/30f01e162e03567ff21b

**入門 [#ye894505]
-Keycloak入門~
https://www.slideshare.net/wadahiro/keycloak-106218557

***Think IT [#d3db9a3b]
-Keycloakで実現するAPIセキュリティ 記事一覧~
https://thinkit.co.jp/series/9721
--第1回 : KeycloakによるAPIセキュリティの基本~
https://thinkit.co.jp/article/17559
--第2回 : Keycloakのインストールと構築例~
https://thinkit.co.jp/article/17621

***@IT [#qb3a31b3]
-Keycloak超入門~
https://www.atmarkit.co.jp/ait/series/7363/
--(1):マイクロサービス時代のSSOを実現する「Keycloak」とは~
https://www.atmarkit.co.jp/ait/articles/1708/31/news011.html
--(2):サンプルアプリケーションでKeycloakのSSO動作を確認してみよう~
https://www.atmarkit.co.jp/ait/articles/1710/04/news008.html
--(3):Keycloakクライアントアダプターを利用してAPIサービスを構築してみよう~
https://www.atmarkit.co.jp/ait/articles/1711/08/news009.html
--(4):Keycloakのクラスタ環境を構成してみよう~
https://www.atmarkit.co.jp/ait/articles/1801/31/news019.html
--(5):Keycloakで外部アイデンティティー・プロバイダーと連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1804/14/news004.html
--(6):Keycloakで外部ユーザーストレージに連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1806/18/news007.html
--(7):Keycloakで実用的なリバースプロキシ型構成を構築してみよう~
https://www.atmarkit.co.jp/ait/articles/1810/22/news011.html
--(8):Keycloakで認可サービスを試してみよう[前編]~
https://www.atmarkit.co.jp/ait/articles/1904/03/news003.html
--(最終回):Keycloakで認可サービスを試してみよう[後編]~
https://www.atmarkit.co.jp/ait/articles/1912/06/news008.html

**評価 [#qb8b2ed6]
-DockerとKeycloakで~
世界最速OpenID Connect!! | SIOS Tech. Lab~
https://tech-lab.sios.jp/archives/19319

***Qiita [#ue2bdf48]
-Keycloakとは~
https://qiita.com/daian183/items/30f01e162e03567ff21b

-Docker-Composeを使用して~
KeyCloak + リバースプロキシをセットアップする ~
https://qiita.com/tosier/items/c6f64811fde067bfd3c3

-@shibukawa

--OpenID Connectを使ったアプリケーションの~
テストのためにKeycloakを使ってみる~
https://qiita.com/shibukawa/items/fd78d1ca6c23ce2fa8df

--Keycloakの設定をファイルから読み込む~
https://qiita.com/shibukawa/items/70a60622c5cc596d355b

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS