「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>認証基盤]] *目次 [#l6d274e4] #contents *概要 [#h17ab70c] -メジャーな、OSSの、OAuth2 / OIDC の IdP / STS。 -この分野のソフトウェアとしては最も勢いのあるソフトウェア *詳細 [#n9bab99f] **機能 [#b201b3ec] 割愛、[[コノ辺>認証基盤]]を見て。 **評価 [#iae19dd5] 取り敢えず、探すと、[[コチラ>#qb8b2ed6]]のような情報がある。 色々と検討しましたが、tosierさんの[[Dockerコンポーズ]]が動かなかったので、~ 他のお二方の[[Dockerコマンド]]を[[Dockerコンポーズ]]に組み込んでいくような感じにしました。 ***起動 [#h86506d0] -例 --[[Dockerコマンド]]~ 簡単なメモリストア ---例1 $ docker run -d -p 8080:8080 --network oidc-network -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=password --name keycloak jboss/keycloak ---例2 docker run -d -p 18080:8080 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin --name keycloak jboss/keycloak --[[Dockerコンポーズ]] ---例1~ DBMSストア(mariadb) version: "2" services: ... # KeyCloak keycloak: image: jboss/keycloak:3.4.0.Final restart: always volumes_from: - keycloak-data links: - keycloak-mariadb expose: - "8080" environment: KEYCLOAK_USER: admin KEYCLOAK_PASSWORD: admin PROXY_ADDRESS_FORWARDING: "true" ... 参考:https://github.com/tosier/keycloak-mariadb-dc -自作 --docker-compose.yml~ 簡単なメモリストア version: '3.4' services: keycloak: image: jboss/keycloak:latest restart: always ports: - "8888:8080" environment: KEYCLOAK_USER: seigi KEYCLOAK_PASSWORD: seigi@123 --起動~ おなじみの。 >docker-compose up -d Creating network "keycloak_default" with the default driver Pulling keycloak (jboss/keycloak:latest)... latest: Pulling from jboss/keycloak e96e3a1df3b2: Pull complete 1b99828eddf5: Pull complete 6298f612e428: Pull complete 0d7d3759e7ca: Pull complete 6c0c91dde365: Pull complete Digest: sha256:bb12fd9de6754e20e0021d3ff75e2f5fc0e3544a853cadd3c7fbe7373a80d139 Status: Downloaded newer image for jboss/keycloak:latest Creating keycloak_keycloak_1 ... done --アクセス~ http://localhost:8888/ ***把握 [#qfd339fe] -管理コンソール~ http://localhost:8888/auth/admin/ #ref(login.png,left,nowrap,login)) -メタデータ --.well-known/openid-configuration~ http://localhost:8888/auth/realms/master/.well-known/openid-configuration { "issuer": "http://localhost:8888/auth/realms/master", "authorization_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/auth", "token_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token", "token_introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect", "userinfo_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/userinfo", "end_session_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/logout", "jwks_uri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs", "check_session_iframe": "http://localhost:8888/auth/realms/master/protocol/openid-connect/login-status-iframe.html", "grant_types_supported": [ "authorization_code", "implicit", "refresh_token", "password", "client_credentials" ], "response_types_supported": [ "code", "none", "id_token", "token", "id_token token", "code id_token", "code token", "code id_token token" ], "subject_types_supported": [ "public", "pairwise" ], "id_token_signing_alg_values_supported": [ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512" ], "id_token_encryption_alg_values_supported": [ "RSA-OAEP", "RSA1_5" ], "id_token_encryption_enc_values_supported": [ "A128GCM", "A128CBC-HS256" ], "userinfo_signing_alg_values_supported": [ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512", "none" ], "request_object_signing_alg_values_supported": [ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512", "none" ], "response_modes_supported": [ "query", "fragment", "form_post" ], "registration_endpoint": "http://localhost:8888/auth/realms/master/clients-registrations/openid-connect", "token_endpoint_auth_methods_supported": [ "private_key_jwt", "client_secret_basic", "client_secret_post", "tls_client_auth", "client_secret_jwt" ], "token_endpoint_auth_signing_alg_values_supported": [ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512" ], "claims_supported": [ "aud", "sub", "iss", "auth_time", "name", "given_name", "family_name", "preferred_username", "email", "acr" ], "claim_types_supported": [ "normal" ], "claims_parameter_supported": false, "scopes_supported": [ "openid", "address", "email", "microprofile-jwt", "offline_access", "phone", "profile", "roles", "web-origins" ], "request_parameter_supported": true, "request_uri_parameter_supported": true, "code_challenge_methods_supported": [ "plain", "S256" ], "tls_client_certificate_bound_access_tokens": true, "introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect" } --jwks_uri~ http://localhost:8888/auth/realms/master/protocol/openid-connect/certs { "keys": [ { "kid": "rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q", "kty": "RSA", "alg": "RS256", "use": "sig", "n": "hCnz-ZtjIjfaL_wkOWhdo58UN1ap_bRxFxRnYrJ4pDMbxINhGLN8CUNlWLIwaydjMmbtsjSuJHkmf8TmFJadFu28fcKK8CiDm5kEEu8FeqMuZIQ_36BYQeiljBvuZeIIiLMkUcBfOSS0Qx79GPSek5OucpM7mZAF6A1OrQW9Tm7oN-v8Rrbz2nvTh7_WqWWrcKR4y2SZsC3UXDZsmK9Fz_lVdNBc-iRbU5ylv82WHawZlMUYY4BFsMtSZcRWOXvZQlCjxRP59xaJOlo-oST4wAVHQxuW-078AmcizlNHkdG-3w2Y3qthTD_ffXpbeDRNz3a2ktCITVGtK70uqiyWuQ", "e": "AQAB", "x5c": [ "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" ], "x5t": "fKVUd7VAVPxaQrL-MITaklh33v0", "x5t#S256": "NP-fHl97wx77ZMHX9cvHjbr61R9N0ud2FG95WpYPolo" } ] } --SAML > IDPSSODescriptor~ http://localhost:8888/auth/realms/master/protocol/saml/descriptor <EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Name="urn:keycloak"> <EntityDescriptor entityID="http://localhost:8888/auth/realms/master"> <IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <KeyDescriptor use="signing"> <dsig:KeyInfo> <dsig:KeyName>rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q</dsig:KeyName> <dsig:X509Data> <dsig:X509Certificate>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</dsig:X509Certificate> </dsig:X509Data> </dsig:KeyInfo> </KeyDescriptor> <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/> <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/> <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat> <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/> <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/> <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="http://localhost:8888/auth/realms/master/protocol/saml"/> </IDPSSODescriptor> </EntityDescriptor> </EntitiesDescriptor> ***操作 [#p73b8504] 参考:[[用語>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E8%A8%BC#c44e4a44]] -Client, RP (Relying Party)の登録 --左メニューの「Clients」をクリック~ http://localhost:8888/auth/admin/master/console/#/realms/master/clients --右の方にある「Create」をクリック --「Client ID」を入力して、「Save」をクリック --「Access Type」を「confidential」(Webアプリの意味)に変更 --「Valid Redirect URIs」にWebアプリのリダイレクトURLを入力して「Save」をクリック --「Credentials」のタブをクリックして、「Secret」に表示されるものをメモ -Userアカウント (Resource Owner) の登録 --左メニューの「User」をクリック~ http://localhost:8888/auth/admin/master/console/#/realms/master/users --右の方にある「Add user」をクリック --「Username」を入力して、「Save」をクリック --「Credentials」のタブをクリックし「Password」に任意のパスワードを入力 --「Temporary」のスイッチを「OFF」(初回パスワード変更が不要になる) ***連携 (1) [#v0476d13] [[MVC_sample>https://github.com/OpenTouryoProject/OpenTouryo/tree/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample]]と連携させてみる。 -[[汎用認証サイトの設定>https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSiteCore/MultiPurposeAuthSiteCore/appsettings.json#L295]]をKeycloakに登録する。 "f53469c17c5a432f86ce563b7805ab89": { "client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM", "redirect_uri_code": "http://localhost:58496/Home/OAuth2AuthorizationCodeGrantClient", "redirect_uri_token": "hogehoge0", "client_name": "MVC_Sample" -[[MVC_sampleの設定>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/appsettings.json#L50]]を、汎用認証サイト → Keycloakに変更する。 --AS-IS // OAuth2, OIDC認証 "SpRp_Isser": "https://ssoauth.opentouryo.com", "OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89", "OAuth2AndOidcSecret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM", "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Server.cer", "JwkSetUri": "https://localhost:44300/MultiPurposeAuthSite/jwkcerts/", --TO-BE // OAuth2, OIDC認証 "SpRp_Isser": "http://localhost:8888/auth/realms/master", "OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89", "OAuth2AndOidcSecret": "<Keycloakが生成した値を入力する>", "SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Keycloak.cer", "JwkSetUri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs", ※ SHA256RSA_Keycloak.cer~ ---以下から、鍵(RS256のCertificate)を取得し、~ http://localhost:8888/auth/admin/master/console/#/realms/master/keys ---以下の様にファイルを作成する。~ ・Bag Attributesの部分は不要~ ・改行はあってもなくても良い~ ・コンテナ初回起動時に初期化している~ 様なので削除したら再作成が必要になる。~ -----BEGIN CERTIFICATE----- MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQDDAZtYXN0 ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYDVQQDDAZt YXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5m2MiN9ov /CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2yNK4keSZ/ xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRRwF85JLRD Hv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjLZJmwLdRc NmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPFE/n3Fok6 Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS0IhNUa0r vS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZJWmJd6al ASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFDT6SMZL3j Dun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFBNlgj9pYD y5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VHQDqtjZsc 5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgzgOlCk+pX qUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpLxqVqbRE= -----END CERTIFICATE----- -[[MVC_sampleの実装>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/]]を修正する。 --[[認可リクエスト>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L159]] ---認可エンドポイントをKeycloakの値に変更する。 ---redirect_uriは必須っぽいので追加する。 ---"prompt=none"はダメっぽいので外す。 --[[認可レスポンス>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L202]] ---TokenエンドポイントをKeycloakの値に変更する。 ---UserinfoエンドポイントをKeycloakの値に変更する。 *参考 [#jcab15e1] -Keycloak〜OpenAMに替わるシングルサインオン〜~ OSSでのシステム構築・デージーネット~ https://www.designet.co.jp/ossinfo/keycloak/ -Keycloakとは - Qiita~ https://qiita.com/daian183/items/30f01e162e03567ff21b **入門 [#ye894505] -Keycloak入門~ https://www.slideshare.net/wadahiro/keycloak-106218557 -Keycloak超入門 - @IT~ https://www.atmarkit.co.jp/ait/series/7363/ --(1):マイクロサービス時代のSSOを実現する「Keycloak」とは~ https://www.atmarkit.co.jp/ait/articles/1708/31/news011.html --(2):サンプルアプリケーションでKeycloakのSSO動作を確認してみよう~ https://www.atmarkit.co.jp/ait/articles/1710/04/news008.html --(3):Keycloakクライアントアダプターを利用してAPIサービスを構築してみよう~ https://www.atmarkit.co.jp/ait/articles/1711/08/news009.html --(4):Keycloakのクラスタ環境を構成してみよう~ https://www.atmarkit.co.jp/ait/articles/1801/31/news019.html --(5):Keycloakで外部アイデンティティー・プロバイダーと連携してみよう~ https://www.atmarkit.co.jp/ait/articles/1804/14/news004.html --(6):Keycloakで外部ユーザーストレージに連携してみよう~ https://www.atmarkit.co.jp/ait/articles/1806/18/news007.html --(7):Keycloakで実用的なリバースプロキシ型構成を構築してみよう~ https://www.atmarkit.co.jp/ait/articles/1810/22/news011.html --(8):Keycloakで認可サービスを試してみよう[前編]~ https://www.atmarkit.co.jp/ait/articles/1904/03/news003.html --(最終回):Keycloakで認可サービスを試してみよう[後編]~ https://www.atmarkit.co.jp/ait/articles/1912/06/news008.html **評価 [#qb8b2ed6] -DockerとKeycloakで~ 世界最速OpenID Connect!! | SIOS Tech. Lab~ https://tech-lab.sios.jp/archives/19319 -Qiita --Docker-Composeを使用して~ KeyCloak + リバースプロキシをセットアップする ~ https://qiita.com/tosier/items/c6f64811fde067bfd3c3 --@shibukawa ---OpenID Connectを使ったアプリケーションの~ テストのためにKeycloakを使ってみる~ https://qiita.com/shibukawa/items/fd78d1ca6c23ce2fa8df ---Keycloakの設定をファイルから読み込む~ https://qiita.com/shibukawa/items/70a60622c5cc596d355b