「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>認証基盤]]
*目次 [#l6d274e4]
#contents
*概要 [#h17ab70c]
-メジャーな、OSSの、OAuth2 / OIDC の IdP / STS。
-この分野のソフトウェアとしては最も勢いのあるソフトウェア
*詳細 [#n9bab99f]
**機能 [#b201b3ec]
割愛、[[コノ辺>認証基盤]]を見て。
**評価 [#iae19dd5]
取り敢えず、探すと、[[コチラ>#qb8b2ed6]]のような情報がある。
色々と検討しましたが、tosierさんの[[Dockerコンポーズ]]が動かなかったので、~
他のお二方の[[Dockerコマンド]]を[[Dockerコンポーズ]]に組み込んでいくような感じにしました。
***起動 [#h86506d0]
-例
--[[Dockerコマンド]]~
簡単なメモリストア
---例1
$ docker run -d -p 8080:8080 --network oidc-network -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=password --name keycloak jboss/keycloak
---例2
docker run -d -p 18080:8080 -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=admin --name keycloak jboss/keycloak
--[[Dockerコンポーズ]]
---例1~
DBMSストア(mariadb)
version: "2"
services:
...
# KeyCloak
keycloak:
image: jboss/keycloak:3.4.0.Final
restart: always
volumes_from:
- keycloak-data
links:
- keycloak-mariadb
expose:
- "8080"
environment:
KEYCLOAK_USER: admin
KEYCLOAK_PASSWORD: admin
PROXY_ADDRESS_FORWARDING: "true"
...
参考:https://github.com/tosier/keycloak-mariadb-dc
-自作
--docker-compose.yml~
簡単なメモリストア
version: '3.4'
services:
keycloak:
image: jboss/keycloak:latest
restart: always
ports:
- "8888:8080"
environment:
KEYCLOAK_USER: seigi
KEYCLOAK_PASSWORD: seigi@123
--起動~
おなじみの。
>docker-compose up -d
Creating network "keycloak_default" with the default driver
Pulling keycloak (jboss/keycloak:latest)...
latest: Pulling from jboss/keycloak
e96e3a1df3b2: Pull complete
1b99828eddf5: Pull complete
6298f612e428: Pull complete
0d7d3759e7ca: Pull complete
6c0c91dde365: Pull complete
Digest: sha256:bb12fd9de6754e20e0021d3ff75e2f5fc0e3544a853cadd3c7fbe7373a80d139
Status: Downloaded newer image for jboss/keycloak:latest
Creating keycloak_keycloak_1 ... done
--アクセス~
http://localhost:8888/
***把握 [#qfd339fe]
-管理コンソール~
http://localhost:8888/auth/admin/
#ref(login.png,left,nowrap,login))
-メタデータ
--.well-known/openid-configuration~
http://localhost:8888/auth/realms/master/.well-known/openid-configuration
{
"issuer": "http://localhost:8888/auth/realms/master",
"authorization_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/auth",
"token_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token",
"token_introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect",
"userinfo_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/userinfo",
"end_session_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/logout",
"jwks_uri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs",
"check_session_iframe": "http://localhost:8888/auth/realms/master/protocol/openid-connect/login-status-iframe.html",
"grant_types_supported": [
"authorization_code",
"implicit",
"refresh_token",
"password",
"client_credentials"
],
"response_types_supported": [
"code",
"none",
"id_token",
"token",
"id_token token",
"code id_token",
"code token",
"code id_token token"
],
"subject_types_supported": [
"public",
"pairwise"
],
"id_token_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"id_token_encryption_alg_values_supported": [
"RSA-OAEP",
"RSA1_5"
],
"id_token_encryption_enc_values_supported": [
"A128GCM",
"A128CBC-HS256"
],
"userinfo_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"request_object_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"response_modes_supported": [
"query",
"fragment",
"form_post"
],
"registration_endpoint": "http://localhost:8888/auth/realms/master/clients-registrations/openid-connect",
"token_endpoint_auth_methods_supported": [
"private_key_jwt",
"client_secret_basic",
"client_secret_post",
"tls_client_auth",
"client_secret_jwt"
],
"token_endpoint_auth_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"claims_supported": [
"aud",
"sub",
"iss",
"auth_time",
"name",
"given_name",
"family_name",
"preferred_username",
"email",
"acr"
],
"claim_types_supported": [
"normal"
],
"claims_parameter_supported": false,
"scopes_supported": [
"openid",
"address",
"email",
"microprofile-jwt",
"offline_access",
"phone",
"profile",
"roles",
"web-origins"
],
"request_parameter_supported": true,
"request_uri_parameter_supported": true,
"code_challenge_methods_supported": [
"plain",
"S256"
],
"tls_client_certificate_bound_access_tokens": true,
"introspection_endpoint": "http://localhost:8888/auth/realms/master/protocol/openid-connect/token/introspect"
}
--jwks_uri~
http://localhost:8888/auth/realms/master/protocol/openid-connect/certs
{
"keys": [
{
"kid": "rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q",
"kty": "RSA",
"alg": "RS256",
"use": "sig",
"n": "hCnz-ZtjIjfaL_wkOWhdo58UN1ap_bRxFxRnYrJ4pDMbxINhGLN8CUNlWLIwaydjMmbtsjSuJHkmf8TmFJadFu28fcKK8CiDm5kEEu8FeqMuZIQ_36BYQeiljBvuZeIIiLMkUcBfOSS0Qx79GPSek5OucpM7mZAF6A1OrQW9Tm7oN-v8Rrbz2nvTh7_WqWWrcKR4y2SZsC3UXDZsmK9Fz_lVdNBc-iRbU5ylv82WHawZlMUYY4BFsMtSZcRWOXvZQlCjxRP59xaJOlo-oST4wAVHQxuW-078AmcizlNHkdG-3w2Y3qthTD_ffXpbeDRNz3a2ktCITVGtK70uqiyWuQ",
"e": "AQAB",
"x5c": [
"MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQDDAZtYXN0ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYDVQQDDAZtYXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5m2MiN9ov/CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2yNK4keSZ/xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRRwF85JLRDHv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjLZJmwLdRcNmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPFE/n3Fok6Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS0IhNUa0rvS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZJWmJd6alASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFDT6SMZL3jDun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFBNlgj9pYDy5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VHQDqtjZsc5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgzgOlCk+pXqUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpLxqVqbRE="
],
"x5t": "fKVUd7VAVPxaQrL-MITaklh33v0",
"x5t#S256": "NP-fHl97wx77ZMHX9cvHjbr61R9N0ud2FG95WpYPolo"
}
]
}
--SAML > IDPSSODescriptor~
http://localhost:8888/auth/realms/master/protocol/saml/descriptor
<EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" Name="urn:keycloak">
<EntityDescriptor entityID="http://localhost:8888/auth/realms/master">
<IDPSSODescriptor WantAuthnRequestsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<dsig:KeyInfo>
<dsig:KeyName>rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXuiCDNY_Q</dsig:KeyName>
<dsig:X509Data>
<dsig:X509Certificate>MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQDDAZtYXN0ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYDVQQDDAZtYXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5m2MiN9ov/CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2yNK4keSZ/xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRRwF85JLRDHv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjLZJmwLdRcNmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPFE/n3Fok6Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS0IhNUa0rvS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZJWmJd6alASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFDT6SMZL3jDun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFBNlgj9pYDy5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VHQDqtjZsc5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgzgOlCk+pXqUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpLxqVqbRE=</dsig:X509Certificate>
</dsig:X509Data>
</dsig:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="http://localhost:8888/auth/realms/master/protocol/saml"/>
</IDPSSODescriptor>
</EntityDescriptor>
</EntitiesDescriptor>
***操作 [#p73b8504]
参考:[[用語>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%82%AF%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%99%E3%83%BC%E3%82%B9%E8%AA%8D%E8%A8%BC#c44e4a44]]
-Client, RP (Relying Party)の登録
--左メニューの「Clients」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/master/clients
--右の方にある「Create」をクリック
--「Client ID」を入力して、「Save」をクリック
--「Access Type」を「confidential」(Webアプリの意味)に変更
--「Valid Redirect URIs」にWebアプリのリダイレクトURLを入力して「Save」をクリック
--「Credentials」のタブをクリックして、「Secret」に表示されるものをメモ
-Userアカウント (Resource Owner) の登録
--左メニューの「User」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/master/users
--右の方にある「Add user」をクリック
--「Username」を入力して、「Save」をクリック
--「Credentials」のタブをクリックし「Password」に任意のパスワードを入力
--「Temporary」のスイッチを「OFF」(初回パスワード変更が不要になる)
***連携 (1) [#v0476d13]
[[MVC_sample>https://github.com/OpenTouryoProject/OpenTouryo/tree/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample]]と連携させてみる。
-[[汎用認証サイトの設定>https://github.com/OpenTouryoProject/MultiPurposeAuthSite/blob/develop/root/programs/MultiPurposeAuthSiteCore/MultiPurposeAuthSiteCore/appsettings.json#L295]]をKeycloakに登録する。
"f53469c17c5a432f86ce563b7805ab89": {
"client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
"redirect_uri_code": "http://localhost:58496/Home/OAuth2AuthorizationCodeGrantClient",
"redirect_uri_token": "hogehoge0",
"client_name": "MVC_Sample"
-[[MVC_sampleの設定>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/appsettings.json#L50]]を、汎用認証サイト → Keycloakに変更する。
--AS-IS
// OAuth2, OIDC認証
"SpRp_Isser": "https://ssoauth.opentouryo.com",
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89",
"OAuth2AndOidcSecret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-55p21YM",
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Server.cer",
"JwkSetUri": "https://localhost:44300/MultiPurposeAuthSite/jwkcerts/",
--TO-BE
// OAuth2, OIDC認証
"SpRp_Isser": "http://localhost:8888/auth/realms/master",
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b7805ab89",
"OAuth2AndOidcSecret": "<Keycloakが生成した値を入力する>",
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\\SHA256RSA_Keycloak.cer",
"JwkSetUri": "http://localhost:8888/auth/realms/master/protocol/openid-connect/certs",
※ SHA256RSA_Keycloak.cer~
---以下から、鍵(RS256のCertificate)を取得し、~
http://localhost:8888/auth/admin/master/console/#/realms/master/keys
---以下の様にファイルを作成する。~
・Bag Attributesの部分は不要~
・改行はあってもなくても良い~
・コンテナ初回起動時に初期化している~
様なので削除したら再作成が必要になる。~
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
-[[MVC_sampleの実装>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/]]を修正する。
--[[認可リクエスト>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L159]]
---認可エンドポイントをKeycloakの値に変更する。
---redirect_uriは必須っぽいので追加する。
---"prompt=none"はダメっぽいので外す。
--[[認可レスポンス>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Samples4NetCore/Backend/MVC_Sample/MVC_Sample/Controllers/HomeController.cs#L202]]
---TokenエンドポイントをKeycloakの値に変更する。
---UserinfoエンドポイントをKeycloakの値に変更する。
***連携 (2) [#hc3a041e]
[[FrontendTemplates>https://github.com/OpenTouryoProject/FrontendTemplates]]&[[ResourceServerTemplates>https://github.com/OpenTouryoProject/ResourceServerTemplates]]と連携させてみる。
*参考 [#jcab15e1]
-Keycloak〜OpenAMに替わるシングルサインオン〜~
OSSでのシステム構築・デージーネット~
https://www.designet.co.jp/ossinfo/keycloak/
-Keycloakとは - Qiita~
https://qiita.com/daian183/items/30f01e162e03567ff21b
**入門 [#ye894505]
-Keycloak入門~
https://www.slideshare.net/wadahiro/keycloak-106218557
-Keycloak超入門 - @IT~
https://www.atmarkit.co.jp/ait/series/7363/
--(1):マイクロサービス時代のSSOを実現する「Keycloak」とは~
https://www.atmarkit.co.jp/ait/articles/1708/31/news011.html
--(2):サンプルアプリケーションでKeycloakのSSO動作を確認してみよう~
https://www.atmarkit.co.jp/ait/articles/1710/04/news008.html
--(3):Keycloakクライアントアダプターを利用してAPIサービスを構築してみよう~
https://www.atmarkit.co.jp/ait/articles/1711/08/news009.html
--(4):Keycloakのクラスタ環境を構成してみよう~
https://www.atmarkit.co.jp/ait/articles/1801/31/news019.html
--(5):Keycloakで外部アイデンティティー・プロバイダーと連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1804/14/news004.html
--(6):Keycloakで外部ユーザーストレージに連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1806/18/news007.html
--(7):Keycloakで実用的なリバースプロキシ型構成を構築してみよう~
https://www.atmarkit.co.jp/ait/articles/1810/22/news011.html
--(8):Keycloakで認可サービスを試してみよう[前編]~
https://www.atmarkit.co.jp/ait/articles/1904/03/news003.html
--(最終回):Keycloakで認可サービスを試してみよう[後編]~
https://www.atmarkit.co.jp/ait/articles/1912/06/news008.html
**評価 [#qb8b2ed6]
-DockerとKeycloakで~
世界最速OpenID Connect!! | SIOS Tech. Lab~
https://tech-lab.sios.jp/archives/19319
-Qiita
--Docker-Composeを使用して~
KeyCloak + リバースプロキシをセットアップする ~
https://qiita.com/tosier/items/c6f64811fde067bfd3c3
--@shibukawa
---OpenID Connectを使ったアプリケーションの~
テストのためにKeycloakを使ってみる~
https://qiita.com/shibukawa/items/fd78d1ca6c23ce2fa8df
---Keycloakの設定をファイルから読み込む~
https://qiita.com/shibukawa/items/70a60622c5cc596d355b
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
