Keycloak
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>認証基盤]]
*目次 [#l6d274e4]
#contents
*概要 [#h17ab70c]
-メジャーな、OSSの、OAuth2 / OIDC の IdP / STS。
-この分野のソフトウェアとしては最も勢いのあるソフトウェア
*詳細 [#n9bab99f]
**機能 [#b201b3ec]
割愛、[[コノ辺>認証基盤]]を見て。
**使い方 [#iae19dd5]
取り敢えず、探すと、[[コチラ>#qb8b2ed6]]のような情報があ...
色々と検討しましたが、tosierさんの[[Dockerコンポーズ]]が...
他のお二方の[[Dockerコマンド]]を[[Dockerコンポーズ]]に組...
***起動 [#h86506d0]
-例
--[[Dockerコマンド]]~
簡単なメモリストア
---例1
$ docker run -d -p 8080:8080 --network oidc-network -e K...
---例2
docker run -d -p 18080:8080 -e KEYCLOAK_USER=admin -e KE...
--[[Dockerコンポーズ]]
---例1~
DBMSストア(mariadb)
version: "2"
services:
...
# KeyCloak
keycloak:
image: jboss/keycloak:3.4.0.Final
restart: always
volumes_from:
- keycloak-data
links:
- keycloak-mariadb
expose:
- "8080"
environment:
KEYCLOAK_USER: admin
KEYCLOAK_PASSWORD: admin
PROXY_ADDRESS_FORWARDING: "true"
...
参考:https://github.com/tosier/keycloak-mariadb-dc
-自作
--docker-compose.yml~
簡単なメモリストア
version: '3.4'
services:
keycloak:
image: jboss/keycloak:latest
restart: always
ports:
- "8888:8080"
environment:
KEYCLOAK_USER: xxx
KEYCLOAK_PASSWORD: yyy
--起動~
おなじみの。
>docker-compose up -d
Creating network "keycloak_default" with the default dri...
Pulling keycloak (jboss/keycloak:latest)...
latest: Pulling from jboss/keycloak
e96e3a1df3b2: Pull complete
1b99828eddf5: Pull complete
6298f612e428: Pull complete
0d7d3759e7ca: Pull complete
6c0c91dde365: Pull complete
Digest: sha256:bb12fd9de6754e20e0021d3ff75e2f5fc0e3544a8...
Status: Downloaded newer image for jboss/keycloak:latest
Creating keycloak_keycloak_1 ... done
--アクセス~
http://localhost:8888/
***把握 [#qfd339fe]
-管理コンソール~
http://localhost:8888/auth/admin/
#ref(login.png,left,nowrap,login))
-メタデータ
--.well-known/openid-configuration~
http://localhost:8888/auth/realms/master/.well-known/open...
{
"issuer": "http://localhost:8888/auth/realms/master",
"authorization_endpoint": "http://localhost:8888/aut...
"token_endpoint": "http://localhost:8888/auth/realms...
"token_introspection_endpoint": "http://localhost:88...
"userinfo_endpoint": "http://localhost:8888/auth/rea...
"end_session_endpoint": "http://localhost:8888/auth/...
"jwks_uri": "http://localhost:8888/auth/realms/maste...
"check_session_iframe": "http://localhost:8888/auth/...
"grant_types_supported": [
"authorization_code",
"implicit",
"refresh_token",
"password",
"client_credentials"
],
"response_types_supported": [
"code",
"none",
"id_token",
"token",
"id_token token",
"code id_token",
"code token",
"code id_token token"
],
"subject_types_supported": [
"public",
"pairwise"
],
"id_token_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"id_token_encryption_alg_values_supported": [
"RSA-OAEP",
"RSA1_5"
],
"id_token_encryption_enc_values_supported": [
"A128GCM",
"A128CBC-HS256"
],
"userinfo_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"request_object_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"response_modes_supported": [
"query",
"fragment",
"form_post"
],
"registration_endpoint": "http://localhost:8888/auth...
"token_endpoint_auth_methods_supported": [
"private_key_jwt",
"client_secret_basic",
"client_secret_post",
"tls_client_auth",
"client_secret_jwt"
],
"token_endpoint_auth_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"claims_supported": [
"aud",
"sub",
"iss",
"auth_time",
"name",
"given_name",
"family_name",
"preferred_username",
"email",
"acr"
],
"claim_types_supported": [
"normal"
],
"claims_parameter_supported": false,
"scopes_supported": [
"openid",
"address",
"email",
"microprofile-jwt",
"offline_access",
"phone",
"profile",
"roles",
"web-origins"
],
"request_parameter_supported": true,
"request_uri_parameter_supported": true,
"code_challenge_methods_supported": [
"plain",
"S256"
],
"tls_client_certificate_bound_access_tokens": true,
"introspection_endpoint": "http://localhost:8888/aut...
}
--jwks_uri~
http://localhost:8888/auth/realms/master/protocol/openid-...
{
"keys": [
{
"kid": "rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXu...
"kty": "RSA",
"alg": "RS256",
"use": "sig",
"n": "hCnz-ZtjIjfaL_wkOWhdo58UN1ap_bRxFxRnYr...
"e": "AQAB",
"x5c": [
"MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQs...
],
"x5t": "fKVUd7VAVPxaQrL-MITaklh33v0",
"x5t#S256": "NP-fHl97wx77ZMHX9cvHjbr61R9N0ud...
}
]
}
--SAML > IDPSSODescriptor~
http://localhost:8888/auth/realms/master/protocol/saml/de...
<EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:m...
<EntityDescriptor entityID="http://localhost:8888/auth...
<IDPSSODescriptor WantAuthnRequestsSigned="true" pro...
<KeyDescriptor use="signing">
<dsig:KeyInfo>
<dsig:KeyName>rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjX...
<dsig:X509Data>
<dsig:X509Certificate>MIICmzCCAYMCBgFyxiN00TANBg...
</dsig:X509Data>
</dsig:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="urn:oasis:names:tc:S...
<SingleLogoutService Binding="urn:oasis:names:tc:S...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-f...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
</IDPSSODescriptor>
</EntityDescriptor>
</EntitiesDescriptor>
***操作 [#p73b8504]
参考:[[用語>https://techinfoofmicrosofttech.osscons.jp/i...
-Client, RP (Relying Party)の登録
--左メニューの「Clients」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/...
--右の方にある「Create」をクリック
--「Client ID」を入力して、「Save」をクリック
--「Access Type」を以下の様に変更
---「public」(スマホ・アプリの意味)
---「confidential」(Webアプリの意味)
--「Valid Redirect URIs」にスマホ・アプリ / Webアプリ~
のリダイレクトURLを入力して「Save」をクリック
--「Access Type」に
---「confidential」を選択した場合、~
「Credentials」のタブをクリックして、~
「Secret」に表示されている文字列をメモ
---「public」を選択した場合、~
「Web Origins」にCORSで許可するURIを入力
-Userアカウント (Resource Owner) の登録
--左メニューの「User」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/...
--右の方にある「Add user」をクリック
--「Username」を入力して、「Save」をクリック
--「Credentials」のタブをクリックし「Password」に任意のパ...
--「Temporary」のスイッチを「OFF」(初回パスワード変更が...
**連携 [#hfdad179]
***コンパチ (1) [#v0476d13]
[[MVC_sample>https://github.com/OpenTouryoProject/OpenTou...
-[[汎用認証サイトのMVC_Sampleの設定>https://github.com/Op...
Keycloakに登録する(MVC_Sampleは&color(red){confidential ...
"f53469c17c5a432f86ce563b7805ab89": {
"client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-...
"redirect_uri_code": "http://localhost:58496/Home/OAut...
"redirect_uri_token": "hogehoge0",
"client_name": "MVC_Sample"
},
-[[MVC_sampleの設定>https://github.com/OpenTouryoProject/...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// OAuth2, OIDC認証
"SpRp_Isser": "https://ssoauth.opentouryo.com",
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b780...
"OAuth2AndOidcSecret": "cKdwJb6mRKVIJpGxEWjIC94zquQlt...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X5...
"JwkSetUri": "https://localhost:44300/MultiPurposeAut...
--TO-BE
// OAuth2, OIDC認証
"SpRp_Isser": "http://localhost:8888/auth/realms/mast...
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b780...
"OAuth2AndOidcSecret": "<Keycloakが生成した値を入力す...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X5...
"JwkSetUri": "http://localhost:8888/auth/realms/maste...
※ SHA256RSA_Keycloak.cer~
---以下から、鍵(RS256のCertificate)を取得し、~
http://localhost:8888/auth/admin/master/console/#/realms/...
---以下の様にファイルを作成する。~
・Bag Attributesの部分は不要~
・改行はあってもなくても良い~
・コンテナ初回起動時に初期化している~
様なので削除したら再作成が必要になる。~
-----BEGIN CERTIFICATE-----
MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQD...
ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYD...
YXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5...
/CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2y...
xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRR...
Hv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjL...
NmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPF...
Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS...
vS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZ...
ASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFD...
Dun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFB...
y5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VH...
5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgz...
qUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpL...
-----END CERTIFICATE-----
-[[MVC_sampleの実装>https://github.com/OpenTouryoProject/...
--[[認可リクエスト>https://github.com/OpenTouryoProject/O...
---認可エンドポイントをKeycloakの値に変更する。
---redirect_uriはOIDCでは必須なので追加する。
---"prompt=none"はダメっぽいので外す。
--[[認可レスポンス>https://github.com/OpenTouryoProject/O...
---TokenエンドポイントをKeycloakの値に変更する。~
複数指定可能なので、ココでも、redirect_uriが必要。~
また、ココでは、HttpUtility.HtmlEncodeでエンコをする。
---UserinfoエンドポイントをKeycloakの値に変更する。
***コンパチ (2) [#hc3a041e]
[[FrontendTemplates>https://github.com/OpenTouryoProject/...
-[[汎用認証サイトのSPA_Sampleの設定>https://github.com/Op...
Keycloakに登録する(SPA_Sampleは&color(red){public client...
"f374a155909d486a9234693c34e94479": {
"client_secret": "z54lhkewWPl4hk3eF1WYwvdqt7Fz24jYamLP...
"redirect_uri_code": "http://localhost:3000/RedirectEn...
"redirect_uri_token": "",
"client_name": "SPA_Application"
},
-[[SPA_Sampleの設定>https://github.com/OpenTouryoProject/...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// const.js
let FrontendHostRootUrl = 'http://localhost:3000';
let AuthServerRootUrl = 'https://localhost:44300/MultiPu...
let ResourcesServerRootUrl = 'http://localhost:8888';
let constants = {
BaseUrl: '~/',
ClientId: 'f374a155909d486a9234693c34e94479',
AuthRequestUrl: AuthServerRootUrl + '/authorize',
TokenRequestUrl: AuthServerRootUrl + '/token',
UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
FetchDataRootUrl: FrontendHostRootUrl + '/api/sample...
CrudSampleRootUrl: ResourcesServerRootUrl + '/api/js...
};
--TO-BE
// const.js
let FrontendHostRootUrl = 'http://localhost:3000';
let AuthServerRootUrl = 'http://localhost:8888/auth/real...
let ResourcesServerRootUrl = 'http://localhost:9999';
let constants = {
BaseUrl: '~/',
ClientId: 'f374a155909d486a9234693c34e94479',
AuthRequestUrl: AuthServerRootUrl + '/auth',
TokenRequestUrl: AuthServerRootUrl + '/token',
UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
FetchDataRootUrl: FrontendHostRootUrl + '/api/sample...
CrudSampleRootUrl: ResourcesServerRootUrl + '/api/js...
};
※ Auth ServerとResource Serverのポート競合のため、Resourc...
-[[ResourceServerTemplatesの設定>https://github.com/OpenT...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// OAuth2, OIDC認証
"JwkSetUri": "https://localhost:44300/MultiPurposeAuthSi...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\...
"SpRp_Isser": "https://ssoauth.opentouryo.com",
--TO-BE
// OAuth2, OIDC認証
"JwkSetUri": "http://localhost:8888/auth/realms/master/p...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\...
"SpRp_Isser": "http://localhost:8888/auth/realms/master",
-[[SPA_Sampleの実装>https://github.com/OpenTouryoProject/...
--[[認可リクエスト>https://github.com/OpenTouryoProject/F...
---redirect_uriはOAuth2でも必須っぽいので追加する。
---scopeをKeycloakでサポートされているものに絞る。
let params =
"?client_id={0}&response_type=code&scope=profile"
+ "&state={1}&code_challenge={2}&code_challenge_metho...
+ "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedi...
--[[認可レスポンス>https://github.com/OpenTouryoProject/F...
---Tokenエンドポイントにredirect_uriを送る。
const body =
"grant_type=authorization_code"
+ "&client_id=" + ClientId
+ "&code=" + code
+ "&code_verifier=" + code_verifier
+ "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedi...
*参考 [#jcab15e1]
-Keycloak〜OpenAMに替わるシングルサインオン〜~
OSSでのシステム構築・デージーネット~
https://www.designet.co.jp/ossinfo/keycloak/
**入門 [#ye894505]
-Keycloak入門~
https://www.slideshare.net/wadahiro/keycloak-106218557
***Think IT [#d3db9a3b]
-Keycloakで実現するAPIセキュリティ 記事一覧~
https://thinkit.co.jp/series/9721
--第1回 : KeycloakによるAPIセキュリティの基本~
https://thinkit.co.jp/article/17559
--第2回 : Keycloakのインストールと構築例~
https://thinkit.co.jp/article/17621
***@IT [#qb3a31b3]
-Keycloak超入門~
https://www.atmarkit.co.jp/ait/series/7363/
--(1):マイクロサービス時代のSSOを実現する「Keycloak」...
https://www.atmarkit.co.jp/ait/articles/1708/31/news011.h...
--(2):サンプルアプリケーションでKeycloakのSSO動作を確...
https://www.atmarkit.co.jp/ait/articles/1710/04/news008.h...
--(3):Keycloakクライアントアダプターを利用してAPIサー...
https://www.atmarkit.co.jp/ait/articles/1711/08/news009.h...
--(4):Keycloakのクラスタ環境を構成してみよう~
https://www.atmarkit.co.jp/ait/articles/1801/31/news019.h...
--(5):Keycloakで外部アイデンティティー・プロバイダーと...
https://www.atmarkit.co.jp/ait/articles/1804/14/news004.h...
--(6):Keycloakで外部ユーザーストレージに連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1806/18/news007.h...
--(7):Keycloakで実用的なリバースプロキシ型構成を構築し...
https://www.atmarkit.co.jp/ait/articles/1810/22/news011.h...
--(8):Keycloakで認可サービスを試してみよう[前編]~
https://www.atmarkit.co.jp/ait/articles/1904/03/news003.h...
--(最終回):Keycloakで認可サービスを試してみよう[後編]~
https://www.atmarkit.co.jp/ait/articles/1912/06/news008.h...
**評価 [#qb8b2ed6]
-DockerとKeycloakで~
世界最速OpenID Connect!! | SIOS Tech. Lab~
https://tech-lab.sios.jp/archives/19319
***Qiita [#ue2bdf48]
-Keycloakとは~
https://qiita.com/daian183/items/30f01e162e03567ff21b
-Docker-Composeを使用して~
KeyCloak + リバースプロキシをセットアップする ~
https://qiita.com/tosier/items/c6f64811fde067bfd3c3
-@shibukawa
--OpenID Connectを使ったアプリケーションの~
テストのためにKeycloakを使ってみる~
https://qiita.com/shibukawa/items/fd78d1ca6c23ce2fa8df
--Keycloakの設定をファイルから読み込む~
https://qiita.com/shibukawa/items/70a60622c5cc596d355b
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>認証基盤]]
*目次 [#l6d274e4]
#contents
*概要 [#h17ab70c]
-メジャーな、OSSの、OAuth2 / OIDC の IdP / STS。
-この分野のソフトウェアとしては最も勢いのあるソフトウェア
*詳細 [#n9bab99f]
**機能 [#b201b3ec]
割愛、[[コノ辺>認証基盤]]を見て。
**使い方 [#iae19dd5]
取り敢えず、探すと、[[コチラ>#qb8b2ed6]]のような情報があ...
色々と検討しましたが、tosierさんの[[Dockerコンポーズ]]が...
他のお二方の[[Dockerコマンド]]を[[Dockerコンポーズ]]に組...
***起動 [#h86506d0]
-例
--[[Dockerコマンド]]~
簡単なメモリストア
---例1
$ docker run -d -p 8080:8080 --network oidc-network -e K...
---例2
docker run -d -p 18080:8080 -e KEYCLOAK_USER=admin -e KE...
--[[Dockerコンポーズ]]
---例1~
DBMSストア(mariadb)
version: "2"
services:
...
# KeyCloak
keycloak:
image: jboss/keycloak:3.4.0.Final
restart: always
volumes_from:
- keycloak-data
links:
- keycloak-mariadb
expose:
- "8080"
environment:
KEYCLOAK_USER: admin
KEYCLOAK_PASSWORD: admin
PROXY_ADDRESS_FORWARDING: "true"
...
参考:https://github.com/tosier/keycloak-mariadb-dc
-自作
--docker-compose.yml~
簡単なメモリストア
version: '3.4'
services:
keycloak:
image: jboss/keycloak:latest
restart: always
ports:
- "8888:8080"
environment:
KEYCLOAK_USER: xxx
KEYCLOAK_PASSWORD: yyy
--起動~
おなじみの。
>docker-compose up -d
Creating network "keycloak_default" with the default dri...
Pulling keycloak (jboss/keycloak:latest)...
latest: Pulling from jboss/keycloak
e96e3a1df3b2: Pull complete
1b99828eddf5: Pull complete
6298f612e428: Pull complete
0d7d3759e7ca: Pull complete
6c0c91dde365: Pull complete
Digest: sha256:bb12fd9de6754e20e0021d3ff75e2f5fc0e3544a8...
Status: Downloaded newer image for jboss/keycloak:latest
Creating keycloak_keycloak_1 ... done
--アクセス~
http://localhost:8888/
***把握 [#qfd339fe]
-管理コンソール~
http://localhost:8888/auth/admin/
#ref(login.png,left,nowrap,login))
-メタデータ
--.well-known/openid-configuration~
http://localhost:8888/auth/realms/master/.well-known/open...
{
"issuer": "http://localhost:8888/auth/realms/master",
"authorization_endpoint": "http://localhost:8888/aut...
"token_endpoint": "http://localhost:8888/auth/realms...
"token_introspection_endpoint": "http://localhost:88...
"userinfo_endpoint": "http://localhost:8888/auth/rea...
"end_session_endpoint": "http://localhost:8888/auth/...
"jwks_uri": "http://localhost:8888/auth/realms/maste...
"check_session_iframe": "http://localhost:8888/auth/...
"grant_types_supported": [
"authorization_code",
"implicit",
"refresh_token",
"password",
"client_credentials"
],
"response_types_supported": [
"code",
"none",
"id_token",
"token",
"id_token token",
"code id_token",
"code token",
"code id_token token"
],
"subject_types_supported": [
"public",
"pairwise"
],
"id_token_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"id_token_encryption_alg_values_supported": [
"RSA-OAEP",
"RSA1_5"
],
"id_token_encryption_enc_values_supported": [
"A128GCM",
"A128CBC-HS256"
],
"userinfo_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"request_object_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512",
"none"
],
"response_modes_supported": [
"query",
"fragment",
"form_post"
],
"registration_endpoint": "http://localhost:8888/auth...
"token_endpoint_auth_methods_supported": [
"private_key_jwt",
"client_secret_basic",
"client_secret_post",
"tls_client_auth",
"client_secret_jwt"
],
"token_endpoint_auth_signing_alg_values_supported": [
"PS384",
"ES384",
"RS384",
"HS256",
"HS512",
"ES256",
"RS256",
"HS384",
"ES512",
"PS256",
"PS512",
"RS512"
],
"claims_supported": [
"aud",
"sub",
"iss",
"auth_time",
"name",
"given_name",
"family_name",
"preferred_username",
"email",
"acr"
],
"claim_types_supported": [
"normal"
],
"claims_parameter_supported": false,
"scopes_supported": [
"openid",
"address",
"email",
"microprofile-jwt",
"offline_access",
"phone",
"profile",
"roles",
"web-origins"
],
"request_parameter_supported": true,
"request_uri_parameter_supported": true,
"code_challenge_methods_supported": [
"plain",
"S256"
],
"tls_client_certificate_bound_access_tokens": true,
"introspection_endpoint": "http://localhost:8888/aut...
}
--jwks_uri~
http://localhost:8888/auth/realms/master/protocol/openid-...
{
"keys": [
{
"kid": "rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjXXu...
"kty": "RSA",
"alg": "RS256",
"use": "sig",
"n": "hCnz-ZtjIjfaL_wkOWhdo58UN1ap_bRxFxRnYr...
"e": "AQAB",
"x5c": [
"MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQs...
],
"x5t": "fKVUd7VAVPxaQrL-MITaklh33v0",
"x5t#S256": "NP-fHl97wx77ZMHX9cvHjbr61R9N0ud...
}
]
}
--SAML > IDPSSODescriptor~
http://localhost:8888/auth/realms/master/protocol/saml/de...
<EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:m...
<EntityDescriptor entityID="http://localhost:8888/auth...
<IDPSSODescriptor WantAuthnRequestsSigned="true" pro...
<KeyDescriptor use="signing">
<dsig:KeyInfo>
<dsig:KeyName>rJi_COdJ0jzDRkMrFUA2YA6YdRKLFWnvjX...
<dsig:X509Data>
<dsig:X509Certificate>MIICmzCCAYMCBgFyxiN00TANBg...
</dsig:X509Data>
</dsig:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="urn:oasis:names:tc:S...
<SingleLogoutService Binding="urn:oasis:names:tc:S...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-f...
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-f...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
<SingleSignOnService Binding="urn:oasis:names:tc:S...
</IDPSSODescriptor>
</EntityDescriptor>
</EntitiesDescriptor>
***操作 [#p73b8504]
参考:[[用語>https://techinfoofmicrosofttech.osscons.jp/i...
-Client, RP (Relying Party)の登録
--左メニューの「Clients」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/...
--右の方にある「Create」をクリック
--「Client ID」を入力して、「Save」をクリック
--「Access Type」を以下の様に変更
---「public」(スマホ・アプリの意味)
---「confidential」(Webアプリの意味)
--「Valid Redirect URIs」にスマホ・アプリ / Webアプリ~
のリダイレクトURLを入力して「Save」をクリック
--「Access Type」に
---「confidential」を選択した場合、~
「Credentials」のタブをクリックして、~
「Secret」に表示されている文字列をメモ
---「public」を選択した場合、~
「Web Origins」にCORSで許可するURIを入力
-Userアカウント (Resource Owner) の登録
--左メニューの「User」をクリック~
http://localhost:8888/auth/admin/master/console/#/realms/...
--右の方にある「Add user」をクリック
--「Username」を入力して、「Save」をクリック
--「Credentials」のタブをクリックし「Password」に任意のパ...
--「Temporary」のスイッチを「OFF」(初回パスワード変更が...
**連携 [#hfdad179]
***コンパチ (1) [#v0476d13]
[[MVC_sample>https://github.com/OpenTouryoProject/OpenTou...
-[[汎用認証サイトのMVC_Sampleの設定>https://github.com/Op...
Keycloakに登録する(MVC_Sampleは&color(red){confidential ...
"f53469c17c5a432f86ce563b7805ab89": {
"client_secret": "cKdwJb6mRKVIJpGxEWjIC94zquQltw_ECfO-...
"redirect_uri_code": "http://localhost:58496/Home/OAut...
"redirect_uri_token": "hogehoge0",
"client_name": "MVC_Sample"
},
-[[MVC_sampleの設定>https://github.com/OpenTouryoProject/...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// OAuth2, OIDC認証
"SpRp_Isser": "https://ssoauth.opentouryo.com",
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b780...
"OAuth2AndOidcSecret": "cKdwJb6mRKVIJpGxEWjIC94zquQlt...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X5...
"JwkSetUri": "https://localhost:44300/MultiPurposeAut...
--TO-BE
// OAuth2, OIDC認証
"SpRp_Isser": "http://localhost:8888/auth/realms/mast...
"OAuth2AndOidcClientID": "f53469c17c5a432f86ce563b780...
"OAuth2AndOidcSecret": "<Keycloakが生成した値を入力す...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X5...
"JwkSetUri": "http://localhost:8888/auth/realms/maste...
※ SHA256RSA_Keycloak.cer~
---以下から、鍵(RS256のCertificate)を取得し、~
http://localhost:8888/auth/admin/master/console/#/realms/...
---以下の様にファイルを作成する。~
・Bag Attributesの部分は不要~
・改行はあってもなくても良い~
・コンテナ初回起動時に初期化している~
様なので削除したら再作成が必要になる。~
-----BEGIN CERTIFICATE-----
MIICmzCCAYMCBgFyxiN00TANBgkqhkiG9w0BAQsFADARMQ8wDQYDVQQD...
ZXIwHhcNMjAwNjE4MDYzMzMxWhcNMzAwNjE4MDYzNTExWjARMQ8wDQYD...
YXN0ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCEKfP5...
/CQ5aF2jnxQ3Vqn9tHEXFGdisnikMxvEg2EYs3wJQ2VYsjBrJ2MyZu2y...
xOYUlp0W7bx9worwKIObmQQS7wV6oy5khD/foFhB6KWMG+5l4giIsyRR...
Hv0Y9J6Tk65ykzuZkAXoDU6tBb1Obug36/xGtvPae9OHv9apZatwpHjL...
NmyYr0XP+VV00Fz6JFtTnKW/zZYdrBmUxRhjgEWwy1JlxFY5e9lCUKPF...
Wj6hJPjABUdDG5b7TvwCZyLOU0eR0b7fDZjeq2FMP999elt4NE3PdraS...
vS6qLJa5AgMBAAEwDQYJKoZIhvcNAQELBQADggEBAFDVbczLPEWeM+bZ...
ASl5oZ7HQoiDC7LF/gYR9Gd/h+YbN+rCL3/WbimjPr+R5nUnud3LxiFD...
Dun2S3OJ0tgbWOh7vb5Z/YaBAlNpe4AAtNBWcPKe6ftG4AaIh0EeJZFB...
y5KvBQ4mDbZ5+ormrkhFomVJZk3ngHtVUGQFZZbByZupmStdQR39N+VH...
5is8LC1/kKOQUOgDQxfpXqG2Y8rCfyj0wN/JxB97EdA5S1yvLu/RQbgz...
qUgpANh6winILHi9HmQR214el2Y9oYWaCjzCj59D4s+5CCIUd762QfpL...
-----END CERTIFICATE-----
-[[MVC_sampleの実装>https://github.com/OpenTouryoProject/...
--[[認可リクエスト>https://github.com/OpenTouryoProject/O...
---認可エンドポイントをKeycloakの値に変更する。
---redirect_uriはOIDCでは必須なので追加する。
---"prompt=none"はダメっぽいので外す。
--[[認可レスポンス>https://github.com/OpenTouryoProject/O...
---TokenエンドポイントをKeycloakの値に変更する。~
複数指定可能なので、ココでも、redirect_uriが必要。~
また、ココでは、HttpUtility.HtmlEncodeでエンコをする。
---UserinfoエンドポイントをKeycloakの値に変更する。
***コンパチ (2) [#hc3a041e]
[[FrontendTemplates>https://github.com/OpenTouryoProject/...
-[[汎用認証サイトのSPA_Sampleの設定>https://github.com/Op...
Keycloakに登録する(SPA_Sampleは&color(red){public client...
"f374a155909d486a9234693c34e94479": {
"client_secret": "z54lhkewWPl4hk3eF1WYwvdqt7Fz24jYamLP...
"redirect_uri_code": "http://localhost:3000/RedirectEn...
"redirect_uri_token": "",
"client_name": "SPA_Application"
},
-[[SPA_Sampleの設定>https://github.com/OpenTouryoProject/...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// const.js
let FrontendHostRootUrl = 'http://localhost:3000';
let AuthServerRootUrl = 'https://localhost:44300/MultiPu...
let ResourcesServerRootUrl = 'http://localhost:8888';
let constants = {
BaseUrl: '~/',
ClientId: 'f374a155909d486a9234693c34e94479',
AuthRequestUrl: AuthServerRootUrl + '/authorize',
TokenRequestUrl: AuthServerRootUrl + '/token',
UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
FetchDataRootUrl: FrontendHostRootUrl + '/api/sample...
CrudSampleRootUrl: ResourcesServerRootUrl + '/api/js...
};
--TO-BE
// const.js
let FrontendHostRootUrl = 'http://localhost:3000';
let AuthServerRootUrl = 'http://localhost:8888/auth/real...
let ResourcesServerRootUrl = 'http://localhost:9999';
let constants = {
BaseUrl: '~/',
ClientId: 'f374a155909d486a9234693c34e94479',
AuthRequestUrl: AuthServerRootUrl + '/auth',
TokenRequestUrl: AuthServerRootUrl + '/token',
UserInfoRequestUrl: AuthServerRootUrl + '/userinfo',
FetchDataRootUrl: FrontendHostRootUrl + '/api/sample...
CrudSampleRootUrl: ResourcesServerRootUrl + '/api/js...
};
※ Auth ServerとResource Serverのポート競合のため、Resourc...
-[[ResourceServerTemplatesの設定>https://github.com/OpenT...
汎用認証サイト → Keycloakに変更する。
--AS-IS
// OAuth2, OIDC認証
"JwkSetUri": "https://localhost:44300/MultiPurposeAuthSi...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\...
"SpRp_Isser": "https://ssoauth.opentouryo.com",
--TO-BE
// OAuth2, OIDC認証
"JwkSetUri": "http://localhost:8888/auth/realms/master/p...
"SpRp_RsaCerFilePath": "C:\\root\\files\\resource\\X509\...
"SpRp_Isser": "http://localhost:8888/auth/realms/master",
-[[SPA_Sampleの実装>https://github.com/OpenTouryoProject/...
--[[認可リクエスト>https://github.com/OpenTouryoProject/F...
---redirect_uriはOAuth2でも必須っぽいので追加する。
---scopeをKeycloakでサポートされているものに絞る。
let params =
"?client_id={0}&response_type=code&scope=profile"
+ "&state={1}&code_challenge={2}&code_challenge_metho...
+ "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedi...
--[[認可レスポンス>https://github.com/OpenTouryoProject/F...
---Tokenエンドポイントにredirect_uriを送る。
const body =
"grant_type=authorization_code"
+ "&client_id=" + ClientId
+ "&code=" + code
+ "&code_verifier=" + code_verifier
+ "&redirect_uri=http%3A%2F%2Flocalhost%3A3000%2FRedi...
*参考 [#jcab15e1]
-Keycloak〜OpenAMに替わるシングルサインオン〜~
OSSでのシステム構築・デージーネット~
https://www.designet.co.jp/ossinfo/keycloak/
**入門 [#ye894505]
-Keycloak入門~
https://www.slideshare.net/wadahiro/keycloak-106218557
***Think IT [#d3db9a3b]
-Keycloakで実現するAPIセキュリティ 記事一覧~
https://thinkit.co.jp/series/9721
--第1回 : KeycloakによるAPIセキュリティの基本~
https://thinkit.co.jp/article/17559
--第2回 : Keycloakのインストールと構築例~
https://thinkit.co.jp/article/17621
***@IT [#qb3a31b3]
-Keycloak超入門~
https://www.atmarkit.co.jp/ait/series/7363/
--(1):マイクロサービス時代のSSOを実現する「Keycloak」...
https://www.atmarkit.co.jp/ait/articles/1708/31/news011.h...
--(2):サンプルアプリケーションでKeycloakのSSO動作を確...
https://www.atmarkit.co.jp/ait/articles/1710/04/news008.h...
--(3):Keycloakクライアントアダプターを利用してAPIサー...
https://www.atmarkit.co.jp/ait/articles/1711/08/news009.h...
--(4):Keycloakのクラスタ環境を構成してみよう~
https://www.atmarkit.co.jp/ait/articles/1801/31/news019.h...
--(5):Keycloakで外部アイデンティティー・プロバイダーと...
https://www.atmarkit.co.jp/ait/articles/1804/14/news004.h...
--(6):Keycloakで外部ユーザーストレージに連携してみよう~
https://www.atmarkit.co.jp/ait/articles/1806/18/news007.h...
--(7):Keycloakで実用的なリバースプロキシ型構成を構築し...
https://www.atmarkit.co.jp/ait/articles/1810/22/news011.h...
--(8):Keycloakで認可サービスを試してみよう[前編]~
https://www.atmarkit.co.jp/ait/articles/1904/03/news003.h...
--(最終回):Keycloakで認可サービスを試してみよう[後編]~
https://www.atmarkit.co.jp/ait/articles/1912/06/news008.h...
**評価 [#qb8b2ed6]
-DockerとKeycloakで~
世界最速OpenID Connect!! | SIOS Tech. Lab~
https://tech-lab.sios.jp/archives/19319
***Qiita [#ue2bdf48]
-Keycloakとは~
https://qiita.com/daian183/items/30f01e162e03567ff21b
-Docker-Composeを使用して~
KeyCloak + リバースプロキシをセットアップする ~
https://qiita.com/tosier/items/c6f64811fde067bfd3c3
-@shibukawa
--OpenID Connectを使ったアプリケーションの~
テストのためにKeycloakを使ってみる~
https://qiita.com/shibukawa/items/fd78d1ca6c23ce2fa8df
--Keycloakの設定をファイルから読み込む~
https://qiita.com/shibukawa/items/70a60622c5cc596d355b
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
