RockyLinux 8.xやRedHat 8.x で運用できるQuarkus対応のKeycloakアプライアンスです。サーバーの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能なども有しており、自社で簡単にidPの構築運用ができるオールインワンのidPアプライアンスです。キーストア、トラストストアへのSSL証明書の登録機能をはじめ、HA構成での運用やLGWANなどのクローズドネットワークでの運用にも対応しています。
【WildflyからQuarkusへ】
- 従来までのKeycloakはWildflyに対応
- 新規のKeycloakはQuarkusに対応
【Keycloak / Quarkus対応アプライアンス】
「Powered BLUE idP for Keycloak」
【アプライアンスの構成】
- OS RockyLinux 8.x / RedHat 8.x
- Keycloak(アプリ)
- Quarkus
- GUIでのサーバーやアプリの設定
【Keycloakアプライアンス】
Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成(スタンドアロン・クラスター・バックアップ)などの各種設定に対応しています。
- サーバーの設定(Network / Firewall )
- ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
- DB 設定( H2 / MariaDB )
- DB 構成 ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
- Keycloak のバックアップ、リストア、バージョンアップ
- keycloak へのアクセスポート( 80 / 443 )
- リバースプロキシ連携機能
- SSLクライアント認証
- SSLサーバー証明書の登録
- OSなどのパッチ適用
- アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)
などに対応しており、コマンドラインからのプログラムのインストールや設定は不要
【Keycloakの構成 】
( 画面のイメージをクリックで拡大表示 )
【アクセスポート 80 / 443 】
リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応
1) リバースプロキシ経由でKeycloakへアクセス(リバースプロキシ+Keycloakを1台運用)
- Client ⇒ 443 / リバースプロキシ ⇒ 80 / Keycloak
2) ダイレクトにKeycloak へアクセス(https/443)
- Client ⇒ 443 / Keycloak (SSLサーバー証明書インストール)
【SSLサーバー証明書機能】
SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています
- 自己証明のSSL証明書の作成機能
- パブリックなSSL証明書や中間証明書のインポート機能
- キーストアへのSSL証明書登録機能
- トラストストアへのSSL証明書登録機能
【Keycloak のGUIパス】
WildFlyベースまでのKeycloak の管理GUIのパス /auth
- https://xxx.yyy.zzz.ttt/auth
QuarkusベースでのKeycloak の管理GUIのパス
- https://xxx.yyy.zzz.ttt/
Powered BLUE idP アプライアンスは任意のパスおよびポート設定機能 例 /xyz
- https://xxx.yyy.zzz.ttt/xyz
【Keycloakのバックアップ】
- バックアップやリストア
【Keycloakのバージョンアップ】
- ver 18.0.1 から ver 19.0.1 へ 変更 (例)
アップデート後
【サーバーの自己監視機能】
- サーバーのモニタリングやサービスの自動再起動
- パッチの自動適用機能
- 管理者への通知機能
【Keycloakへのアクセス】
https://xxx.yyy.zzz.ttt/
【idPの構成】
- idP – SP の構成
【SSOのステップ】
① ターゲットWeb(SP)へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWeb(SP)サイトの表示
【閉域網での運用に対応】
仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応
- 例 LGWANでidPを運用
【HAの構成】
- Keycloakのクラスター構成
【対応の運用先など】
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O(富士通) / IndigoPro(NTTPC) / VPSなど
【アプライアンスの提供形態】
- 運用環境に対応のアプライアンスでの提供
【KeycloakのSSLクライアント認証】
Keycloakへのアクセスは、デフォルトではID/Passwd認証です。認証機能を強化してKeycloakへのアクセスを 「SSLクライアント認証」で運用することも出来ます。
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください