IndigoPro」カテゴリーアーカイブ

RockyLinuxで動作のKeycloak-Quarkus に対応のidPアプライアンス

RockyLinux 8.xやRedHat 8.x で運用できるQuarkus対応のKeycloakアプライアンスです。サーバーの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能なども有しており、自社で簡単にidPの構築運用ができるオールインワンのidPアプライアンスです。キーストア、トラストストアへのSSL証明書の登録機能をはじめ、HA構成での運用やLGWANなどのクローズドネットワークでの運用にも対応しています。

 

【WildflyからQuarkusへ】

  • 従来までのKeycloakはWildflyに対応
  • 新規のKeycloakはQuarkusに対応

 

 

【Keycloak / Quarkus対応アプライアンス】

 「Powered BLUE idP for Keycloak

 

 

 

【アプライアンスの構成】

  •  OS  RockyLinux 8.x  /  RedHat 8.x
  •  Keycloak(アプリ)
  •  Quarkus
  •  GUIでのサーバーやアプリの設定

 

【Keycloakアプライアンス】

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成(スタンドアロン・クラスター・バックアップ)などの各種設定に対応しています。

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 )
  • リバースプロキシ連携機能
  • SSLクライアント認証
  • SSLサーバー証明書の登録
  • OSなどのパッチ適用
  • アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)

 

などに対応しており、コマンドラインからのプログラムのインストールや設定は不要

【Keycloakの構成 】

( 画面のイメージをクリックで拡大表示 )

 

 

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

 

1) リバースプロキシ経由でKeycloakへアクセス(リバースプロキシ+Keycloakを1台運用)

  • Client  ⇒   443 / リバースプロキシ  ⇒  80 / Keycloak

 

2) ダイレクトにKeycloak へアクセス(https/443)

  • Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール)

 

 

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

  • 自己証明のSSL証明書の作成機能
  • パブリックなSSL証明書や中間証明書のインポート機能
  • キーストアへのSSL証明書登録機能
  • トラストストアへのSSL証明書登録機能

 

【Keycloak のGUIパス】

WildFlyベースまでのKeycloak の管理GUIのパス  /auth

  • https://xxx.yyy.zzz.ttt/auth

QuarkusベースでのKeycloak の管理GUIのパス

  • https://xxx.yyy.zzz.ttt/

Powered BLUE idP アプライアンスは任意のパスおよびポート設定機能  例 /xyz

  • https://xxx.yyy.zzz.ttt/xyz

 

 

【Keycloakのバックアップ】

  • バックアップやリストア

 

 

【Keycloakのバージョンアップ】

  • ver 18.0.1 から ver 19.0.1 へ 変更 (例)

 

アップデート後

 

【サーバーの自己監視機能】

  • サーバーのモニタリングやサービスの自動再起動
  • パッチの自動適用機能
  • 管理者への通知機能

 

 

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

 

 

 

【idPの構成】

  •  idP – SP の構成

 

 

【SSOのステップ】

① ターゲットWeb(SP)へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWeb(SP)サイトの表示

 

 

 

【閉域網での運用に対応】

仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能

サーバーの自己監視機能により、外部の監視サービスを利用しない運用に対応

  • 例 LGWANでidPを運用

 

 

【HAの構成】

  • Keycloakのクラスター構成

 

 

 

【対応の運用先など】

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O(富士通) / IndigoPro(NTTPC) / VPSなど

 

 

【アプライアンスの提供形態】

  • 運用環境に対応のアプライアンスでの提供

 

 

【KeycloakのSSLクライアント認証】

Keycloakへのアクセスは、デフォルトではID/Passwd認証です。認証機能を強化してKeycloakへのアクセスを https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif 「SSLクライアント認証」で運用することも出来ます。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/02/keycloak-ca-1-1.png

 

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください