Keycloak ver 18 からは新しいGUIが利用できます。keycloak ver 21からは、新しいGUIのみになります。
Quarkusは Keycloak ver 17 から利用が出来ます。WildFlyはver 21からはサポートされません。
New admin UI console
クライアント
ロール
ユーザー
Keycloak アプライアンス
RockyLinux 8.x / RedHat 8.xで動作するKeycloak / Quarkusに対応の Keycloak idP アプライアンス 「Powered BLUE idP for Keycloak」
GUIからKeycloakの
- セットアップ
- リバースプロキシ
- バージョンアップ&バックアップ&リストア
に対応しています
Powered BLUE idP for Keycloak 構成
- OS RedHat 8.x / RockyLinux 8.x 対応
- Keycloak
- GUIでのサーバーやアプリの設定
- アプライアンス
GUIからの設定
Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成(スタンドアロン・クラスター・バックアップ)などの各種設定に対応しています。
- サーバーの設定(Network / Firewall )
- ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
- DB 設定( H2 / MariaDB )
- DB 構成 ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
- Keycloak のバックアップ、リストア、バージョンアップ
- keycloak へのアクセスポート( 80 / 443 )
- SSLサーバー証明書の登録 ( キーストア やトラストストア)
- keycloak ログ
- リバースプロキシ内蔵
- SSLクライアント認証(多要素認証)
- OSなどの自動パッチ適用
- アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)
など対応しており、コマンドラインからのプログラムのインストールや設定は不要です
① リバースプロキシ構成(有・無)
ダイレクトアクセス・モード Client ⇒ ( 443 / Keycloak )
- Keycloakを直接443番ポートで運用します
リバースプロキシ・モード Client ⇒ ( 443 / リバースプロキシ ⇒ 8080 / Keycloak ) 1台で構成
- リバースプロキシ経由でKeycloakへアクセスする運用です
② パス設定 (Quarkusでも任意のパスを指定できます)
https:// idp.keycloak.com / auth /
③ http・https ポート設定
443 / 8080 / 80 /etc
サーバー構成の設定
- データベース構成
- スタンドアローンやクラスター構成
- クラスター構成
SSLサーバー証明書機能
SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています
- 自己証明のSSL証明書の作成機能
- パブリックなSSL証明書や中間証明書のインポート機能
- キーストアへのSSL証明書登録機能
- トラストストアへのSSL証明書登録機能
バージョンアップ
- Keycloakの運用管理
- Keycloakのバージョン管理
バックアップ&リストア
- Keycloakのアックアップ
サーバー管理者の負担軽減
- サーバーの自己監視やサービスの再起動
- パッチの自動アップデート
- 管理者への通知機能
Keycloakの認証強化
KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用の構成
1) SSLクライアント認証
2) ID / パスワード認証
有効なSSLクライアント証明書の場合
1)SP (Webやリバースプロキシ) にアクセス
2)idP / Keycloakの認証
(初回のみ / SSO / SSLクライアント認証)
3)認証の成功後 ターゲットSPのWebを表示
有効なSSLクライアント証明書の無い場合
Keycloakではワンタイムパスワード認証も利用が出来ます。
- ワンタイムパスワード認証は、毎回「入力する」必要があります
- SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です
多要素認証の比較
認証 | SSLクライアント認証 | ワンタイムパスワード認証 |
認証操作 | 不要 | 毎回必要 |
判定のタイミング | ID / passwd 入力前に判定 | ID / passwd 入力後に判定 |
リスト攻撃 | ブロック 〇 | ブロック ✖ |
対応の運用先
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他