バックアップ」カテゴリーアーカイブ

Keycloak 新admin コンソールやQuarkus 対応 / RockyLinuxやRedHatで運用

Keycloak ver 18 からは新しいGUIが利用できます。keycloak ver 21からは、新しいGUIのみになります。

Quarkusは Keycloak ver 17  から利用が出来ます。WildFlyはver 21からはサポートされません。

 

New admin UI console

 

クライアント

 

ロール

 

ユーザー

 

Keycloak アプライアンス

RockyLinux 8.x / RedHat 8.xで動作するKeycloak / Quarkusに対応の Keycloak idP アプライアンス Powered BLUE idP for Keycloak

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/02/keycloak-0.png

GUIからKeycloakの

  • セットアップ
  • リバースプロキシ
  • バージョンアップ&バックアップ&リストア

に対応しています

 

Powered BLUE idP for Keycloak 構成

  • OS RedHat 8.x / RockyLinux 8.x 対応
  • Keycloak
  • GUIでのサーバーやアプリの設定
  • アプライアンス

 

GUIからの設定

Keycloakアライアンスは、GUIからのサーバーの基本設定およびKeycloakの構成(スタンドアロン・クラスター・バックアップ)などの各種設定に対応しています。

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 )
  • SSLサーバー証明書の登録 ( キーストア やトラストストア)
  • keycloak ログ
  • リバースプロキシ内蔵
  • SSLクライアント認証(多要素認証)
  • OSなどの自動パッチ適用
  • アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)

など対応しており、コマンドラインからのプログラムのインストールや設定は不要です

 

ダイレクトアクセス・モードやリバースプロキシ同居モード構成に対応

 

 

 

 

 

 

①   リバースプロキシ構成(有・無)

ダイレクトアクセス・モード Client ⇒   ( 443 / Keycloak )

  • Keycloakを直接443番ポートで運用します

 

 

 

 

 

 

リバースプロキシ・モード  Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で構成

  • リバースプロキシ経由でKeycloakへアクセスする運用です

 

 

 

 

 

 

②  パス設定 (Quarkusでも任意のパスを指定できます)
https:// idp.keycloak.com / auth /

 

③  http・https ポート設定
443 / 8080 / 80  /etc

 

サーバー構成の設定

  • データベース構成
  • スタンドアローンやクラスター構成

 

 

 

 

 

 

  • クラスター構成

 

 

SSLサーバー証明書機能

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

  • 自己証明のSSL証明書の作成機能
  • パブリックなSSL証明書や中間証明書のインポート機能
  • キーストアへのSSL証明書登録機能
  • トラストストアへのSSL証明書登録機能

 

 

バージョンアップ

 

 

 

  • Keycloakの運用管理
  • Keycloakのバージョン管理

 

 

バックアップ&リストア

 

 

  • Keycloakのアックアップ

 

 

サーバー管理者の負担軽減

  • サーバーの自己監視やサービスの再起動
  • パッチの自動アップデート
  • 管理者への通知機能

 

Keycloakの認証強化

KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用の構成

1) SSLクライアント認証
2) ID / パスワード認証

 

有効なSSLクライアント証明書の場合

1)SP (Webやリバースプロキシ) にアクセス
2)idP / Keycloakの認証
(初回のみ / SSO / SSLクライアント認証)
3)認証の成功後 ターゲットSPのWebを表示

 

有効なSSLクライアント証明書の無い場合

 

 

 

Keycloakではワンタイムパスワード認証も利用が出来ます。

  1. ワンタイムパスワード認証は、毎回「入力する」必要があります
  2. SSLクライアント認証は、SSLクライアント証明書を一度インストールすると操作は不要です

 

多要素認証の比較

認証 SSLクライアント認証 ワンタイムパスワード認証
認証操作 不要 毎回必要
判定のタイミング ID / passwd 入力前に判定 ID / passwd 入力後に判定
リスト攻撃  ブロック   ブロック 

 

 

対応の運用先

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2022/02/keycloak-0.png

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPS / 他