富士通が運用するOpenStackベースの国内基盤でのクラウドサービスであるFUJITSU Hybrid IT Service FJcloud-O 上にID管理や認証機能を持つOSSのidP / Keycloak Quarkus対応版を構築運用する構成例です。
【FUJITSU Hybrid IT Service FJcloud-Oの特徴】
- OpenStack準拠のクラウドサービス
- API / Ansible / OpenStack Horizon からコントロール可能
- 回線費用は無償(ベストエフォート)
- Firewall無償
- リモートコンソールでの管理画面へのアクセス
- 単一ゾーンでのSLA 99.99%
- フェイルオーバー機能 - 標準装備
- アンチ・アフィニティをサポート
- 国内リージョン2か所(東日本・西日本)
- ISMAPに対応
などです。
【Keycloak アプライアンス】
サーバーやKeycloakの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能などを有したKeycloakのアプライアンス
「Powered BLUE idP for Keycloak」
をFJCloud-O上で運用します。
【FUJITSU Hybrid IT Service FJcloud-Oでの構築】
- リージョン East3 / West3
「FUJITSU Hybrid IT Service FJcloud-O」 でインスタンスを作成します。
- サーバー名指定
- サーバータイプ選択
- イメージ選択
- HDD サイズ指定 例 30GB
【Powered BLUE サーバーの設定】
FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする 例
セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。
【Keycloakの構成やDB設定】
GUIから
- サーバーの設定(Network / Firewall )
- ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
- DB 設定( H2 / MariaDB )
- DB 構成 ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
- Keycloak のバックアップ、リストア、バージョンアップ
- keycloak へのアクセスポート( 80 / 443 )
- リバースプロキシ連携機能
- SSLサーバー証明書の登録
- アクティブモニタ(サービス監視・再起動・管理者への通知)
などに対応しており、コマンドラインからのプログラムのインストールや設定は不要
( 画面のイメージをクリックで拡大表示 )
【Keycloakのバックアップ】
- バックアップやリストア
【Keycloakのバージョンアップ】
- ver 18.0.1 から ver 19.0.1 へ 変更 (例)
【アクセスポート 80 / 443 】
リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応
1) リバースプロキシ経由でKeycloakへアクセス ( リバースプロキシ+Keycloak 1台で運用 )
- Client ⇒ 「 443 / リバースプロキシ ⇒ 80 / Keycloak 」
2) ダイレクトにKeycloak へアクセス(https/443)
- Client ⇒ 443 / Keycloak (SSLサーバー証明書インストール)
【SSLサーバー証明書機能】
SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています
- 自己証明のSSL証明書の作成機能
- パブリックなSSL証明書や中間証明書のインポート機能
【サーバーの自己監視機能】
- サーバーのモニタリングやサービスの自動再起動
- パッチの自動適用機能
- 管理者への通知機能
【Keycloakへのアクセス】
https://xxx.yyy.zzz.ttt/
【idPとSPの構成】
- idP – SP の構成 例1
SP機能のWebアプライアンス Powered BLUE Web for SSO / IDaaS
・idP – SP の構成 例2
SP機能のリバースプロキシ・アプライアンス Powered BLUE Reverse-Proxy for SSO / IDaaS
【SSOのステップ】
① ターゲットWebやリバースプロキシ(SP)へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWebサイトの表示
【HAの構成】
- Keycloakのクラスター構成
GUIからDBやクラスタの設定が出来ます
FJcloud-O 標準のロードバランサーでのクラスター構成
【閉域網での構築&運用に対応】
- 仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
- サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能
- LGWANなどでの運用に対応
【SSLクライアント認証で運用する】
Keycloakへの認証を
- IDパスワード+SSLクライアント認証
の多要素認証にする(Private-CAとの連携)
SSLクライアント証明書の発行及びSSLクライアント認証局として
を利用します。
【失効リストの入手&自動同期】
Private-CAの失効リストをKeycloak側で入手&自動同期する設定をします
【Keycloakの認証設定】
Keycloakを運用するサーバーのURL
- 例 https://auth.powered.blue/
このサーバーの keycloakの ログイン dir /auth 以下にSSLクライアント認証を設定の場合
- https://auth.powered.blue/auth
【SSLクライアント証明書が有効の場合】
1)ターゲットWeb(SP)にアクセス
2)idP / Keycloakの認証
(シングルサインオン・SSLクライアント認証)
3)認証の成功後 ターゲットWeb(SP)を表示
【FIDO2/生体認証での運用に対応】
指紋認証器の特徴
- 10本の指が登録でき、どの指でも認証ができる
- 認証精度が安定している
- 認証器が豊富
- USBタイプはPCへの接続が簡単
- 汎用のPCで利用できる
- Windows10 / 11 の標準機能で指紋登録ができる
指紋認証器の構成例
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
【指紋登録方法】
* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます
アカウントを選択
サインインオプション&セキュリティキーを選択
セキュリティキー(指紋認証器)にタッチ
「セキュリティキーの指紋」のセットアップを選択
セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
本人の確認(指紋認証器に設定したPINコードの入力)
「指紋認証器」へ指紋の登録
指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
他の指も登録できます(合計10本まで)
【生体認証でWebへアクセス】
パスワードレス認証で運用のケース
(「認証器の所持認証」+「生体認証」の2要素認証 )
1)生体認証対応Webへアクセス(IDのみ入力 / パスワードレス)
2)セキュリティキーにタッチ(指紋認証)
3)認証後にターゲットのWebサイトが表示されます
【こんな場合に】
- iDaaSなどは社内規定で利用が出来ない
- ユーザー数が多いので費用の抑えられるOSSのidPを利用したい
- 自社管理でidPを運用したい
- メンテナンスの簡単なアプライアンスで‘運用したい
- 国内法が適用されるクラウド基盤で運用したい
- LGWANやクローズドネットワークで運用したい
- SSLクライアント認証や生体認証で運用したい
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください