月別アーカイブ: 2022年2月

Keycloakアプライアンスを国産クラウドFUJITSU Hybrid IT Service FJcloud-Oに構築運用 / SSL認証や生体認証からLGWANや閉域網での運用にも対応

富士通が運用するOpenStackベースの国内基盤でのクラウドサービスであるFUJITSU Hybrid IT Service FJcloud-O 上にID管理や認証機能を持つOSSのidP / Keycloak Quarkus対応版を構築運用する構成例です。

 

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

  • OpenStack準拠のクラウドサービス
  • API / Ansible / OpenStack Horizon からコントロール可能
  • 回線費用は無償(ベストエフォート)
  • Firewall無償
  • リモートコンソールでの管理画面へのアクセス
  • 単一ゾーンでのSLA 99.99%
  • フェイルオーバー機能 -  標準装備
  • アンチ・アフィニティをサポート
  • 国内リージョン2か所(東日本・西日本)
  • ISMAPに対応

などです。

 

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2021/12/fujitsu-login-1-1.png

 

 

【Keycloak アプライアンス】

サーバーやKeycloakの設定はすべてGUIから行え、KeycloakのDB設定やバックアップやリストア及びバージョンアップ機能などを有したKeycloakのアプライアンス

 「Powered BLUE idP for Keycloak

をFJCloud-O上で運用します。

 

 

 

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

  • リージョン East3 / West3

「FUJITSU Hybrid IT Service FJcloud-O」 でインスタンスを作成します。

  • サーバー名指定
  • サーバータイプ選択
  • イメージ選択
  • HDD サイズ指定  例 30GB

 

 

【Powered BLUE サーバーの設定】

FUJITSU Hybrid IT Service FJcloud-OにPowered BLUEをセットアップする 例

セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。

 

 

【Keycloakの構成やDB設定】

GUIから

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 )
  • リバースプロキシ連携機能
  • SSLサーバー証明書の登録
  • アクティブモニタ(サービス監視・再起動・管理者への通知)

などに対応しておりコマンドラインからのプログラムのインストールや設定は不要

 

( 画面のイメージをクリックで拡大表示 )

 

 

【Keycloakのバックアップ】

  • バックアップやリストア

 

 

 

【Keycloakのバージョンアップ】

  • ver 18.0.1 から ver 19.0.1 へ 変更 (例)

 

 

 

 

【アクセスポート 80 / 443 】

リバースプロキシ経由やダイレクトにKeycloak (443 port) へのアクセスのどちらの構成にも対応

 

1) リバースプロキシ経由でKeycloakへアクセス  ( リバースプロキシ+Keycloak 1台で運用 )

  • Client  ⇒  「 443 / リバースプロキシ  ⇒  80 / Keycloak 」

 

2) ダイレクトにKeycloak へアクセス(https/443)

  • Client   ⇒  443 / Keycloak (SSLサーバー証明書インストール)

 

 

 

【SSLサーバー証明書機能】

SSLサーバー証明書をインストールすることで、WANに設置の場合でもリバースプロキシを経由しない構成でhttps / 443 ポートへのダイレクト・アクセスでの運用に対応しています

  • 自己証明のSSL証明書の作成機能
  • パブリックなSSL証明書や中間証明書のインポート機能

 

 

 

【サーバーの自己監視機能】

  • サーバーのモニタリングやサービスの自動再起動
  • パッチの自動適用機能
  • 管理者への通知機能

 

 

【Keycloakへのアクセス】

https://xxx.yyy.zzz.ttt/

 

 

 

【idPとSPの構成】

  •  idP – SP の構成 例1

SP機能のWebアプライアンス  Powered BLUE Web for SSO / IDaaS

 

・idP – SP の構成 例2

SP機能のリバースプロキシ・アプライアンス  Powered BLUE Reverse-Proxy for SSO / IDaaS

 

【SSOのステップ】

① ターゲットWebやリバースプロキシ(SP)へアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWebサイトの表示

 

 

 

【HAの構成】

  • Keycloakのクラスター構成

GUIからDBやクラスタの設定が出来ます

 

FJcloud-O 標準のロードバランサーでのクラスター構成

 

 

【閉域網での構築&運用に対応】

  • 仮想アプライアンスのイメージのインポートにより、インストールなしでの運用が可能
  • サーバーの自己監視機能により、外部の監視サービスを利用しない運用が可能
  • LGWANなどでの運用に対応

 

 

 

【SSLクライアント認証で運用する】

Keycloakへの認証を

  • IDパスワード+SSLクライアント認証

の多要素認証にする(Private-CAとの連携)

 

SSLクライアント証明書の発行及びSSLクライアント認証局として

Powered BLUE プライベートCA

を利用します。

 

【失効リストの入手&自動同期】

Private-CAの失効リストをKeycloak側で入手&自動同期する設定をします

 

【Keycloakの認証設定】

Keycloakを運用するサーバーのURL

  • 例 https://auth.powered.blue/

 

このサーバーの keycloakの ログイン dir  /auth 以下にSSLクライアント認証を設定の場合

  • https://auth.powered.blue/auth

 

 

【SSLクライアント証明書が有効の場合】

1)ターゲットWeb(SP)にアクセス
2)idP / Keycloakの認証
(シングルサインオン・SSLクライアント認証
3)認証の成功後 ターゲットWeb(SP)を表示

 

 

 

【FIDO2/生体認証での運用に対応】

指紋認証器の特徴

  • 10本の指が登録でき、どの指でも認証ができる
  • 認証精度が安定している
  • 認証器が豊富
  • USBタイプはPCへの接続が簡単
  • 汎用のPCで利用できる
  • Windows10 / 11 の標準機能で指紋登録ができる

 

指紋認証器の構成例

  • 利用者はUSBタイプの「指紋認証器」をPCへ接続
  • 利用者の指紋を「指紋認証器」へ登録

 

 

【指紋登録方法】

* Windows 10 / 11 ユーザーは、Windows標準機能を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションのセキュリティキーの登録機能からセキュリティキーへの「指紋登録」が出来ます

 

アカウントを選択

 

 

サインインオプション&セキュリティキーを選択

 

 

セキュリティキー(指紋認証器)にタッチ

 

 

 

「セキュリティキーの指紋」のセットアップを選択

 

 

セキュリティキー(指紋認証器)にpinコードを設定

  • 新規使用時や初期化時にpinコードを設定します
  • pinコードは、指紋などの登録や再登録時にも使用します(重要)

 

 

本人の確認(指紋認証器に設定したPINコードの入力)

 

 

 

「指紋認証器」へ指紋の登録

 

 

指紋センサー(指紋認証器)にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

 

他の指も登録できます(合計10本まで)

 

 

 

【生体認証でWebへアクセス】

 

パスワードレス認証で運用のケース

(「認証器の所持認証」+「生体認証」の2要素認証 )

 

1)生体認証対応Webへアクセス(IDのみ入力 / パスワードレス
2)セキュリティキーにタッチ(指紋認証
3)認証後にターゲットのWebサイトが表示されます

 

 

 

 

【こんな場合に】

  • iDaaSなどは社内規定で利用が出来ない
  • ユーザー数が多いので費用の抑えられるOSSのidPを利用したい
  • 自社管理でidPを運用したい
  • メンテナンスの簡単なアプライアンスで‘運用したい
  • 国内法が適用されるクラウド基盤で運用したい
  • LGWANやクローズドネットワークで運用したい
  • SSLクライアント認証や生体認証で運用したい

 

 

ご不明な点などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からお問い合わせください