Keycloakのデフォルトでは、管理GUIへのアクセスは http(8080) / https(8443) などが基本です。
リバースプロキシ経由
Keycloakへ443ポートでのアクセスの場合には、リバースプロキシを介しての運用が一般的です。
- Client ⇒ 443/リバースプロキシ ⇒ 8080/Keycloak
httpsポート(8443)
httpsポートでアクセスの場合には8443がデフォルトになります。しかし社内Firewallなどのアクセス制限でClient側からは8443ポートへのアクセスができないケースなどもあります。
- Client ⇒ 8443/Keycloak
ダイレクトアクセスでのhttpsポート(443)
リバースプロキシなしで直接
- Client ⇒ 443 / Keycloak
での運用を行うには
Keycloakのアプライアンス、 「Powered BLUE for idP 」 を使用します
アプライアンスの構成
- OS RockyLinux 8.x / RedHat 8.x (OSは選択)
- Keycloak(アプリ)
- GUIでのサーバーやアプリの設定
自社環境および自社管理での運用に対応
GUIからKeycloakサーバーを設定
- サーバーの設定(Network / Firewall )
- ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
- DB 設定( H2 / MariaDB )
- DB 構成 ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
- Keycloak のバックアップ、リストア、バージョンアップ
- keycloak へのアクセスポート( 80 / 443 / 任意ポート )
- リバースプロキシ連携機能
- SSLクライアント認証
- SSLサーバー証明書の登録機能
- OSなどのパッチ適用
- アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)
コマンドラインからの操作や設定は不要
リバースプロキシ経由やダイレクトアクセスモードに対応
「Powered BLUE for idP 」では
1)Keycloakを直接443ポートでの運用
2)リバースプロキシとの同居での一体運用
の2方式に対応しています
① リバースプロキシ構成(有・無)
ダイレクトアクセス・モード Client ⇒ ( 443 / Keycloak )
- Keycloakを直接443番ポートで運用します
リバースプロキシ・モード Client ⇒ ( 443 / リバースプロキシ ⇒ 8080 / Keycloak ) 1台で運用
- リバースプロキシ経由でKeycloakへアクセスさせる構成です
② パス設定 (Quarkusでも任意のパスを指定できます)
https:// idp.keycloak.com / auth /
③ httpポート設定
443 / 8080 / 80 /etc
KeycloakのDB設定からHA構成
- DB選択や構成( 内部DB / 外部DB )
- スタンドアローンやクラスター構成
- クラスター構成
Keycloakのバージョン管理
バージョンアップ前 例 18.0.1
バージョンアップ後 例 19.0.1
Keycloakのバックアップ
- バックアップやリストア機能
KeycloakへのSSLサーバー証明書の登録
- キーストア対応
- 自己証明書やパブリックなSSLサーバー証明書および中間証明書の登録も簡単
Keycloakサーバー管理者の負担軽減での運用に対応
- サーバーの自己監視やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
クローズドネットワークでの運用
仮想アプライアンスのイメージでの提供により
- 仮想基盤へ仮想サーバーのイメージインポートでの運用が可能
サーバーの自己監視機能や自動再起動機能により
- 外部の監視サービスを利用しない運用に対応
Keycloakへのアクセス(443)
https://idp.keycloak.com/
運用先
クラウド環境や仮想環境、オンプレミスでの運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
SSLサーバー証明書
Powered BLUE上で運用するKeycloakで使用するSSLサーバー証明書には、公的な機関で発行されたSSLサーバー証明書や自己証明を利用する事も出来ます
AWSでの構築 例
SSLクライアント認証での運用
KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用
- SSLクライアント認証
- ID・パスワード認証(Keycloak)
SSLクライアント認証 〇 | SSLクライアント認証 ✖ |
Private CA
SSLクライアント証明書の発行及びSSLクライアント認証局として
を利用します。
Keycloakの認証設定
Keycloakを運用するサーバーのURL
- 例 https://auth.powered.blue/
このサーバーの keycloakの ログイン dir /auth 以下にSSLクライアント認証を設定の場合
- https://auth.powered.blue/auth
SSOの構成や手順
- SAML / OIDC認証対応のWeb / SPへアクセス
- 初回のみ idP へアクセス
- Webへ自動ログイン
- Webの表示