Keycloakを https (443) ポートでの運用設定 / AWS-EC2編

Keycloakのデフォルトでは、管理GUIへのアクセスは http(8080) / https(8443) などが基本です。

 

リバースプロキシ経由

Keycloakへ443ポートでのアクセスの場合には、リバースプロキシを介しての運用が一般的です。

  • Client ⇒   443/リバースプロキシ ⇒  8080/Keycloak

 

httpsポート(8443)

httpsポートでアクセスの場合には8443がデフォルトになります。しかし社内Firewallなどのアクセス制限でClient側からは8443ポートへのアクセスができないケースなどもあります。

  • Client ⇒  8443/Keycloak

 

ダイレクトアクセスでのhttpsポート(443)

リバースプロキシなしで直接

  • Client  ⇒   443 / Keycloak

での運用を行うには

Keycloakのアプライアンス、   「Powered BLUE for idP 」 を使用します

 

アプライアンスの構成

  •  OS  RockyLinux 8.x  /  RedHat 8.x (OSは選択)
  •  Keycloak(アプリ)
  •  GUIでのサーバーやアプリの設定

 

 

 

 

 

 

自社環境および自社管理での運用に対応

 

 

GUIからKeycloakサーバーを設定

  • サーバーの設定(Network / Firewall )
  • ウィザードによるKeycloakの構成や設定(スタンドアロンやクラスター)
  • DB 設定( H2 / MariaDB )
  • DB 構成   ( 内蔵もしくは外部サーバーのどちらの構成にも対応 )
  • Keycloak のバックアップ、リストア、バージョンアップ
  • keycloak へのアクセスポート( 80 / 443 / 任意ポート )
  • リバースプロキシ連携機能
  • SSLクライアント認証
  • SSLサーバー証明書の登録機能
  • OSなどのパッチ適用
  • アクティブモニタ(サーバーやサービス監視・再起動・管理者への通知)

コマンドラインからの操作や設定は不要

 

 

 

 

 

 

リバースプロキシ経由やダイレクトアクセスモードに対応

「Powered BLUE for idP 」では

1)Keycloakを直接443ポートでの運用

2)リバースプロキシとの同居での一体運用

の2方式に対応しています

 

 

 

 

 

 

 

 

①   リバースプロキシ構成(有・無)

ダイレクトアクセス・モード Client ⇒   ( 443 / Keycloak )

  • Keycloakを直接443番ポートで運用します

 

 

 

 

 

 

リバースプロキシ・モード  Client ⇒   ( 443 / リバースプロキシ ⇒ 8080 / Keycloak )  1台で運用

  • リバースプロキシ経由でKeycloakへアクセスさせる構成です

 

 

 

 

 

②  パス設定 (Quarkusでも任意のパスを指定できます)
https:// idp.keycloak.com / auth /

③  httpポート設定
443 / 8080 / 80  /etc

 

 

KeycloakのDB設定からHA構成

  • DB選択や構成( 内部DB / 外部DB )
  • スタンドアローンやクラスター構成

 

 

 

 

 

 

  • クラスター構成

 

 

 

 

Keycloakのバージョン管理

バージョンアップ前 例 18.0.1

バージョンアップ後 例 19.0.1

 

Keycloakのバックアップ

  • バックアップやリストア機能

 

 

KeycloakへのSSLサーバー証明書の登録

  • キーストア対応
  • 自己証明書やパブリックなSSLサーバー証明書および中間証明書の登録も簡単

 

 

 

 

 

 

 

 

Keycloakサーバー管理者の負担軽減での運用に対応

  1.  サーバーの自己監視やサービスの自動再起動機能
  2.  パッチのスケジュールアップデート機能
  3.  管理者への通知機能

 

 

 

 

 

 

 

 

クローズドネットワークでの運用

仮想アプライアンスのイメージでの提供により

  • 仮想基盤へ仮想サーバーのイメージインポートでの運用が可能

 

サーバーの自己監視機能や自動再起動機能により

  • 外部の監視サービスを利用しない運用に対応

 

 

 

 

 

 

Keycloakへのアクセス(443)

https://idp.keycloak.com/

 

運用先

クラウド環境や仮想環境、オンプレミスでの運用に対応

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

 

SSLサーバー証明書

Powered BLUE上で運用するKeycloakで使用するSSLサーバー証明書には、公的な機関で発行されたSSLサーバー証明書や自己証明を利用する事も出来ます

 

AWSでの構築 例

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE のAWSでの構築&設定例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2015/01/aws-ami-select02-1024x907.png

 

 

 

SSLクライアント認証での運用

KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用

  • SSLクライアント認証
  • ID・パスワード認証(Keycloak)

 

 

 

 

SSLクライアント認証 〇 SSLクライアント認証 ✖

 

Private CA

 

 

 

 

SSLクライアント証明書の発行及びSSLクライアント認証局として

Powered BLUE プライベートCA

を利用します。

 

Keycloakの認証設定

Keycloakを運用するサーバーのURL

  • 例 https://auth.powered.blue/

 

このサーバーの keycloakの ログイン dir  /auth 以下にSSLクライアント認証を設定の場合

  • https://auth.powered.blue/auth

 

 

SSOの構成や手順

 

 

 

 

 

 

  1. SAML / OIDC認証対応のWeb / SPへアクセス
  2. 初回のみ  idP へアクセス
  3. Webへ自動ログイン
  4. Webの表示

 

 

 

 

 

 

 

お問合せ

 

 

ご質問やご相談など