idP / KEYCLOAK

FODO2 / 生体認証やパスワードレス認証


 Keycloak idP アプライアンス

「Powered BLUE for idP 」は、ID管理&認証機能のKeycloakを自社で簡単に運用が出来る idP アプライアンス です。
運用モードは、1)ダイレクトアクセス・モード もしくは 2)リバースプロキシ経由の2モードに対応

 ダイレクトにKeycloak へアクセスで運用
 リバースプロキシ内蔵+Keycloak を1台で運用



Keycloak アプライアンス の機能としては

 GUIでのサーバーやDBの設定
 Keycloakの設定やバックアップ
 リバースプロキシの設定
 サービス自己監視&再起動
 パッチの自動適用

などに対応しており、オールインワンでの運用が可能です。




 サーバーや idP / Keycloak の操作や設定

GUIから
 サーバーの設定(Network / Firewall )
 ウィザードによるKeycloakの構成(スタンドアロンやクラスター)
 DB設定(H2 / MariaDB)
 Keycloak のバックアップ、リストア、アップグレード
 SSLサーバー証明書登録 ( トラストストア対応 )
 keycloak へのアクセスポート ( 80 / 443 )
 リバースプロキシ構成 ( 80 / 443 )
 アクティブモニタ(サービス監視・再起動・管理者への通知)

セットアップウィザード

スタンドアローンやクラスター構成 DBセットアップ




リバースプロキシ経由やダイレクトアクセスモードに対応




 リバースプロキシ内蔵+Keycloak を1台で運用に対応

    リバースプロキシ・モード  Client  ⇒   ( 443 / リバースプロキシ ⇒  8080 / Keycloak )



    ダイレクトアクセス・モード  Client  ⇒   ( 443 / Keycloak )



 Keycloakへのアクセスパス / 任意のパス指定に対応 ( 例 auth )

      Client  ⇒   https:// idp.keycloak.com / auth


 Keycloak へアクセスポート
      443 / 8080 / 80 / etc



SSLサーバー証明書登録

 自己証明書やパブリックなSSLサーバー証明書の登録




DBや運用構成

 DB 選択
 クラスター構成(HA) 選択



クラスター構成 例



Keycloakのバックアップ





Keycloak アップグレード







 簡単運用

 サーバーの自己監視やサービスの再起動
 パッチの自動アップデート
 管理者への通知機能




 対応の認証方式

各種の認証をサポートしており
 ID / パスワード認証
 ADやLDAP認証
 SAML認証
 OpenID認証
 ワンタイムパスワード認証
 SSLクライアント認証
 FIDO2 / 生体認証
などで運用が出来ます




idPとSP構成例

 Web (SP) アクセス時のSSO  
 



認証のステップ

① ターゲットWebへアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP / Keycloak の認証後にターゲットのWebサイトの表示





KeycloakとADとのLDAP認証に対応

 ADに登録のユーザーでログイン認証
 SP機能を持つPowered BLUEとのWeb認証での構成






FIDO2 / 生体認証(パスワードレス認証)で運用

 スマートフォンやタブレットの顔認証や指紋認証
 PCの指紋認証や静脈認証





SAML認証やOIDC認証対応のWebサーバー構成例

  「Powered BLUE Web for SSO / IDaaS」

はidPと連携でき、一般的なWebコンテンツのアップロードやWordPerssでのWebサイトの構築して、SAML認証やOpenID Connect認証での運用に対応しています

一般的なWebコンテンツのWebサイト WordPressのWebサイト




Keycloakと認証対応リバースプロキシでの構成例

  「Powered BLUE ReverseProxy for SSO / IDaaS」

は、SAML認証やOIDC認証を有したリバースプロキシです

  リバースプロキシとの認証連携の構成


                   





Keycloakと代理認証対応リバースプロキシ経由でのシングルサインオンの構成例

  「Powered BLUE ReverseProxy for SSO / IDaaS」

は、SAML認証やOIDC認証の機能に加えて代理認証機能によりSSOで運用できるリバースプロキシです


  リバースプロキシでのSSOアクセス (ターゲットWebの改修不要)



                   
SSO認証のステップ

① SAML / OIDC認証対応のID認識型リバースプロキシへアクセス
② 初回のみ idP / Keycloak へアクセス ( シングルサインオン )
③ idP の認証後にリバースプロキシからWebへアカウント情報を代理入力
④ Webへ自動ログイン









Keycloakで生体認証を行いパスワードレス認証でのシングルサインオンの構成例

  「Powered BLUE ReverseProxy for SSO / IDaaS」

KeycloakでFIDO2 / Webauthn の生体認証を行い、代理認証のリバースプロキシを利用してSSOの構成です

  パスワードレス認証でのシングルサインオン構成 (ターゲットWebの改修不要)






 SSLクライアント認証の例



 KeycloakへのアクセスをSSLクライアント認証(多要素認証)で運用の構成

1) SSLクライアント認証
2) ID / パスワード認証



 有効なSSLクライアント証明書の場合

1)SP (Webやリバースプロキシ) にアクセス
2)idP / Keycloakの認証
  (初回のみ / SSO / SSLクライアント認証)
3)認証の成功後 ターゲットSPのWebを表示




 有効なSSLクライアント証明書の無い場合


   連携のPrivate-CA

   KeycloakでのSSLクライアント認証の設定例





 ワンタイムパスワード認証の例


 ワンタイムパスワードの認証手順

1)ワンタイムパスワードの表示
2)Webサイトやリバースプロキシにアクセス
3)idp / Keycloakの認証(初回のみ) 
  ID / パスワード / ワンタイムパスワード入力
4)認証の成功後 ターゲットWebを表示






 外部idP連携

外部idPとの認証連携の運用が可能です。

 Azure AD
 Google
 GitHub
 Facebook
 Twitter

などSAMLやOpenID Connectに対応のidPと連携が出来ます
外部idP連携時のログイン画面




 閉域網での運用に対応

仮想アプライアンスのイメージでの提供により
  インストールなしでの運用が可能

サーバーの自己監視機能により
 外部の監視サービスを利用しない運用に対応






アプライアンス構成

 OS RedHat 8.x / RockyLinux 8.x 対応
 GUIでのサーバーやKeycloakの設定
 Keycloak





こんな用途に

 社内規定上、外部のidPは利用できない
 ユーザー数が多くiDaaSは費用面で利用できない
 自社でidPを運用したい
 管理者の負担を増やさずに運用したい
 クローズドネットワークで運用したい
 ADやOffice 365と連携したい




アプライアンスの運用先


 対応の仮想環境
VMware / Hyper-Vなどの仮想環境に対応

     


 対応のクラウド環境
AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / VPSなど

         


 デモ


サーバーの操作や動作の確認が出来ます。

 デモサイト