Keycloak認証サーバはネットワーク上の独立したサーバとして機能し、各アプリケーションは、このサーバを参照して保護されるように構成されます。
各アプリケーションは、ユーザー認証時に、アプリケーションからKeycloak認証サーバにリダイレクトし、ユーザーはそこで認証情報を入力します。
ユーザーはアプリケーションから完全に分離され、アプリケーションはユーザーの資格情報を見ることができないため、認証セキュリティを向上できます。
Keycloakは、きめ細やかな承認ポリシーをサポートしており、さまざまなアクセス制御メカニズムを組み合わせて利用できます。
Keycloakは、一連の管理UIとRESTful APIに基づいており、保護された「リソース」「スコープ」に対する権限を作成し、それらの権限を承認ポリシーに関連付け、アプリケーションやサービスで承認の決定を強制するために必要な手段を提供します。
・属性ベースアクセス制御
・役割ベースアクセス制御
・ユーザーベースアクセス制御
・コンテキストベースアクセス制御
・ルールベースアクセス制御---JavaScript、JBoss Drools
・時間ベースアクセス制御
・カスタムアクセス制御メカニズム---ポリシープロバイダサービスプロバイダインターフェース など
Keycloakでは、詳細な認証ポリシーを定義できます。
ロールベース認証が要件に適さない場合など、すべてのサービスに対する権限について必要なポリシーを正確に定義できます。
管理者は「管理者コンソール」により、Keycloakサーバを集中管理できます。
・各種機能の有効化/無効化設定
・アイデンティティブローカー設定
・ユーザーフェデレーション設定
・ユーザー権限設定
・ユーザーセッション設定 など
管理用のRESTful APIが豊富に用意されているため、管理コンソールの改修や独自構築が可能です。
→Keycloak →docs →Keycloak Admin REST API
ユーザーは「アカウント管理コンソール」で、自分のアカウントを管理できます。
・プロファイル更新
・パスワード変更
・二要素認証設定
・セッション管理
・アカウント履歴表示 など
Keycloakサーバ側で「ソーシャルログイン」または「IDブローカー」を有効にしている場合、ユーザーは自分のアカウントを他のプロバイダーとリンクして、異なるIDプロバイダーと同じアカウントで認証できるようにすることもできます。
2022-05-26(木)15:00 - 15:55 「SSO基盤を、IDaaSではなくあえて「社内構築」する 大規模企業が、オープンソースを活用して多要素認証(MFA)などに対応するには」 と題したウェビナーが開催されました。 皆様のご参加、誠にありがとうございました。 当日の資料は以下から無料でご覧いただけます。 ご興味のある企業さま、ぜひご覧ください。 ‐ ‐
OSS×Cloud ACCESS RANKING