SlideShare ist ein Scribd-Unternehmen logo

KubeConRecap_nakamura.pdf

Hitachi, Ltd. OSS Solution Center.
Hitachi, Ltd. OSS Solution Center.

Kubernetes Meetup Tokyo #58 KubeCon EU 2023 Recapの資料

Software
1 von 25
Downloaden Sie, um offline zu lesen
© Hitachi, Ltd. 2023. All rights reserved. Keycloak: The Open-Source IAM for Modern Applications 日立製作所 中村 雄一 KubeCon EU 2023 Recap
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 • 2000年代: SELinuxに関するOSS活動 - 組込み向けSELinuxの開発、パフォーマンスチューニングなどをOSSコミュニティ貢献 - SELinux設定ツールのOSS公開 (SELinux Policy Editor) - イベント登壇 (Ottawa Linux Symposium, CE Linux Forum, USENIX LISA 等) - 学術論文執筆、SELinux書籍執筆 • 最近の活動 • The Linux Foundationのボード対応、CNCF、OpenSSFの対応 • 「OSSセキュリティ技術の会」での技術者・学術関係者の交流 • Keycloak関連ビジネスやコントリビューション活動の立ち上げ • API管理・認証関連サービス立上げ • Keycloakメンテナを育成 • Keycloak書籍執筆: 認証と認可Keycloak入門(リックテレコム) 中村 雄一 @ 日立製作所 個人のtwitter: @yhimainu • 今回KubeConデビュー • Keynoteのパネル登壇 • Co-locatedイベントのOpenShift Commons Gathering登壇 • メンテナトラック登壇
2 © Hitachi, Ltd. 2023. All rights reserved. ご紹介するセッションについて • 4月にIncubation ProjectになりたてのKeycloakのメンテナトラック 2018年に提案開始し、5年近くかかりCNCF入り!!! • Keycloakプロジェクトとしても、KubeCon EUで急遽メンテナトラックが持てることになったが、メンテナ 達の都合がつかず、メンテナの代理が対応することに… • Red HatのAlexander Schwartzさんと、中村が担当 • Red Hat : Keycloakプロジェクトを立上げ、ホストしており、大多数のメンテナが所属 → AlexanderがKeycloakの基本的な紹介 • 日立 : APIセキュリティ向けの開発を主に対応し、同僚の乗松さんがメンテナに就任 →中村がAPI認可向けの機能の紹介
3 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのできること 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi アプリの認証と認可をKeycloakに任せられる
4 © Hitachi, Ltd. 2023. All rights reserved. デモ環境 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi ・ Grafanaの画面へのログインをKeycloakにお任せ ・ Grafanaにログインして、Keycloakのメトリクス情報を閲覧
5 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのメトリクス取得 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi Metricsエンドポイントから取得可能になっている
6 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのログイン画面を通してGrafanaダッシュボードにログイン 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
7 © Hitachi, Ltd. 2023. All rights reserved. さまざまな認証方法をサポート ・ パスワードレス認証ができるWebAuthnをサポート ・ 任意の認証方式を作りこめるし、任意に組み合わせることもできる 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
8 © Hitachi, Ltd. 2023. All rights reserved. 最近の変更点 ・ 大きいところは、APサーバがWildflyからQuarksがデフォルトになった、 管理コンソールの画面が変わった点 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
9 © Hitachi, Ltd. 2023. All rights reserved. 今後の開発予定 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi ・ ゼロダウンタイムのアップグレードに期待 ・ 会場からはCross-DCクラスタの加速について要望
10 © Hitachi, Ltd. 2023. All rights reserved. 中村担当パートの背景: Keycloakとの関わり ・ 2017年頃より、API公開が金融業種中心に増加、 セキュアにAPI公開するためOAuth2.0の認可サーバが必要だった ・ OAuth 2.0の認可サーバを自分たちだけで作ることは困難だった - 大量の周辺仕様、仕様のアップデート、実装ミスは事故直結 ・ OSSの認可サーバを探していたところ、「Keycloak」を選定 - 粗削りであったが、コミュニティが活発で新たな開発者を受け入れる風土 - 実装がきれいで拡張性がある ・ 高いセキュリティレベルを満たすための機能や顧客要望機能を開発貢献し、 自分たちのソリューションに使いやすいものにしていった 機能が充実→ さらに多くのお客様にKeycloakを使って頂ける →フィードバックを開発貢献→ さらに機能充実→ さらに使って頂ける…の好循環に! ・ メンテナも輩出 (乗松さん) ・ Keycloak CNCF入りもLinux Foundation Platinumメンバとして支援
11 © Hitachi, Ltd. 2023. All rights reserved. Background: APIs everywhere API is an interface for a service, currently REST API is widely used. APIs are opened to other applications and services as a trend of digital transformation. { API } Finance Public Industry OpenAPI is being enforced or strongly recommended by law in many countries. Services of governments and local governments are opening APIs. APIs are used by applications by 3rd party. APIs are essential part of digital services as interfaces for 3rd party and mobile applications. Moreover, API economy is being created among parties in different sectors.
12 © Hitachi, Ltd. 2023. All rights reserved. Background: Security risks in API area Security must be considered for APIs because they are opened to the Internet. As a first step of security, authorization is necessary. OAuth 2.0 is a de-facto standard of authorization of APIs. However, there are risks when we use the OAuth 2.0 improperly. A bank 3rd party Fintech Service Client: Digital Household Account book Users Services by APIs Account Information APIs secured by OAuth 2.0 Authorization Server ID/PW Access Token ID/PW are not kept Resource Server High-level security is required Leakage of access token Replay attack, CSRF attack Example of risks APIs handling asset of users APIs handling personal information
13 © Hitachi, Ltd. 2023. All rights reserved. Toward high-level API security For high-level API security, a specification called FAPI security profile is getting attention globally. FAPI is security profile describing secure usage of OAuth 2.0 and OpenID Connect(OIDC). OAuth 2.0 OpenID Connect (OIDC) FAPI Specification for authorization by access token. It is a framework of authorization, but improper implementation often leads to vulnerabilities. Some secure usage of OAuth 2.0 is introduced and OIDC can be used for authentication by ID token. However, improper implementation is still not restricted. Secure usage of OAuth/OIDC is described across the protocol flow, including usage of optional specification of OAuth(e.g. PKCE) and lower layer protocol (SSL/TLS) usage.
14 © Hitachi, Ltd. 2023. All rights reserved. Requirements specified by FAPI [Main requirements] * Limitation of version (1.2 or later)、Limitation of Cipher Suite、usage of RFC 6125 * Limitation of scheme(only HTTPS)、HTTP Strict Transport Security * Limiting signature/crypto algorithms * Usage of state parameter for authorization request * Usage of nonce parameter for authorization request * Usage of Hybrid Flow, ID token is used as a signature * Usage of Proof Key for Code Exchange(PKCE) * Holder-of-Key Token for access token by MTLS * s_hash,c_hash parameter for authorization response * Usage of signed Request Object TLS on TCP HTTP OAuth 2.0 OpenID Connect 1.0 FAPI
15 © Hitachi, Ltd. 2023. All rights reserved. Sequence to call API using FAPI Resource owner/ Browser Client Authorization Server Resource Server redirect redirect * Authorization request is not tampered/replayed * Legitimate client generated the authorization request * User is authenticated to an appropriate Level of Assurance * Response is not tampered/replayed * Legitimate server generated the response * Sender of the request is the client who received authorization response * Sender of the token is the client who received the token in the token request [Security checks specified in FAPI] 2. User Authentication, Consent 3. Authorization Response 5. API call (with access token) 4. Token Request, Response (Client Authentication) [Step] 1. Authorization Request * Client is authenticated by appropriate way(not by client id/secret) token
16 © Hitachi, Ltd. 2023. All rights reserved. Sequence to call API using FAPI redirect redirect • Each HTTP request/response belongs to one logical session cookie, state/nonce state/nonce cookie or query parameter cookie or query parameter state, code cookie, state, code code id_token(nonce) Resource owner/ Browser Client Authorization Server Resource Server 2. User Authentication, Consent 3. Authorization Response 5. API call (with access token) 4. Token Request, Response (Client Authentication) [Step] 1. Authorization Request [Security checks specified in FAPI among steps ]
17 © Hitachi, Ltd. 2023. All rights reserved. Various API security profiles ◼ Security profiles based on FAPI, specified by organizations in various countries [UK : OpenBanking] - OpenBanking Financial Grade API (FAPI) Profile - OpenBanking CIBA Profile [Australia : Consumer Data Right (CDR)] - Consumer Data Right Security Profile [Brazil : Open Banking Brasil] - Open Banking Brasil Financial-grade API Security Profile - Open Banking Brasil Financial-grade API Dynamic Client Registration [Kingdom of Saudi Arabia: (KSA) Open Banking] ◼ FAPI 1.0 family : specified by OpenID Foundation - Financial-grade API Security Profile 1.0 - Part 1: Baseline - Financial-grade API Security Profile 1.0 - Part 2: Advanced - Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) - Financial-grade API: Client Initiated Backchannel Authentication Profile (FAPI-CIBA) • There are various security profiles related to FAPI, they are not stable, often updated. • Conformance tests and certification program are provided by OpenID Foundation, To prove compliance, it is important to pass conformance tests.
18 © Hitachi, Ltd. 2023. All rights reserved. Collaboration: FAPI-SIG in Keycloak community It is difficult to implement security profiles ... • There are a lot of specifications to support security profiles. • Specifications and conformance tests are often updated. • Configuring Keycloak for security profiles is not easy. Some people were interested in security profiles, to accelerate collaboration FAPI-SIG was launched in Keycloak community in Aug 2020. My colleague Takashi Norimatsu is leading. • github - keycloak/kc-sig-fapi - https://github.com/keycloak/kc-sig-fapi • Bi-weekly or Monthly webconf Everyone can join and contribute ! 補足:FAPI-SIGは、2023年6月よりOAuth-SIGに改名します
19 © Hitachi, Ltd. 2023. All rights reserved. Achievements of FAPI-SIG In FAPI-SIG, development of features required for conformance to security profiles has been promoted. <keycloak 13> • Client Initiated Backchannel Authentication (CIBA) poll mode <keycloak 14> • FAPI 1.0 Baseline Security Profile • FAPI 1.0 Advanced Security Profile • Client Policies (Configuration framework) <keycloak 15> • Client Initiated Backchannel Authentication (CIBA) ping mode • FAPI Client Initiated Backchannel Authentication Profile (FAPI-CIBA) • FAPI JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) • OAuth 2.0 Pushed Authorization Requests (PAR) • Brazil : Open Banking Brasil Financial-grade API Security Profile
20 © Hitachi, Ltd. 2023. All rights reserved. Achievements of FAPI-SIG Results are also available at https://github.com/keycloak/kc-sig-fapi • Recent Keycloak can pass major conformance tests. • In order to prove conformance to security profiles, it is effective to pass conformance tests provided from OpenID Foundation. However, setting up environment and running tests in every version up of Keycloak is very hard work.We developed conformance test execution environment for Keycloak using Docker containers.
21 © Hitachi, Ltd. 2023. All rights reserved. Contribution is welcomed • API security profiles are evolving, Keycloak also should catch up the latest standards. • OIDC4IDA, FAPI 2.0, OAuth 2.1 etc… • If you are interested in API security profiles for Keycloak, let’s join FAPI-SIG meeting. Meeting schedule is announced in Keycloak-dev mailing list. https://groups.google.com/forum/#!topic/keycloak-dev/Ck_1i5LHFrE 補足: KeycloakのslackチャンネルもCNCFにできました https://www.keycloak.org/community より引用↓ Join #keycloak, or #keycloak-dev on Slack for design discussions, or questions by creating an account at https://slack.cncf.io/
22 © Hitachi, Ltd. 2023. All rights reserved. 会場の反応&個人の感想 ・ 300人ほど入りそうな会場はほぼ満席。セッション終了後も残って議論が盛り上がった ・ ユーザーとの接点を増やすべきという要望が多いように見受けられた - ユースケースの情報交換 - ドキュメンテーションの充実 FAPIについても要望があった。確かに、分かる人にしか分からない状況。 ・ Keycloakコミュニティは、「開発者コミュニティ」は順調に拡大しているが、 ユーザーコミュニティについては、まだまだであり、 充実させるよう働きかけて&貢献していきたい ・ KubeCon NAでは、ブース出展や前日のProject meetingも実施したい ・ リアルイベント重要
23 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • Red Hat is trademark of Red Hat, Inc., registered in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
KubeConRecap_nakamura.pdf

Empfohlen

最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
containerdの概要と最近の機能
containerdの概要と最近の機能containerdの概要と最近の機能
containerdの概要と最近の機能Kohei Tokunaga
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてHiroyuki Wada
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 

Empfohlen

最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~Hitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するHitachi, Ltd. OSS Solution Center.
 
containerdの概要と最近の機能
containerdの概要と最近の機能containerdの概要と最近の機能
containerdの概要と最近の機能Kohei Tokunaga
 
KeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてKeycloakのDevice Flow、CIBAについて
KeycloakのDevice Flow、CIBAについてHiroyuki Wada
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門土岐 孝平
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーToru Makabe
 
今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみた今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみたKohei Tokunaga
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)NTT DATA Technology & Innovation
 
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善Ito Takayuki
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能Kohei Tokunaga
 
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)NTT DATA Technology & Innovation
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線Motonori Shindo
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Kohei Tokunaga
 
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...NTT DATA Technology & Innovation
 
Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較Mei Nakamura
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術までAkihiro Suda
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理NTT DATA Technology & Innovation
 
Python 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそうPython 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそうRyuji Tsutsui
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)NTT DATA Technology & Innovation
 
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践日本マイクロソフト株式会社
 
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachiapidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachiapidays
 
APIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security ProfileAPIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security ProfileHitachi, Ltd. OSS Solution Center.
 

Weitere ähnliche Inhalte

Was ist angesagt?

Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門土岐 孝平
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーToru Makabe
 
今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみた今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみたKohei Tokunaga
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)NTT DATA Technology & Innovation
 
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善Ito Takayuki
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能Kohei Tokunaga
 
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)NTT DATA Technology & Innovation
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線Motonori Shindo
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Kohei Tokunaga
 
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...NTT DATA Technology & Innovation
 
Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較Mei Nakamura
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術までAkihiro Suda
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理NTT DATA Technology & Innovation
 
Python 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそうPython 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそうRyuji Tsutsui
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)NTT DATA Technology & Innovation
 
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践日本マイクロソフト株式会社
 

Was ist angesagt? (20)

Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
 
今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみた今話題のいろいろなコンテナランタイムを比較してみた
今話題のいろいろなコンテナランタイムを比較してみた
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
 
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能
 
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門する
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
OSSプロジェクトへのコントリビューション はじめの一歩を踏み出そう!(Open Source Conference 2022 Online/Spring...
 
Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較Ingressの概要とLoadBalancerとの比較
Ingressの概要とLoadBalancerとの比較
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
 
Python 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそうPython 3.9からの新定番zoneinfoを使いこなそう
Python 3.9からの新定番zoneinfoを使いこなそう
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
 
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
コンテナセキュリティにおける権限制御(OCHaCafe5 #3 Kubernetes のセキュリティ 発表資料)
 
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
【de:code 2020】 Azure Red hat OpenShift (ARO) によるシステムアーキテクチャ構築の実践
 

Ähnlich wie KubeConRecap_nakamura.pdf

apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachiapidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachiapidays
 
APIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security ProfileAPIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security ProfileHitachi, Ltd. OSS Solution Center.
 
APIdays Paris 2019 - What are protected and secured by security requirements ...
APIdays Paris 2019 - What are protected and secured by security requirements ...APIdays Paris 2019 - What are protected and secured by security requirements ...
APIdays Paris 2019 - What are protected and secured by security requirements ...apidays
 
Implementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakImplementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakYuichi Nakamura
 
APIdays London 2020: Toward certifying Financial-grade API security profile w...
APIdays London 2020: Toward certifying Financial-grade API security profile w...APIdays London 2020: Toward certifying Financial-grade API security profile w...
APIdays London 2020: Toward certifying Financial-grade API security profile w...Hitachi, Ltd. OSS Solution Center.
 
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...apidays
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Hitachi, Ltd. OSS Solution Center.
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Hitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Hitachi, Ltd. OSS Solution Center.
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...Hitachi, Ltd. OSS Solution Center.
 
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...APIsecure_ Official
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Hitachi, Ltd. OSS Solution Center.
 
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloak
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloakDevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloak
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloakHitachi, Ltd. OSS Solution Center.
 
Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ... Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ...Yuichi Nakamura
 
APIConnect Security Best Practice
APIConnect Security Best PracticeAPIConnect Security Best Practice
APIConnect Security Best PracticeShiu-Fun Poon
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)ForgeRock
 
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays
 
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays
 
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...Standard Based API Security, Access Control and AI Based Attack - API Days Pa...
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...Ping Identity
 

Ähnlich wie KubeConRecap_nakamura.pdf (20)

apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachiapidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
apidays Paris 2022 - Securing APIs in Open Banking, Takashi Norimatsu, Hitachi
 
APIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security ProfileAPIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
APIdays Paris 2019 : Financial-grade API (FAPI) Security Profile
 
APIdays Paris 2019 - What are protected and secured by security requirements ...
APIdays Paris 2019 - What are protected and secured by security requirements ...APIdays Paris 2019 - What are protected and secured by security requirements ...
APIdays Paris 2019 - What are protected and secured by security requirements ...
 
Implementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on KeycloakImplementing WebAuthn & FAPI supports on Keycloak
Implementing WebAuthn & FAPI supports on Keycloak
 
APIdays London 2020: Toward certifying Financial-grade API security profile w...
APIdays London 2020: Toward certifying Financial-grade API security profile w...APIdays London 2020: Toward certifying Financial-grade API security profile w...
APIdays London 2020: Toward certifying Financial-grade API security profile w...
 
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...
apidays LIVE LONDON - Toward certifying Financial-grade API profile with Keyc...
 
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
Lightweight Zero-trust Network Implementation and Transition with Keycloak an...
 
Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...Implementing security and availability requirements for banking API system us...
Implementing security and availability requirements for banking API system us...
 
Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...Guide of authentication and authorization for cloud native applications with ...
Guide of authentication and authorization for cloud native applications with ...
 
What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...What API Specifications and Tools Help Engineers to Construct a High-Security...
What API Specifications and Tools Help Engineers to Construct a High-Security...
 
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...
2022 APIsecure_Why Assertion-based Access Token is preferred to Handle-based ...
 
Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?Why Assertion-based Access Token is preferred to Handle-based one?
Why Assertion-based Access Token is preferred to Handle-based one?
 
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloak
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloakDevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloak
DevConf.CZ 2020 @ Brno, Czech Republic : WebAuthn support for keycloak
 
Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ... Implementing security requirements for banking API system using Open Source ...
Implementing security requirements for banking API system using Open Source ...
 
APIConnect Security Best Practice
APIConnect Security Best PracticeAPIConnect Security Best Practice
APIConnect Security Best Practice
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
 
WebAuthn & FIDO2
WebAuthn & FIDO2WebAuthn & FIDO2
WebAuthn & FIDO2
 
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
 
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
apidays LIVE Hong Kong 2021 - Digital Identity Centric Approach to Accelerate...
 
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...Standard Based API Security, Access Control and AI Based Attack - API Days Pa...
Standard Based API Security, Access Control and AI Based Attack - API Days Pa...
 

Mehr von Hitachi, Ltd. OSS Solution Center.

KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...Hitachi, Ltd. OSS Solution Center.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可Hitachi, Ltd. OSS Solution Center.
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakHitachi, Ltd. OSS Solution Center.
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Hitachi, Ltd. OSS Solution Center.
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~Hitachi, Ltd. OSS Solution Center.
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現Hitachi, Ltd. OSS Solution Center.
 

Mehr von Hitachi, Ltd. OSS Solution Center. (20)

KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩みKeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with KeycloakChallenge to Implementing "Scalable" Authorization with Keycloak
Challenge to Implementing "Scalable" Authorization with Keycloak
 
NGINXでの認可について考える
NGINXでの認可について考えるNGINXでの認可について考える
NGINXでの認可について考える
 
Security Considerations for API Gateway Aggregation
Security Considerations for API Gateway AggregationSecurity Considerations for API Gateway Aggregation
Security Considerations for API Gateway Aggregation
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
 
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
Overall pictures of Identity provider mix-up attack patterns and trade-offs b...
 
Apache con@home 2021_sha
Apache con@home 2021_shaApache con@home 2021_sha
Apache con@home 2021_sha
 
Node-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using ElectronNode-RED Installer, Standalone Installer using Electron
Node-RED Installer, Standalone Installer using Electron
 
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順Hacktoberfest 概要、Node-REDプロジェクト貢献手順
Hacktoberfest 概要、Node-REDプロジェクト貢献手順
 
Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介Node-RED v2.0新機能紹介
Node-RED v2.0新機能紹介
 
Node-REDからREST APIに接続
Node-REDからREST APIに接続Node-REDからREST APIに接続
Node-REDからREST APIに接続
 
Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介Node-RED v1.3新機能紹介
Node-RED v1.3新機能紹介
 
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
社会のコードを、書き換えよう~エンジニア起点のNew Normalな働き方~
 
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
CloudNative Days Spring 2021 Online: Apache CamelおよびKeycloakを用いたAPI管理基盤の実現
 
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
 

Kürzlich hochgeladen

WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital Transformation
WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital TransformationWSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital Transformation
WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital TransformationWSO2
 
Architecture decision records - How not to get lost in the past
Architecture decision records - How not to get lost in the pastArchitecture decision records - How not to get lost in the past
Architecture decision records - How not to get lost in the pastPapp Krisztián
 
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...Shane Coughlan
 
Artyushina_Guest lecture_YorkU CS May 2024.pptx
Artyushina_Guest lecture_YorkU CS May 2024.pptxArtyushina_Guest lecture_YorkU CS May 2024.pptx
Artyushina_Guest lecture_YorkU CS May 2024.pptxAnnaArtyushina1
 
%in tembisa+277-882-255-28 abortion pills for sale in tembisa
%in tembisa+277-882-255-28 abortion pills for sale in tembisa%in tembisa+277-882-255-28 abortion pills for sale in tembisa
%in tembisa+277-882-255-28 abortion pills for sale in tembisamasabamasaba
 
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...Bert Jan Schrijver
 
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...WSO2
 
VTU technical seminar 8Th Sem on Scikit-learn
VTU technical seminar 8Th Sem on Scikit-learnVTU technical seminar 8Th Sem on Scikit-learn
VTU technical seminar 8Th Sem on Scikit-learnAmarnathKambale
 
%in kempton park+277-882-255-28 abortion pills for sale in kempton park
%in kempton park+277-882-255-28 abortion pills for sale in kempton park %in kempton park+277-882-255-28 abortion pills for sale in kempton park
%in kempton park+277-882-255-28 abortion pills for sale in kempton park masabamasaba
 
Direct Style Effect Systems - The Print[A] Example - A Comprehension Aid
Direct Style Effect Systems - The Print[A] Example - A Comprehension AidDirect Style Effect Systems - The Print[A] Example - A Comprehension Aid
Direct Style Effect Systems - The Print[A] Example - A Comprehension AidPhilip Schwarz
 
WSO2Con204 - Hard Rock Presentation - Keynote
WSO2Con204 - Hard Rock Presentation - KeynoteWSO2Con204 - Hard Rock Presentation - Keynote
WSO2Con204 - Hard Rock Presentation - KeynoteWSO2
 
Announcing Codolex 2.0 from GDK Software
Announcing Codolex 2.0 from GDK SoftwareAnnouncing Codolex 2.0 from GDK Software
Announcing Codolex 2.0 from GDK SoftwareJim McKeeth
 
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...WSO2
 
%in Midrand+277-882-255-28 abortion pills for sale in midrand
%in Midrand+277-882-255-28 abortion pills for sale in midrand%in Midrand+277-882-255-28 abortion pills for sale in midrand
%in Midrand+277-882-255-28 abortion pills for sale in midrandmasabamasaba
 
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...WSO2
 
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...WSO2
 
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...Health
 
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfonteinmasabamasaba
 
tonesoftg
tonesoftgtonesoftg
tonesoftglanshi9
 

Kürzlich hochgeladen (20)

WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital Transformation
WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital TransformationWSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital Transformation
WSO2Con2024 - WSO2's IAM Vision: Identity-Led Digital Transformation
 
Architecture decision records - How not to get lost in the past
Architecture decision records - How not to get lost in the pastArchitecture decision records - How not to get lost in the past
Architecture decision records - How not to get lost in the past
 
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
 
Artyushina_Guest lecture_YorkU CS May 2024.pptx
Artyushina_Guest lecture_YorkU CS May 2024.pptxArtyushina_Guest lecture_YorkU CS May 2024.pptx
Artyushina_Guest lecture_YorkU CS May 2024.pptx
 
%in tembisa+277-882-255-28 abortion pills for sale in tembisa
%in tembisa+277-882-255-28 abortion pills for sale in tembisa%in tembisa+277-882-255-28 abortion pills for sale in tembisa
%in tembisa+277-882-255-28 abortion pills for sale in tembisa
 
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...
Devoxx UK 2024 - Going serverless with Quarkus, GraalVM native images and AWS...
 
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...
WSO2CON 2024 - WSO2's Digital Transformation Journey with Choreo: A Platforml...
 
VTU technical seminar 8Th Sem on Scikit-learn
VTU technical seminar 8Th Sem on Scikit-learnVTU technical seminar 8Th Sem on Scikit-learn
VTU technical seminar 8Th Sem on Scikit-learn
 
%in kempton park+277-882-255-28 abortion pills for sale in kempton park
%in kempton park+277-882-255-28 abortion pills for sale in kempton park %in kempton park+277-882-255-28 abortion pills for sale in kempton park
%in kempton park+277-882-255-28 abortion pills for sale in kempton park
 
Direct Style Effect Systems - The Print[A] Example - A Comprehension Aid
Direct Style Effect Systems - The Print[A] Example - A Comprehension AidDirect Style Effect Systems - The Print[A] Example - A Comprehension Aid
Direct Style Effect Systems - The Print[A] Example - A Comprehension Aid
 
WSO2Con204 - Hard Rock Presentation - Keynote
WSO2Con204 - Hard Rock Presentation - KeynoteWSO2Con204 - Hard Rock Presentation - Keynote
WSO2Con204 - Hard Rock Presentation - Keynote
 
Announcing Codolex 2.0 from GDK Software
Announcing Codolex 2.0 from GDK SoftwareAnnouncing Codolex 2.0 from GDK Software
Announcing Codolex 2.0 from GDK Software
 
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...
WSO2Con2024 - From Code To Cloud: Fast Track Your Cloud Native Journey with C...
 
%in Midrand+277-882-255-28 abortion pills for sale in midrand
%in Midrand+277-882-255-28 abortion pills for sale in midrand%in Midrand+277-882-255-28 abortion pills for sale in midrand
%in Midrand+277-882-255-28 abortion pills for sale in midrand
 
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...
WSO2CON 2024 - Cloud Native Middleware: Domain-Driven Design, Cell-Based Arch...
 
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...
WSO2CON 2024 - Building the API First Enterprise – Running an API Program, fr...
 
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...
+971565801893>>SAFE AND ORIGINAL ABORTION PILLS FOR SALE IN DUBAI AND ABUDHAB...
 
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein
%in Stilfontein+277-882-255-28 abortion pills for sale in Stilfontein
 
Abortion Pills In Pretoria ](+27832195400*)[ 🏥 Women's Abortion Clinic In Pre...
Abortion Pills In Pretoria ](+27832195400*)[ 🏥 Women's Abortion Clinic In Pre...Abortion Pills In Pretoria ](+27832195400*)[ 🏥 Women's Abortion Clinic In Pre...
Abortion Pills In Pretoria ](+27832195400*)[ 🏥 Women's Abortion Clinic In Pre...
 
tonesoftg
tonesoftgtonesoftg
tonesoftg
 

KubeConRecap_nakamura.pdf

  • 1. © Hitachi, Ltd. 2023. All rights reserved. Keycloak: The Open-Source IAM for Modern Applications 日立製作所 中村 雄一 KubeCon EU 2023 Recap
  • 2. 1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 • 2000年代: SELinuxに関するOSS活動 - 組込み向けSELinuxの開発、パフォーマンスチューニングなどをOSSコミュニティ貢献 - SELinux設定ツールのOSS公開 (SELinux Policy Editor) - イベント登壇 (Ottawa Linux Symposium, CE Linux Forum, USENIX LISA 等) - 学術論文執筆、SELinux書籍執筆 • 最近の活動 • The Linux Foundationのボード対応、CNCF、OpenSSFの対応 • 「OSSセキュリティ技術の会」での技術者・学術関係者の交流 • Keycloak関連ビジネスやコントリビューション活動の立ち上げ • API管理・認証関連サービス立上げ • Keycloakメンテナを育成 • Keycloak書籍執筆: 認証と認可Keycloak入門(リックテレコム) 中村 雄一 @ 日立製作所 個人のtwitter: @yhimainu • 今回KubeConデビュー • Keynoteのパネル登壇 • Co-locatedイベントのOpenShift Commons Gathering登壇 • メンテナトラック登壇
  • 3. 2 © Hitachi, Ltd. 2023. All rights reserved. ご紹介するセッションについて • 4月にIncubation ProjectになりたてのKeycloakのメンテナトラック 2018年に提案開始し、5年近くかかりCNCF入り!!! • Keycloakプロジェクトとしても、KubeCon EUで急遽メンテナトラックが持てることになったが、メンテナ 達の都合がつかず、メンテナの代理が対応することに… • Red HatのAlexander Schwartzさんと、中村が担当 • Red Hat : Keycloakプロジェクトを立上げ、ホストしており、大多数のメンテナが所属 → AlexanderがKeycloakの基本的な紹介 • 日立 : APIセキュリティ向けの開発を主に対応し、同僚の乗松さんがメンテナに就任 →中村がAPI認可向けの機能の紹介
  • 4. 3 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのできること 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi アプリの認証と認可をKeycloakに任せられる
  • 5. 4 © Hitachi, Ltd. 2023. All rights reserved. デモ環境 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi ・ Grafanaの画面へのログインをKeycloakにお任せ ・ Grafanaにログインして、Keycloakのメトリクス情報を閲覧
  • 6. 5 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのメトリクス取得 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi Metricsエンドポイントから取得可能になっている
  • 7. 6 © Hitachi, Ltd. 2023. All rights reserved. Keycloakのログイン画面を通してGrafanaダッシュボードにログイン 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
  • 8. 7 © Hitachi, Ltd. 2023. All rights reserved. さまざまな認証方法をサポート ・ パスワードレス認証ができるWebAuthnをサポート ・ 任意の認証方式を作りこめるし、任意に組み合わせることもできる 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
  • 9. 8 © Hitachi, Ltd. 2023. All rights reserved. 最近の変更点 ・ 大きいところは、APサーバがWildflyからQuarksがデフォルトになった、 管理コンソールの画面が変わった点 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi
  • 10. 9 © Hitachi, Ltd. 2023. All rights reserved. 今後の開発予定 出典: https://kccnceu2023.sched.com/event/1LQDS/keycloak-the-open-source-iam-for-modern-applications-alexander-schwartz-red-hat-yuuichi-nakamura-hitachi ・ ゼロダウンタイムのアップグレードに期待 ・ 会場からはCross-DCクラスタの加速について要望
  • 11. 10 © Hitachi, Ltd. 2023. All rights reserved. 中村担当パートの背景: Keycloakとの関わり ・ 2017年頃より、API公開が金融業種中心に増加、 セキュアにAPI公開するためOAuth2.0の認可サーバが必要だった ・ OAuth 2.0の認可サーバを自分たちだけで作ることは困難だった - 大量の周辺仕様、仕様のアップデート、実装ミスは事故直結 ・ OSSの認可サーバを探していたところ、「Keycloak」を選定 - 粗削りであったが、コミュニティが活発で新たな開発者を受け入れる風土 - 実装がきれいで拡張性がある ・ 高いセキュリティレベルを満たすための機能や顧客要望機能を開発貢献し、 自分たちのソリューションに使いやすいものにしていった 機能が充実→ さらに多くのお客様にKeycloakを使って頂ける →フィードバックを開発貢献→ さらに機能充実→ さらに使って頂ける…の好循環に! ・ メンテナも輩出 (乗松さん) ・ Keycloak CNCF入りもLinux Foundation Platinumメンバとして支援
  • 12. 11 © Hitachi, Ltd. 2023. All rights reserved. Background: APIs everywhere API is an interface for a service, currently REST API is widely used. APIs are opened to other applications and services as a trend of digital transformation. { API } Finance Public Industry OpenAPI is being enforced or strongly recommended by law in many countries. Services of governments and local governments are opening APIs. APIs are used by applications by 3rd party. APIs are essential part of digital services as interfaces for 3rd party and mobile applications. Moreover, API economy is being created among parties in different sectors.
  • 13. 12 © Hitachi, Ltd. 2023. All rights reserved. Background: Security risks in API area Security must be considered for APIs because they are opened to the Internet. As a first step of security, authorization is necessary. OAuth 2.0 is a de-facto standard of authorization of APIs. However, there are risks when we use the OAuth 2.0 improperly. A bank 3rd party Fintech Service Client: Digital Household Account book Users Services by APIs Account Information APIs secured by OAuth 2.0 Authorization Server ID/PW Access Token ID/PW are not kept Resource Server High-level security is required Leakage of access token Replay attack, CSRF attack Example of risks APIs handling asset of users APIs handling personal information
  • 14. 13 © Hitachi, Ltd. 2023. All rights reserved. Toward high-level API security For high-level API security, a specification called FAPI security profile is getting attention globally. FAPI is security profile describing secure usage of OAuth 2.0 and OpenID Connect(OIDC). OAuth 2.0 OpenID Connect (OIDC) FAPI Specification for authorization by access token. It is a framework of authorization, but improper implementation often leads to vulnerabilities. Some secure usage of OAuth 2.0 is introduced and OIDC can be used for authentication by ID token. However, improper implementation is still not restricted. Secure usage of OAuth/OIDC is described across the protocol flow, including usage of optional specification of OAuth(e.g. PKCE) and lower layer protocol (SSL/TLS) usage.
  • 15. 14 © Hitachi, Ltd. 2023. All rights reserved. Requirements specified by FAPI [Main requirements] * Limitation of version (1.2 or later)、Limitation of Cipher Suite、usage of RFC 6125 * Limitation of scheme(only HTTPS)、HTTP Strict Transport Security * Limiting signature/crypto algorithms * Usage of state parameter for authorization request * Usage of nonce parameter for authorization request * Usage of Hybrid Flow, ID token is used as a signature * Usage of Proof Key for Code Exchange(PKCE) * Holder-of-Key Token for access token by MTLS * s_hash,c_hash parameter for authorization response * Usage of signed Request Object TLS on TCP HTTP OAuth 2.0 OpenID Connect 1.0 FAPI
  • 16. 15 © Hitachi, Ltd. 2023. All rights reserved. Sequence to call API using FAPI Resource owner/ Browser Client Authorization Server Resource Server redirect redirect * Authorization request is not tampered/replayed * Legitimate client generated the authorization request * User is authenticated to an appropriate Level of Assurance * Response is not tampered/replayed * Legitimate server generated the response * Sender of the request is the client who received authorization response * Sender of the token is the client who received the token in the token request [Security checks specified in FAPI] 2. User Authentication, Consent 3. Authorization Response 5. API call (with access token) 4. Token Request, Response (Client Authentication) [Step] 1. Authorization Request * Client is authenticated by appropriate way(not by client id/secret) token
  • 17. 16 © Hitachi, Ltd. 2023. All rights reserved. Sequence to call API using FAPI redirect redirect • Each HTTP request/response belongs to one logical session cookie, state/nonce state/nonce cookie or query parameter cookie or query parameter state, code cookie, state, code code id_token(nonce) Resource owner/ Browser Client Authorization Server Resource Server 2. User Authentication, Consent 3. Authorization Response 5. API call (with access token) 4. Token Request, Response (Client Authentication) [Step] 1. Authorization Request [Security checks specified in FAPI among steps ]
  • 18. 17 © Hitachi, Ltd. 2023. All rights reserved. Various API security profiles ◼ Security profiles based on FAPI, specified by organizations in various countries [UK : OpenBanking] - OpenBanking Financial Grade API (FAPI) Profile - OpenBanking CIBA Profile [Australia : Consumer Data Right (CDR)] - Consumer Data Right Security Profile [Brazil : Open Banking Brasil] - Open Banking Brasil Financial-grade API Security Profile - Open Banking Brasil Financial-grade API Dynamic Client Registration [Kingdom of Saudi Arabia: (KSA) Open Banking] ◼ FAPI 1.0 family : specified by OpenID Foundation - Financial-grade API Security Profile 1.0 - Part 1: Baseline - Financial-grade API Security Profile 1.0 - Part 2: Advanced - Financial-grade API: JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) - Financial-grade API: Client Initiated Backchannel Authentication Profile (FAPI-CIBA) • There are various security profiles related to FAPI, they are not stable, often updated. • Conformance tests and certification program are provided by OpenID Foundation, To prove compliance, it is important to pass conformance tests.
  • 19. 18 © Hitachi, Ltd. 2023. All rights reserved. Collaboration: FAPI-SIG in Keycloak community It is difficult to implement security profiles ... • There are a lot of specifications to support security profiles. • Specifications and conformance tests are often updated. • Configuring Keycloak for security profiles is not easy. Some people were interested in security profiles, to accelerate collaboration FAPI-SIG was launched in Keycloak community in Aug 2020. My colleague Takashi Norimatsu is leading. • github - keycloak/kc-sig-fapi - https://github.com/keycloak/kc-sig-fapi • Bi-weekly or Monthly webconf Everyone can join and contribute ! 補足:FAPI-SIGは、2023年6月よりOAuth-SIGに改名します
  • 20. 19 © Hitachi, Ltd. 2023. All rights reserved. Achievements of FAPI-SIG In FAPI-SIG, development of features required for conformance to security profiles has been promoted. <keycloak 13> • Client Initiated Backchannel Authentication (CIBA) poll mode <keycloak 14> • FAPI 1.0 Baseline Security Profile • FAPI 1.0 Advanced Security Profile • Client Policies (Configuration framework) <keycloak 15> • Client Initiated Backchannel Authentication (CIBA) ping mode • FAPI Client Initiated Backchannel Authentication Profile (FAPI-CIBA) • FAPI JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) • OAuth 2.0 Pushed Authorization Requests (PAR) • Brazil : Open Banking Brasil Financial-grade API Security Profile
  • 21. 20 © Hitachi, Ltd. 2023. All rights reserved. Achievements of FAPI-SIG Results are also available at https://github.com/keycloak/kc-sig-fapi • Recent Keycloak can pass major conformance tests. • In order to prove conformance to security profiles, it is effective to pass conformance tests provided from OpenID Foundation. However, setting up environment and running tests in every version up of Keycloak is very hard work.We developed conformance test execution environment for Keycloak using Docker containers.
  • 22. 21 © Hitachi, Ltd. 2023. All rights reserved. Contribution is welcomed • API security profiles are evolving, Keycloak also should catch up the latest standards. • OIDC4IDA, FAPI 2.0, OAuth 2.1 etc… • If you are interested in API security profiles for Keycloak, let’s join FAPI-SIG meeting. Meeting schedule is announced in Keycloak-dev mailing list. https://groups.google.com/forum/#!topic/keycloak-dev/Ck_1i5LHFrE 補足: KeycloakのslackチャンネルもCNCFにできました https://www.keycloak.org/community より引用↓ Join #keycloak, or #keycloak-dev on Slack for design discussions, or questions by creating an account at https://slack.cncf.io/
  • 23. 22 © Hitachi, Ltd. 2023. All rights reserved. 会場の反応&個人の感想 ・ 300人ほど入りそうな会場はほぼ満席。セッション終了後も残って議論が盛り上がった ・ ユーザーとの接点を増やすべきという要望が多いように見受けられた - ユースケースの情報交換 - ドキュメンテーションの充実 FAPIについても要望があった。確かに、分かる人にしか分からない状況。 ・ Keycloakコミュニティは、「開発者コミュニティ」は順調に拡大しているが、 ユーザーコミュニティについては、まだまだであり、 充実させるよう働きかけて&貢献していきたい ・ KubeCon NAでは、ブース出展や前日のProject meetingも実施したい ・ リアルイベント重要
  • 24. 23 © Hitachi, Ltd. 2023. All rights reserved. Trademarks • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • Red Hat is trademark of Red Hat, Inc., registered in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.