Keycloakを利用したシングルサインオン導入事例

ソリューション開発部　恒川稜平

今回は、製造業者様にて、Keycloakを利用したシングルサインオンを導入した事例です。お客様のシステムでは、システムごとにアカウントを管理していたため、管理者だけでなくユーザにとっても手間がかかっていました。また、今後もシステムの規模が大きくなり、より管理が煩雑になる可能性がありました。

お客様が悩まれていた課題

お客様は以下の内容の課題がありました。

システムごとにログインをするのが面倒
ログインするアカウントはActive Directoryで管理をしなければならない
今後もアカウントを連携する対象が増える可能性がある

デージーネットからの提案

デージーネットからは以下の2つを提案しました。

シングルサインオン（SSO）を実現するKeycloakの導入を提案

複数のシステムごとにユーザ管理をする場合、管理者は個別にIDやパスワードを管理する手間がかかるだけでなく、個人情報の漏洩やセキュリティリスクなどの恐れがあります。また、お客様は、ログインするアカウントをActive Directoryで管理する必要がありました。そこで、Keycloakを利用したシングルサインオンのシステムを提案しました。

Keycloakとは、Webインターフェースでシングルサインオンを実現する、Javaベースの認証ソフトウェアです。Active Directoryと連携することが可能です。Keycloakと他のシステムで連携の設定を行い、Keycloakの画面で認証に成功すると、両方のシステムにログインした状態になります。つまり、Keycloakによる一度の認証だけで、他のシステムを利用することができます。

運用手順書の作成を提案

今後も連携する対象システムが増えることを想定して、運用手順書をお渡しすることを提案しました。手順書では、今回のシステムを実装するために設定したKeycloakの設定をマニュアル化しました。

導入時の工夫

導入にあたって以下を工夫しました。

連携するシステム側のシングルサインオン認証設定

連携対象のシステム側にもシングルサインオンの設定が必要でした。それぞれのソフトウェアで設定方法が異なるため、対応可能なソフトウェアを導入しました。

Keycloak側でのLDAP連携

Keycloak側でActive Directoryと連携をする際、他のシステムで利用する属性の定義を行ってから連携をしました。

導入後の結果

デージーネットが別件で構築したオンラインストレージのNextcloudなど、複数のシステムでシングルサインオンが可能となり、ユーザ管理を一元化することができました。また、Active Directoryと連携することで、Active Directory内の特定の属性とパスワードを使って、各システムへログインすることができるようになりました。さらに、導入時の設定をマニュアル化し、お客様に説明を行いました。それによって、実際に何を設定し、どこで属性を定義しているのかなどを理解していただき、今後連携先が増えた場合も対応いただけるようになりました。

デージーネットからのお知らせ

二要素認証でセキュリティの強化！安心・安全なインターネット環境の構築セミナーを開催します。

今回は、二要素認証を使ったセキュリティの強化について解説します。

日程：2022年12月20日(火)
時間：15：00〜16：00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=77

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

前へ（今月の気になるオープンソース情報）

デージーネットマガジン2022年12月号記事一覧

今月の気になるオープンソース情報

本社所在地
〒465-0025
名古屋市名東区上社四丁目39-1
※名古屋市営地下鉄東山線「上社駅」より徒歩約7分

東京営業所
〒105-0013
東京都港区浜松町二丁目6-5浜松町エクセレントビル8F
※JR山手線・京浜東北線「浜松町駅」南口より徒歩3分
※都営地下鉄大江戸線・浅草線「大門駅」A1出口より徒歩5分