SlideShare a Scribd company logo

KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization with Keycloak

Hitachi, Ltd. OSS Solution Center., profile picture
Hitachi, Ltd. OSS Solution Center.

Kubernetes Meetup Tokyo #62 KubeCon NA 2023 Recap の資料

Software
1 of 21
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
© Hitachi, Ltd. 2023. All rights reserved. Challenge to Implementing “Scalable” Authorization with Keycloak 日立製作所 中村 雄一 yuichi.nakamura.fe@hitachi.com KubeCon NA 2023 Recap
1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 • 2000年代: SELinuxに関するOSS活動 - 組込み向けSELinuxの開発、パフォーマンスチューニングなどをOSSコミュニティ貢献 - SELinux設定ツールのOSS公開 (SELinux Policy Editor) - イベント登壇 (Ottawa Linux Symposium, CE Linux Forum, USENIX LISA 等) - 学術論文執筆、SELinux書籍執筆 • 最近の活動 • The Linux Foundationのボード対応、CNCF、OpenSSFの対応 • 「OSSセキュリティ技術の会」での技術者・学術関係者の交流 • Keycloak関連ビジネスやコントリビューション活動の立上げ • API管理・認証関連サービス立上げ • Keycloakメンテナを育成 • Keycloak書籍執筆: 認証と認可Keycloak入門(リックテレコム) 中村 雄一 @ 日立製作所 個人のtwitter: @yhimainu • CNCF Japan Chapter “Cloud Native Community Japan”のオーガナイザ
2 © Hitachi, Ltd. 2023. All rights reserved. ご紹介するセッションについて • 同僚の田畑さん(CNCF Ambassador)が担当したKeycloakに関連するセッション。 • CNCF Incubating Project 「Keycloak」のクラウドネイティブにおける主な役割: OIDC(OpenID Connect)のOP(OpenID Provider)。 kubernetesのドキュメントではOPのことを「Identity Provider(IdP)」と呼んでいる。 ・ ユースケース例1: Kubernetes APIの認可の場合 IdPはユーザーを認証し、IDトークンを発行。KubectlコマンドにIDトークンを設定。 Kubectlコマンドが、IDトークンと共にKubernetes APIを呼び出し。 Kubernetes APIはIDトークンを見てアクセス制御(認可)。 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#openid-connect-tokens ・ ユースケース例2: k8s上のマイクロサービスやAPIの認可の場合 → 本講演の対象 IdPはユーザーを認証し、アクセストークンをクライアントに発行。 クライアントは、アクセストークンをセットし、マイクロサービスやAPIを呼び出し。 マイクロサービスやAPIは、アクセストークンを見て(*)アクセス制御(認可)。 (*)アクセストークンに属性情報が入ってない場合は、IdPなどに属性情報を問い合わせる
3 © Hitachi, Ltd. 2023. All rights reserved. 当日の様子 Keynoteのエリアを分割した部屋で発表。 かなり広い部屋(1000人以上入りそうだった) KeynoteでFall 2023のアンバサダーが発表。 田畑さんが新たに就任。 応募の際は、これまでの認証・API関連の海外カンファレンスの 登壇実績、執筆実績、Keycloakコントリビューション実績と 認証認可分野でのやる気をアピール。 田畑さん アンバサダー ジャケットをゲット *アンバサダーの皆様の写真はこちらで公開されています https://www.cncf.io/people/ambassadors/
4 © Hitachi, Ltd. 2023. All rights reserved. セッションrecap 以下、田畑さんのスライドからの抜粋と補足です
5 © Hitachi, Ltd. 2023. All rights reserved. 認証(Authentication)と認可(Authorization)の違いについて (認証された)エンティティが、リソースにアクセス、その際に認可が行われる。
6 © Hitachi, Ltd. 2023. All rights reserved. OWASPでも認可のセキュリティリスクが話題になっている
7 © Hitachi, Ltd. 2023. All rights reserved. シンプルな認可の実装 アプリのロジックに認可の埋め込み サービスが増えてくると似たようなロジックを色んな場所に埋め込む必要 →スケールしない
8 © Hitachi, Ltd. 2023. All rights reserved. ロールでの管理 ロール階層を定義して、ユーザをロールに所属させることで、 ロジックはシンプルになる
9 © Hitachi, Ltd. 2023. All rights reserved. サービスが拡大すると… ロール爆発が起こる
10 © Hitachi, Ltd. 2023. All rights reserved. アプリでの認可+ロール管理の限界 複雑なロールのデータを各サービスで管理し、スケールしなくなる
11 © Hitachi, Ltd. 2023. All rights reserved. スケールする認可のアーキテクチャ 認可に必要なロジックと情報をアプリのロジックから切り離す
12 © Hitachi, Ltd. 2023. All rights reserved. Authorization Serviceの導入 認可のためのロジックと情報を司る「Authorization Service」を導入。 一から作るのは大変だが、KeycloakのAuthorization Serviceを使うことができる
13 © Hitachi, Ltd. 2023. All rights reserved. KeycloakのAuthorization Service Keycloakは、IdPとしてふるまうだけではなく、 「Authorization Service」の機能も保有 PDP: Policy Decision Point ポリシーを元にアクセス可否を判断 PEP: Policy Enforcement Point 認可を差し込む場所 Keycloak(IdP)によって認証済
14 © Hitachi, Ltd. 2023. All rights reserved. スケーラブルな認可が可能に 認可のためのデータ(ポリシ)はKeylcloakで集中管理 アプリからは認可のためのAPIを一回呼ぶだけでアクセスOK/NGが返ってくる (以前は複数回のAPI呼び出しが必要だったが田畑さんがPR出して改善)
15 © Hitachi, Ltd. 2023. All rights reserved. 中央集権型の認可の課題 アプリへのアクセスのたびに毎度Keycloakへのアクセスが必要→パフォーマンスの懸念 Keycloakが落ちるとアプリが止まる→可用性の懸念 同じクラスタ上にKeycloakをデプロイし、複数podでクラスタ組むことでも対処できるが、他の解決策もある
16 © Hitachi, Ltd. 2023. All rights reserved. OPAとの組み合わせでの解決案 案1: OPAを認可判断のキャッシュにする 案2: OPAで認可判断を行い、Keycloakでは認可のためのポリシーを管理する
17 © Hitachi, Ltd. 2023. All rights reserved. Keycloakだけで頑張る案 KeycloakのDBとしてCockroachDBを使い、クラスタを組む
18 © Hitachi, Ltd. 2023. All rights reserved. おわりに ・ Keycloakは活発なOSSプロジェクトであり、使いにくい場合はPR出して修正にトライできるのが醍醐味です! 今回も認可のために複数のAPI呼び出しが必要な問題を直すパッチを提出・マージされてます。 不具合・課題があったら、コントリビューションのチャンス! コントリビューションすると、技術面でも気付きが得られ、成長のチャンス! ・ 最後に宣伝 クラウドネイティブ分野の日本におけるアップストリーム活動盛り上げのために、CNCF Japan Chapterとして、 「Cloud Native Community Japan」をコミュニティの方々と立上げました。 12/1にキックオフミートアップを開催済み、 今後も他のコミュニティとも協力しながら継続的にミートアップ開催予定です。 最新の情報は、以下のホームページから。「join」よりメンバになって頂けるとミートアップ開催通知が届きます。 https://community.cncf.io/cloud-native-community-japan/
19 © Hitachi, Ltd. 2023. All rights reserved. 他社商品名、商標等の引用に関する表示 • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization with Keycloak

More Related Content

PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
Hitachi, Ltd. OSS Solution Center.
 
PDF
可用性を突き詰めたリアクティブシステム
TIS Inc.
 
PDF
serverless openstack 101
Naoto Gohko
 
PPTX
NFV/OPNFV概要 – OpenStack最新情報セミナー 2015年4月
VirtualTech Japan Inc.
 
PDF
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
 
PDF
Java-minishift-20191123
Yasushi Osonoi
 
PDF
hbstudy#88 5G+MEC時代のシステム設計
VirtualTech Japan Inc.
 
PPTX
『OpenStack最新情報セミナー』のご案内
VirtualTech Japan Inc.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
Hitachi, Ltd. OSS Solution Center.
 
可用性を突き詰めたリアクティブシステム
TIS Inc.
 
serverless openstack 101
Naoto Gohko
 
NFV/OPNFV概要 – OpenStack最新情報セミナー 2015年4月
VirtualTech Japan Inc.
 
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
 
Java-minishift-20191123
Yasushi Osonoi
 
hbstudy#88 5G+MEC時代のシステム設計
VirtualTech Japan Inc.
 
『OpenStack最新情報セミナー』のご案内
VirtualTech Japan Inc.
 

Similar to KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization with Keycloak (20)

PPTX
今さら聞けない人のためのK8s超入門
VirtualTech Japan Inc./Begi.net Inc.
 
PDF
OpenStack Summit Vancouver Summary
Ikuo Kumagai
 
PPTX
Open Source と Azure CLI と、便利な仲間たち
Kazumi OHIRA
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
Hitachi, Ltd. OSS Solution Center.
 
PDF
Atlassian Summit Europe 2017の参加報告(Aug Tokyo #22)
Hiroshi Ohnuki
 
PPTX
今さら聞けない人のための K8s超入門 Big Sur対応版 20210305
VirtualTech Japan Inc./Begi.net Inc.
 
PPTX
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
 
PPTX
OpenStack Summit Sydney Feedback (VTJ玉置) - OpenStack最新情報セミナー 2017年11月
VirtualTech Japan Inc.
 
PPTX
OSSコミッタの生活とその必要性
Hirofumi Ichihara
 
PDF
2018 07-19dist
Yuji Oshima
 
PDF
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
 
PPTX
今さら聞けない人のためのK8s超入門
VirtualTech Japan Inc./Begi.net Inc.
 
PPTX
今さら聞けない人のためのKubernetes超入門
VirtualTech Japan Inc./Begi.net Inc.
 
PDF
鷲崎弘宜, "AI/LLM時代のソフトウェエンジニアリング", 情報学科・専攻協議会 総会・研究会, 早稲田大学, 2025年7月26日
Hironori Washizaki
 
PDF
OpenStack Summit Vancouver YVR Ops
NTT Communications Technology Development
 
PPTX
今さら聞けない人のための K8s 超入門 Big Sur 対応版
VirtualTech Japan Inc./Begi.net Inc.
 
PDF
Open stack概要 lpi-opcelサミット(当日用)
shintaro mizuno
 
PDF
Lf intro 2020-r5
Hashimoto Hisashi
 
PDF
OpenStack, Hadoop -- OSSクラウドの最新動向
Masanori Itoh
 
PPTX
OpenStackで始めるクラウド環境構築入門 Havana&DevStack編
VirtualTech Japan Inc.
 
今さら聞けない人のためのK8s超入門
VirtualTech Japan Inc./Begi.net Inc.
 
OpenStack Summit Vancouver Summary
Ikuo Kumagai
 
Open Source と Azure CLI と、便利な仲間たち
Kazumi OHIRA
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
Hitachi, Ltd. OSS Solution Center.
 
Atlassian Summit Europe 2017の参加報告(Aug Tokyo #22)
Hiroshi Ohnuki
 
今さら聞けない人のための K8s超入門 Big Sur対応版 20210305
VirtualTech Japan Inc./Begi.net Inc.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
Hitachi, Ltd. OSS Solution Center.
 
OpenStack Summit Sydney Feedback (VTJ玉置) - OpenStack最新情報セミナー 2017年11月
VirtualTech Japan Inc.
 
OSSコミッタの生活とその必要性
Hirofumi Ichihara
 
2018 07-19dist
Yuji Oshima
 
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
 
今さら聞けない人のためのK8s超入門
VirtualTech Japan Inc./Begi.net Inc.
 
今さら聞けない人のためのKubernetes超入門
VirtualTech Japan Inc./Begi.net Inc.
 
鷲崎弘宜, "AI/LLM時代のソフトウェエンジニアリング", 情報学科・専攻協議会 総会・研究会, 早稲田大学, 2025年7月26日
Hironori Washizaki
 
OpenStack Summit Vancouver YVR Ops
NTT Communications Technology Development
 
今さら聞けない人のための K8s 超入門 Big Sur 対応版
VirtualTech Japan Inc./Begi.net Inc.
 
Open stack概要 lpi-opcelサミット(当日用)
shintaro mizuno
 
Lf intro 2020-r5
Hashimoto Hisashi
 
OpenStack, Hadoop -- OSSクラウドの最新動向
Masanori Itoh
 
OpenStackで始めるクラウド環境構築入門 Havana&DevStack編
VirtualTech Japan Inc.
 
Ad

More from Hitachi, Ltd. OSS Solution Center. (20)

PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
Hitachi, Ltd. OSS Solution Center.
 
PDF
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
Hitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
Hitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
Hitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
Hitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
Hitachi, Ltd. OSS Solution Center.
 
PDF
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
Hitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
Hitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXでの認可について考える
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Security Considerations for API Gateway Aggregation
Hitachi, Ltd. OSS Solution Center.
 
PPTX
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
PDF
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
Hitachi, Ltd. OSS Solution Center.
 
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
Hitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
Hitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
Hitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
Hitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
Hitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
Hitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
Hitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
Hitachi, Ltd. OSS Solution Center.
 
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
Hitachi, Ltd. OSS Solution Center.
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
Hitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
Hitachi, Ltd. OSS Solution Center.
 
NGINXでの認可について考える
Hitachi, Ltd. OSS Solution Center.
 
Security Considerations for API Gateway Aggregation
Hitachi, Ltd. OSS Solution Center.
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
 
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
Ad

KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization with Keycloak

  • 1. © Hitachi, Ltd. 2023. All rights reserved. Challenge to Implementing “Scalable” Authorization with Keycloak 日立製作所 中村 雄一 [email protected] KubeCon NA 2023 Recap
  • 2. 1 © Hitachi, Ltd. 2023. All rights reserved. 自己紹介 • 2000年代: SELinuxに関するOSS活動 - 組込み向けSELinuxの開発、パフォーマンスチューニングなどをOSSコミュニティ貢献 - SELinux設定ツールのOSS公開 (SELinux Policy Editor) - イベント登壇 (Ottawa Linux Symposium, CE Linux Forum, USENIX LISA 等) - 学術論文執筆、SELinux書籍執筆 • 最近の活動 • The Linux Foundationのボード対応、CNCF、OpenSSFの対応 • 「OSSセキュリティ技術の会」での技術者・学術関係者の交流 • Keycloak関連ビジネスやコントリビューション活動の立上げ • API管理・認証関連サービス立上げ • Keycloakメンテナを育成 • Keycloak書籍執筆: 認証と認可Keycloak入門(リックテレコム) 中村 雄一 @ 日立製作所 個人のtwitter: @yhimainu • CNCF Japan Chapter “Cloud Native Community Japan”のオーガナイザ
  • 3. 2 © Hitachi, Ltd. 2023. All rights reserved. ご紹介するセッションについて • 同僚の田畑さん(CNCF Ambassador)が担当したKeycloakに関連するセッション。 • CNCF Incubating Project 「Keycloak」のクラウドネイティブにおける主な役割: OIDC(OpenID Connect)のOP(OpenID Provider)。 kubernetesのドキュメントではOPのことを「Identity Provider(IdP)」と呼んでいる。 ・ ユースケース例1: Kubernetes APIの認可の場合 IdPはユーザーを認証し、IDトークンを発行。KubectlコマンドにIDトークンを設定。 Kubectlコマンドが、IDトークンと共にKubernetes APIを呼び出し。 Kubernetes APIはIDトークンを見てアクセス制御(認可)。 https://kubernetes.io/docs/reference/access-authn-authz/authentication/#openid-connect-tokens ・ ユースケース例2: k8s上のマイクロサービスやAPIの認可の場合 → 本講演の対象 IdPはユーザーを認証し、アクセストークンをクライアントに発行。 クライアントは、アクセストークンをセットし、マイクロサービスやAPIを呼び出し。 マイクロサービスやAPIは、アクセストークンを見て(*)アクセス制御(認可)。 (*)アクセストークンに属性情報が入ってない場合は、IdPなどに属性情報を問い合わせる
  • 4. 3 © Hitachi, Ltd. 2023. All rights reserved. 当日の様子 Keynoteのエリアを分割した部屋で発表。 かなり広い部屋(1000人以上入りそうだった) KeynoteでFall 2023のアンバサダーが発表。 田畑さんが新たに就任。 応募の際は、これまでの認証・API関連の海外カンファレンスの 登壇実績、執筆実績、Keycloakコントリビューション実績と 認証認可分野でのやる気をアピール。 田畑さん アンバサダー ジャケットをゲット *アンバサダーの皆様の写真はこちらで公開されています https://www.cncf.io/people/ambassadors/
  • 5. 4 © Hitachi, Ltd. 2023. All rights reserved. セッションrecap 以下、田畑さんのスライドからの抜粋と補足です
  • 6. 5 © Hitachi, Ltd. 2023. All rights reserved. 認証(Authentication)と認可(Authorization)の違いについて (認証された)エンティティが、リソースにアクセス、その際に認可が行われる。
  • 7. 6 © Hitachi, Ltd. 2023. All rights reserved. OWASPでも認可のセキュリティリスクが話題になっている
  • 8. 7 © Hitachi, Ltd. 2023. All rights reserved. シンプルな認可の実装 アプリのロジックに認可の埋め込み サービスが増えてくると似たようなロジックを色んな場所に埋め込む必要 →スケールしない
  • 9. 8 © Hitachi, Ltd. 2023. All rights reserved. ロールでの管理 ロール階層を定義して、ユーザをロールに所属させることで、 ロジックはシンプルになる
  • 10. 9 © Hitachi, Ltd. 2023. All rights reserved. サービスが拡大すると… ロール爆発が起こる
  • 11. 10 © Hitachi, Ltd. 2023. All rights reserved. アプリでの認可+ロール管理の限界 複雑なロールのデータを各サービスで管理し、スケールしなくなる
  • 12. 11 © Hitachi, Ltd. 2023. All rights reserved. スケールする認可のアーキテクチャ 認可に必要なロジックと情報をアプリのロジックから切り離す
  • 13. 12 © Hitachi, Ltd. 2023. All rights reserved. Authorization Serviceの導入 認可のためのロジックと情報を司る「Authorization Service」を導入。 一から作るのは大変だが、KeycloakのAuthorization Serviceを使うことができる
  • 14. 13 © Hitachi, Ltd. 2023. All rights reserved. KeycloakのAuthorization Service Keycloakは、IdPとしてふるまうだけではなく、 「Authorization Service」の機能も保有 PDP: Policy Decision Point ポリシーを元にアクセス可否を判断 PEP: Policy Enforcement Point 認可を差し込む場所 Keycloak(IdP)によって認証済
  • 15. 14 © Hitachi, Ltd. 2023. All rights reserved. スケーラブルな認可が可能に 認可のためのデータ(ポリシ)はKeylcloakで集中管理 アプリからは認可のためのAPIを一回呼ぶだけでアクセスOK/NGが返ってくる (以前は複数回のAPI呼び出しが必要だったが田畑さんがPR出して改善)
  • 16. 15 © Hitachi, Ltd. 2023. All rights reserved. 中央集権型の認可の課題 アプリへのアクセスのたびに毎度Keycloakへのアクセスが必要→パフォーマンスの懸念 Keycloakが落ちるとアプリが止まる→可用性の懸念 同じクラスタ上にKeycloakをデプロイし、複数podでクラスタ組むことでも対処できるが、他の解決策もある
  • 17. 16 © Hitachi, Ltd. 2023. All rights reserved. OPAとの組み合わせでの解決案 案1: OPAを認可判断のキャッシュにする 案2: OPAで認可判断を行い、Keycloakでは認可のためのポリシーを管理する
  • 18. 17 © Hitachi, Ltd. 2023. All rights reserved. Keycloakだけで頑張る案 KeycloakのDBとしてCockroachDBを使い、クラスタを組む
  • 19. 18 © Hitachi, Ltd. 2023. All rights reserved. おわりに ・ Keycloakは活発なOSSプロジェクトであり、使いにくい場合はPR出して修正にトライできるのが醍醐味です! 今回も認可のために複数のAPI呼び出しが必要な問題を直すパッチを提出・マージされてます。 不具合・課題があったら、コントリビューションのチャンス! コントリビューションすると、技術面でも気付きが得られ、成長のチャンス! ・ 最後に宣伝 クラウドネイティブ分野の日本におけるアップストリーム活動盛り上げのために、CNCF Japan Chapterとして、 「Cloud Native Community Japan」をコミュニティの方々と立上げました。 12/1にキックオフミートアップを開催済み、 今後も他のコミュニティとも協力しながら継続的にミートアップ開催予定です。 最新の情報は、以下のホームページから。「join」よりメンバになって頂けるとミートアップ開催通知が届きます。 https://community.cncf.io/cloud-native-community-japan/
  • 20. 19 © Hitachi, Ltd. 2023. All rights reserved. 他社商品名、商標等の引用に関する表示 • OpenID is a trademark or registered trademark of OpenID Foundation in the United States and other countries. • Other brand names and product names used in this material are trademarks, registered trademarks, or trade names of their respective holders.