Red Hat Summit4.4. Keycloak インテグレーション
Keycloak を使用して、Red Hat build of HawtIO コンソールを保護できます。Red Hat build of HawtIO を Keycloak と統合するには、次の操作が必要です。
- Keycloak サーバーを準備する
- お気に入りのランタイム (Quarkus、Spring Boot、WildFly、Karaf、Jetty、Tomcat など) に Red Hat build of HawtIO をデプロイし、認証に Keycloak を使用するように設定します。
4.4.1. Keycloak サーバーを準備する
Keycloak サーバーをインストールして実行します。最も簡単な方法は、Docker イメージ を使用することです。
docker run -d --name keycloak \
-p 18080:8080 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
quay.io/keycloak/keycloak start-dev
ここでは、他のアプリケーションが使用する可能性のあるポートとの潜在的な競合を回避するために、Keycloak サーバーのポート番号 18080 を使用します。
ユーザー admin/ パスワード admin を使用して、Keycloak 管理コンソール http://localhost:18080/admin/ にログインできます。hawtio-demo-realm.json を Keycloak にインポートします。これを行うには、Create Realm ボタンをクリックし、hawtio-demo-realm.json をインポートします。hawtio-demo レルムを作成します。
hawtio-demo レルムには、hawtio-client アプリケーションがパブリッククライアントとしてインストールされており、admin や viewer などのいくつかのレルムロールが定義されています。これらのロールの名前は、デフォルトの Red Hat build of HawtIO ロールと同じで、Red Hat build of HawtIO 管理コンソールおよび JMX にログインできます。
以下のように、ユーザーも 3 種類あります。
admin-
パスワード
adminとロールadminが割り当てられた、Red Hat build of HawtIO にログインできるユーザー。 viewer-
パスワード
viewerとロールviewerが割り当てられた、Red Hat build of HawtIO にログインできるユーザー。 jdoe-
パスワードが
passwordで、ロールが割り当てられていないユーザーは、Red Hat build of HawtIO にログインできません。
現在、HawtIO RBAC 機能はこれらのランタイムにまだ実装されていないため、ロールの違いは Quarkus と Spring Boot 上の Red Hat build of HawtIO アクセス権に影響はありません。
4.4.2. 設定
Red Hat build of HawtIO の Keycloak 統合の設定は、ランタイム (サーバー側) での Keycloak との統合と、HawtIO コンソール (クライアント側) での Keycloak との統合の 2 つの部分で構成されます。
各パーツごとに以下の設定を行う必要があります。
- サーバー側
- Keycloak アダプターのランタイム固有の設定
- クライアント側の設定
-
Red Hat build of HawtIO Keycloak 設定の
keycloak-hawtio.json
4.4.2.1. Quarkus
まず、Red Hat build of HawtIO を Quarkus アプリケーションに接続するために 必要な設定 を適用します。
Quarkus アプリケーションを Keycloak と統合するために必要なのは、Quarkus OIDC 拡張機能です。以下の依存関係を pom.xml に追加します。
pom.xml
<dependency>
<groupId>io.quarkus</groupId>
<artifactId>quarkus-oidc</artifactId>
</dependency>4.4.2.1.1. サーバー側
次に、application.properties (サーバー側の OIDC 拡張を設定する) に次の行を追加します。
application.properties
quarkus.oidc.auth-server-url = http://localhost:18080/realms/hawtio-demo
quarkus.oidc.client-id = hawtio-client
quarkus.oidc.credentials.secret = secret
quarkus.oidc.application-type = web-app
quarkus.oidc.token-state-manager.split-tokens = true
quarkus.http.auth.permission.authenticated.paths = "/*"
quarkus.http.auth.permission.authenticated.policy = authenticated
quarkus.oidc.token-state-manager.split-tokens = true は重要です。そうしないと、大きなサイズのセッションの Cookie トークンの問題が発生し、Keycloak との統合に失敗する可能性があります。
4.4.2.1.2. クライアント側の設定
最後に、Quarkus アプリケーションプロジェクトの src/main/resources の下に keycloak-hawtio.json を作成します (これはクライアント側の Red Hat build of HawtIO JS 設定として機能します)。
keycloak-hawtio.json
{
"realm": "hawtio-demo",
"clientId": "hawtio-client",
"url": "http://localhost:18080/",
"jaas": false,
"pkceMethod": "S256"
}
Code Exchange Code Challenge Method の Proof Key 詳細設定に応じて、pkceMethod を S256 に設定します。PKCE が有効になっていない場合は、このオプションを設定しないでください。
プロジェクトをビルドして実行すると、Keycloak と統合されます。
4.4.2.1.3. 例
実際の例は、quarkus-keycloak の例 を参照してください。
4.4.2.2. Spring Boot
まず、Red Hat build of HawtIO を Spring Boot アプリケーションに接続するために 必要な設定 を適用します。
Spring Boot アプリケーションを Keycloak と統合するには、pom.xml に次の依存関係を追加する必要があります (4.xy は、最新の Red Hat build of HawtIO リリースバージョンに置き換えます)。
pom.xml
<dependency>
<groupId>io.hawt</groupId>
<artifactId>hawtio-springboot-keycloak</artifactId>
<version>4.x.y</version>
</dependency>4.4.2.2.1. サーバー側
次に、application.properties (サーバー側の Keycloak アダプターを設定する) に次の行を追加します。
application.properties
keycloak.realm = hawtio-demo
keycloak.resource = hawtio-client
keycloak.auth-server-url = http://localhost:18080/
keycloak.ssl-required = external
keycloak.public-client = true
keycloak.principal-attribute = preferred_username4.4.2.2.2. クライアント側の設定
最後に、Spring Boot プロジェクトの src/main/resources の下に keycloak-hawtio.json を作成します (これはクライアント側の Red Hat build of HawtIO JS 設定として機能します)。
keycloak-hawtio.json
{
"realm": "hawtio-demo",
"clientId": "hawtio-client",
"url": "http://localhost:18080/",
"jaas": false
}プロジェクトをビルドして実行すると、Keycloak と統合されます。
4.4.2.2.3. 例
作業例は、springboot-keycloak の例 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}