Red Hat Summit第15章 OpenID Connect インテグレーション
Red Hat build of HawtIO は、すでに OpenID プロバイダー として Keycloak をサポートしています。ただし、Keycloak は、Red Hat build of HawtIO で使用される設定方法が非推奨であることを すでに発表しています。OpenID Connect Core 1.0 は、分散認証 (OAuth 2 に基づく) の広く普及した仕様および標準方式であるため、Red Hat build of HawtIO 4 では汎用 OpenID 認証がサポートされるようになりました。
15.1. ビルディングブロックと用語
ここでは、HawtIO が OpenID Connect と OAuth2 をどのように使用するかを理解するために、いくつかの基本的な概念をもう一度確認します。OpenID Connect に基づく分散認証 (OAuth2 上に構築) には、主に 3 つの要素が関与しています。
リソースサーバー:
保護されたリソースをホストするサーバーコンポーネント。アクセスはアクセストークンに基づき制限または許可されます。通常、このサーバーは REST API を介してアクセスされ、サーバーがユーザーインターフェイスを提供することはありません。
クライアント:
ユーザー (リソース所有者として扱われる) に代わってリソースサーバーにアクセスするアプリケーション (通常はユーザーインターフェイスを持っています)。リソースサーバーにアクセスするには、まずクライアントがアクセストークンを取得する必要があります。
OpenID Connect 仕様では、クライアントはリライングパーティー (RP) と呼ばれます。
認可サーバー:
クライアントとリソースサーバー間の通信を調整するサーバー。クライアントは認可サーバーにユーザー (リソース所有者) を認証するように要求し、認証が成功すると、リソースサーバーにアクセスするためのアクセストークンがクライアントに発行されます。
OpenID Connect 仕様では、認可サーバーは OpenID プロバイダー (OP) と呼ばれます。
OAuth2 と OpenID Connect の主な目的は、アプリケーションがユーザー認証情報を使用せずに API にアクセスし、トークンエクスチェンジに切り替えることを可能にすることです。Red Hat build of HawtIO が上記のロールにどのようにマッピングされるかを知ることが重要です。
- Red Hat build of HawtIO クライアントアプリケーションは、OAuth2 クライアントです。ユーザーは Red Hat build of HawtIO Web アプリケーションと対話し、Hawtio Web アプリケーションは Jolokia エージェントが実行されている HawtIo サーバー (バックエンド) と通信します。Jolokia エージェントにアクセスする前に、Red Hat build of HawtIO には OpenID Connect アクセストークンが必要です。そのため、Red Hat build of HawtIO クライアントは、ユーザーを認可サーバーにリダイレクトして OpenID Connect 認証プロセスを開始します。
- Red Hat build of HawtIO サーバーアプリケーションは、Jolokia エージェント API を公開する JakartaEE アプリケーションです。Jolokia エージェント API は、アクセストークンの内容に基づきユーザーアクションを承認します。OAuth2 用語では、Red Hat build of HawtIO サーバーはリソースサーバーです。
以下の UML 図は全体像を示しています。
最も重要なのは、Red Hat build of HawtIO クライアントがユーザーの認証情報を処理することはないという点です。ユーザーは認可サーバーで認証し、Red Hat build of HawtIO クライアントは後で HawtIO サーバー (およびその Jolokia API) へのアクセスに使用するアクセストークンのみ取得します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}