4.4. Maven バイナリーからの OpenShift アプリケーションの作成と、Red Hat Single Sign-On を使用した保護

1. Red Hat Single Sign-On サーバーの管理コンソールにログインします。

   https://secure-sso-sso-app-demo.openshift.example.com/auth/admin

   Red Hat Single Sign-On 管理者ユーザーの認証情報 を使用します。

2. カーソルをサイドバーの上部にあるレルム名前空間 (デフォルトは Master) の上に置き、Add Realm をクリックします。
3. レルム名を入力して (この例では demo を使用)、Create をクリックします。

1. Configure サイドバーの Roles をクリックし、このレルムのロールをリスト表示します。

   注記

   これは新しいレルムであるため、デフォルト (offline_access および uma_authorization) ロールのみが必要です。

2. Add Role をクリックします。
3. ロール名 (user) を入力し、Save をクリックします。

1. Manage サイドバーで Users をクリックし、レルムのユーザー情報を表示します。
2. Add User をクリックします。
3. 有効な Username を入力し (この例ではユーザー appuser を使用)、Save をクリックします。

4. ユーザー設定を編集します。

   1. ユーザースペースの Credentials タブをクリックして、ユーザーのパスワードを入力します (この例ではパスワード apppassword を使用しています)。
   2. Temporary Password オプションを Off に設定して、後でパスワードの変更を要求しないようにし、Reset Password をクリックしてユーザーパスワードを設定します。ポップアップウィンドウが表示され、確認を求められます。

1. Role Mappings をクリックし、レルムおよびクライアントロール設定をリスト表示します。Available Roles で、以前に作成した user ロールを選択し、Add selected> をクリックします。

2. Client Roles をクリックし、リストから realm-management エントリーを選択し、Available Roles のリストで各レコードを選択します。

   注記

   Ctrl キーを保持し、最初の 偽装 エントリーを同時にクリックすることで、複数の項目を一度に選択できます。Ctrl キーとマウスの左ボタンを押したままにしておくと、リストの最後を view-clients エントリーに移動し、各レコードが選択されていることを確認します。

3. Add selected> をクリックしてロールをクライアントに割り当てます。

手順

1. EAP 6.4 / 7.1 JSP アプリケーションの新しいプロジェクトを作成します。

   $ oc new-project eap-app-demo

2. view ロールを デフォルト のサービスアカウントに追加します。これにより、サービスアカウントが eap-app-demo 名前空間のすべてのリソースを表示できるようになります。これは、クラスターの管理に必要です。

   $ oc policy add-role-to-user view system:serviceaccount:$(oc project -q):default

3. EAP テンプレートには、SSL キーストアと JGroups キーストア が必要です。この例では、Java Development Kit に含まれるパッケージの keytool を使用して、これらのキーストアの自己署名証明書を生成します。

   1. SSL キーストアのセキュアなキーを生成します (この例では、キーストアのパスワードとして password を使用します)。

      $ keytool -genkeypair \
      -dname "CN=secure-eap-app-eap-app-demo.openshift.example.com" \
      -alias https \
      -storetype JKS \
      -keystore eapkeystore.jks

   2. JGroups キーストアに、セキュリティーで保護されたキーを生成します (この例では、キーストアのパスワードとして password を使用します)。

      $ keytool -genseckey \
      -alias jgroups \
      -storetype JCEKS \
      -keystore eapjgroups.jceks

   3. SSL および JGroup キーストアファイルで、OpenShift シークレットの EAP 6.4 / 7.1 を生成します。

      $ oc create secret generic eap-ssl-secret --from-file=eapkeystore.jks

      $ oc create secret generic eap-jgroup-secret --from-file=eapjgroups.jceks

   4. EAP アプリケーションシークレットを default サービスアカウントに追加します。

      $ oc secrets link default eap-ssl-secret eap-jgroup-secret

手順

1. ソースコードのクローンを作成します。

   $ git clone https://github.com/keycloak/keycloak-quickstarts.git

   Red Hat JBoss Middleware Maven リポジトリー を 設定 します。

2. service-jee-jaxrs アプリケーションと app-jee-jsp アプリケーションの両方をビルドします。

   1. service-jee-jaxrs アプリケーションをビルドします。

      $ cd keycloak-quickstarts/service-jee-jaxrs/

      $ mvn clean package -DskipTests
      [INFO] Scanning for projects...
      [INFO]
      [INFO] ------------------------------------------------------------------------
      [INFO] Building Keycloak Quickstart: service-jee-jaxrs 3.1.0.Final
      [INFO] ------------------------------------------------------------------------
      ...
      [INFO] ------------------------------------------------------------------------
      [INFO] BUILD SUCCESS
      [INFO] ------------------------------------------------------------------------
      [INFO] Total time: 2.153 s
      [INFO] Finished at: 2017-06-26T12:06:12+02:00
      [INFO] Final Memory: 25M/241M
      [INFO] ------------------------------------------------------------------------

   2. maven-enforcer-plugin プラグインの app-jee-jsp/config/keycloak.json 要件を コメントアウト し、app-jee-jsp アプリケーションをビルドします。

      service-jee-jaxrs]$ cd ../app-jee-jsp/

      app-jee-jsp]$ sed -i /\<executions\>/s/^/\<\!--/ pom.xml

      app-jee-jsp]$ sed -i '/\(<\/executions>\)/a\-->' pom.xml

      app-jee-jsp]$ mvn clean package -DskipTests
      [INFO] Scanning for projects...
      [INFO]
      [INFO] ------------------------------------------------------------------------
      [INFO] Building Keycloak Quickstart: app-jee-jsp 3.1.0.Final
      [INFO] ------------------------------------------------------------------------
      ...
      [INFO] Building war: /tmp/github/keycloak-quickstarts/app-jee-jsp/target/app-jsp.war
      [INFO] ------------------------------------------------------------------------
      [INFO] BUILD SUCCESS
      [INFO] ------------------------------------------------------------------------
      [INFO] Total time: 3.018 s
      [INFO] Finished at: 2017-06-26T12:22:25+02:00
      [INFO] Final Memory: 35M/310M
      [INFO] ------------------------------------------------------------------------

      重要

      app-jee-jsp クイックスタートではアダプターの設定が必要で、アダプター設定ファイル (keycloak.json) がクイックスタートのルートの config/ ディレクトリーにあり、クイックスタートを正常にビルドする必要があります。ただし、この例では、EAP 6.4 / 7.1 for OpenShift イメージで利用可能な選択された環境変数を使用して後でアダプターを設定するため、現時点で keycloak.json アダプター設定ファイルの形式を指定する必要はありません。

4. ローカルファイルシステムでディレクトリー構造を準備します。

   メインのバイナリービルドディレクトリーの deployments/ サブディレクトリーにあるアプリケーションアーカイブは、OpenShift でビルドされるイメージの 標準のデプロイメントディレクトリー に直接コピーされます。アプリケーションをデプロイするには、web アプリケーションデータが含まれるディレクトリー階層が正しく設定される必要があります。

   ローカルファイルシステム上にバイナリービルド用のメインディレクトリーと、そのディレクトリー内に deployments/ サブディレクトリーを作成します。service-jee-jaxrs および app-jee-jsp クイックスタートの両方のビルドされた WAR アーカイブを deployments/ サブディレクトリーにコピーします。

   app-jee-jsp]$ ls
   config  pom.xml  README.md  src  target

   app-jee-jsp]$ mkdir -p sso-eap7-bin-demo/deployments

   app-jee-jsp]$ cp target/app-jsp.war sso-eap7-bin-demo/deployments/

   app-jee-jsp]$ cp ../service-jee-jaxrs/target/service.war sso-eap7-bin-demo/deployments/

   app-jee-jsp]$ tree sso-eap7-bin-demo/
   sso-eap7-bin-demo/
   |__ deployments
       |__ app-jsp.war
       |__ service.war
   
   1 directory, 2 files

   注記

   標準の deployments ディレクトリーの場所は、アプリケーションのデプロイに使用された基礎となるベースイメージによって異なります。以下の表を参照してください。

   Expand

   表4.1 デプロイメントディレクトリーの標準的な場所

   基礎となるベースイメージの名前	デプロイメントディレクトリーの標準的な場所
   EAP for OpenShift 6.4 and 7.1	$JBOSS_HOME/standalone/deployments
   Java S2I for OpenShift	/deployments
   JWS for OpenShift	$JWS_HOME/webapps

   Show more

5. EAP 6.4 / 7.1 イメージのイメージストリームを特定します。

   $ oc get is -n openshift | grep eap | cut -d ' ' -f 1
   jboss-eap64-openshift
   jboss-eap71-openshift

6. イメージストリームおよびアプリケーション名を指定して、新しいバイナリービルドを作成します。

   注記

   --image-stream=jboss-eap71-openshift パラメーターを、以下の oc コマンドの --image-stream=jboss-eap64-openshift に置き換え、JBoss EAP 6.4 for OpenShift イメージに JSP アプリケーションをデプロイします。

   $ oc new-build --binary=true \
   --image-stream=jboss-eap71-openshift \
   --name=eap-app
   --> Found image 31895a4 (3 months old) in image stream "openshift/jboss-eap71-openshift" under tag "latest" for "jboss-eap71-openshift"
   
       JBoss EAP 7.4
       -------------
       Platform for building and running Jakarta EE applications on JBoss EAP 7.4
   
       Tags: builder, javaee, eap, eap7
   
       * A source build using binary input will be created
         * The resulting image will be pushed to image stream "eap-app:latest"
         * A binary build was created, use 'start-build --from-dir' to trigger a new build
   
   --> Creating resources with label build=eap-app ...
       imagestream "eap-app" created
       buildconfig "eap-app" created
   --> Success

7. バイナリービルドを開始します。直前の手順で 作成したバイナリービルドのメインディレクトリーを OpenShift ビルドのバイナリー入力が含まれるディレクトリーとして使用するよう oc 実行ファイルに指示します。app-jee-jsp の作業ディレクトリーで、次のコマンドを実行します。

   app-jee-jsp]$ oc start-build eap-app \
   --from-dir=./sso-eap7-bin-demo/ \
   --follow
   Uploading directory "sso-eap7-bin-demo" as binary input for the build ...
   build "eap-app-1" started
   Receiving source from STDIN as archive ...
   Copying all war artifacts from /home/jboss/source/. directory into /opt/eap/standalone/deployments for later deployment...
   Copying all ear artifacts from /home/jboss/source/. directory into /opt/eap/standalone/deployments for later deployment...
   Copying all rar artifacts from /home/jboss/source/. directory into /opt/eap/standalone/deployments for later deployment...
   Copying all jar artifacts from /home/jboss/source/. directory into /opt/eap/standalone/deployments for later deployment...
   Copying all war artifacts from /home/jboss/source/deployments directory into /opt/eap/standalone/deployments for later deployment...
   '/home/jboss/source/deployments/app-jsp.war' -> '/opt/eap/standalone/deployments/app-jsp.war'
   '/home/jboss/source/deployments/service.war' -> '/opt/eap/standalone/deployments/service.war'
   Copying all ear artifacts from /home/jboss/source/deployments directory into /opt/eap/standalone/deployments for later deployment...
   Copying all rar artifacts from /home/jboss/source/deployments directory into /opt/eap/standalone/deployments for later deployment...
   Copying all jar artifacts from /home/jboss/source/deployments directory into /opt/eap/standalone/deployments for later deployment...
   Pushing image 172.30.82.129:5000/eap-app-demo/eap-app:latest ...
   Pushed 6/7 layers, 86% complete
   Pushed 7/7 layers, 100% complete
   Push successful

8. ビルドに基づいて新規の OpenShift アプリケーションを作成します。

   $ oc new-app eap-app
   --> Found image 6b13d36 (2 minutes old) in image stream "eap-app-demo/eap-app" under tag "latest" for "eap-app"
   
       eap-app-demo/eap-app-1:aa2574d9
       -------------------------------
       Platform for building and running Jakarta EE applications on JBoss EAP 7.4
   
       Tags: builder, javaee, eap, eap7
   
       * This image will be deployed in deployment config "eap-app"
       * Ports 8080/tcp, 8443/tcp, 8778/tcp will be load balanced by service "eap-app"
         * Other containers can access this service through the hostname "eap-app"
   
   --> Creating resources ...
       deploymentconfig "eap-app" created
       service "eap-app" created
   --> Success
       Run 'oc status' to view your app.

9. 現在の名前空間で EAP 6.4 / 7.1 JSP アプリケーションの実行中のコンテナーをすべて停止します。

   $ oc get dc -o name
   deploymentconfig/eap-app

   $ oc scale dc/eap-app --replicas=0
   deploymentconfig "eap-app" scaled

10. デプロイメントの前に EAP 6.4 / 7.1 JSP アプリケーションをさらに設定します。

    1. Red Hat Single Sign-On サーバーインスタンスに関する適切な詳細でアプリケーションを設定します。

       警告

       以下の SSO_PUBLIC_KEY 変数の値を、コピー された demo レルムの RSA 公開鍵の実際の内容に置き換えるようにしてください。

       $ oc set env dc/eap-app \
       -e HOSTNAME_HTTP="eap-app-eap-app-demo.openshift.example.com" \
       -e HOSTNAME_HTTPS="secure-eap-app-eap-app-demo.openshift.example.com" \
       -e SSO_DISABLE_SSL_CERTIFICATE_VALIDATION="true" \
       -e SSO_USERNAME="appuser" \
       -e SSO_PASSWORD="apppassword" \
       -e SSO_REALM="demo" \
       -e SSO_URL="https://secure-sso-sso-app-demo.openshift.example.com/auth" \
       -e SSO_PUBLIC_KEY="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAkdhXyKx97oIoO6HwnV/MiX2EHO55Sn+ydsPzbjJevI5F31UvUco9uA8dGl6oM8HrnaWWv+i8PvmlaRMhhl6Xs68vJTEc6d0soP+6A+aExw0coNRp2PDwvzsXVWPvPQg3+iytStxu3Icndx+gC0ZYnxoRqL7rY7zKcQBScGEr78Nw6vZDwfe6d/PQ6W4xVErNytX9KyLFVAE1VvhXALyqEM/EqYGLmpjw5bMGVKRXnhmVo9E88CkFDH8E+aPiApb/gFul1GJOv+G8ySLoR1c8Y3L29F7C81odkVBp2yMm3RVFIGSPTjHqjO/nOtqYIfY4Wyw9mRIoY5SyW7044dZXRwIDAQAB" \
       -e SSO_SECRET="0bb8c399-2501-4fcd-a183-68ac5132868d"
       deploymentconfig "eap-app" updated

    2. SSL および JGroups キーストアの両方の詳細を使用してアプリケーションを設定します。

       $ oc set env dc/eap-app \
       -e HTTPS_KEYSTORE_DIR="/etc/eap-secret-volume" \
       -e HTTPS_KEYSTORE="eapkeystore.jks" \
       -e HTTPS_PASSWORD="password" \
       -e JGROUPS_ENCRYPT_SECRET="eap-jgroup-secret" \
       -e JGROUPS_ENCRYPT_KEYSTORE_DIR="/etc/jgroups-encrypt-secret-volume" \
       -e JGROUPS_ENCRYPT_KEYSTORE="eapjgroups.jceks" \
       -e JGROUPS_ENCRYPT_PASSWORD="password"
       deploymentconfig "eap-app" updated

    3. 先に作成した SSL および JGroups のシークレット両方に対して OpenShift ボリュームを定義します。

       $ oc volume dc/eap-app --add \
       --name="eap-keystore-volume" \
       --type=secret \
       --secret-name="eap-ssl-secret" \
       --mount-path="/etc/eap-secret-volume"
       deploymentconfig "eap-app" updated

       $ oc volume dc/eap-app --add \
       --name="eap-jgroups-keystore-volume" \
       --type=secret \
       --secret-name="eap-jgroup-secret" \
       --mount-path="/etc/jgroups-encrypt-secret-volume"
       deploymentconfig "eap-app" updated

    4. アプリケーションのデプロイメント設定を、default の OpenShift サービスアカウントでアプリケーション Pod を実行するように設定します (デフォルト設定)。

       $ oc patch dc/eap-app --type=json \
       -p '[{"op": "add", "path": "/spec/template/spec/serviceAccountName", "value": "default"}]'
       "eap-app" patched

11. 変更されたデプロイメント設定を使用して EAP 6.4 / 7.1 JSP アプリケーションのコンテナーをデプロイします。

    $ oc scale dc/eap-app --replicas=1
    deploymentconfig "eap-app" scaled

12. サービスをルートとして公開します。

    $ oc get svc -o name
    service/eap-app

    $ oc get route
    No resources found.

    $ oc expose svc/eap-app
    route "eap-app" exposed

    $ oc get route
    NAME      HOST/PORT                                    PATH      SERVICES   PORT       TERMINATION   WILDCARD
    eap-app   eap-app-eap-app-demo.openshift.example.com             eap-app    8080-tcp                 None

1. INVOKE PUBLIC ボタンをクリックして、認証を必要としない public エンドポイントにアクセスします。

   Message: public 出力が表示されるはずです。

2. LOGIN ボタンをクリックして、ユーザー認証用に demo レルムに対して Red Hat Single Sign-On サーバーインスタンスにリダイレクトされます。

   以前に設定した Red Hat Single Sign-On ユーザーのユーザー名とパスワード (appuser / apppassword) を指定します。Log in をクリックします。以下のイメージで説明されているように、アプリケーションの変更を確認できます。

   

3. セキュリティー保護された エンドポイントにアクセスするには、INVOKE SECURED ボタンをクリックします。

   Message: secured 出力が表示されるはずです。

4. INVOKE ADMIN ボタンをクリックして admin エンドポイントにアクセスします。

   403 Forbidden 出力が表示されるはずです。

   注記

   admin エンドポイントでは、admin Red Hat Single Sign-On ロールを持つユーザーが適切に呼び出す必要があります。appuser へのアクセスは、user ロール権限のみで禁止され、セキュリティー保護された エンドポイントへのアクセスが可能になります。

1. Red Hat Single Sign-On サーバーのインスタンスの管理コンソールにアクセスします。

   https://secure-sso-sso-app-demo.openshift.example.com/auth/admin.

   Red Hat Single Sign-On 管理者ユーザーの認証情報 を使用します。

2. Manage サイドバーで Users をクリックし、demo レルムのユーザー情報を表示します。
3. View all users ボタンをクリックします。
4. appuser の ID リンクをクリックします。あるいは、Actions 列の Edit ボタンをクリックします。
5. Role Mappings タブをクリックします。
6. Realm Roles 行の Available Roles リストから admin エントリーを選択します。
7. Add selected> ボタンをクリックし、admin ロールをユーザーに追加します。

8. EAP 6.4 / 7.1 JSP サービスアプリケーションに戻ります。

   http://eap-app-eap-app-demo.openshift.example.com/app-jsp.

9. LOGOUT ボタンをクリックして、appuser のロールマッピングを再読み込みします。
10. 再度 LOGIN ボタンをクリックし、プロバイダー appuser 認証情報をクリックします。

11. 再度 INVOKE ADMIN ボタンをクリックします。

    Message: admin というメッセージが表示されるはずです。