概要
「OSS セキュリティ技術の会 第 10 回勉強会」に参加しました。 OAuth、OIDC は「OAuth 徹底入門」で学んだことがあります。 感想、所感について軽くまとめます。
内容
以下のような構成でした。
# Keycloak で API 認可に入門する ## 1. Keycloak とは Keyclokについて、機能、実装、用語 ## 2. API 認可の基礎 OAuthのフロー、登場人物、機能について解説 OIDCについて、登場人物、IDトークンについて ## 3. Keycloakの基本概念 Keycloakの専門用語がある ## 4. API認可をKeycloakで試す サンプルアプリ(https://github.com/keycloak-book-jp/keycloak-book-jp)の説明 mvnのインストールが必要 keycloak で動く OAuth の仕組みを可視化したアプリが動く # Keycloak で SSO に入門する ## SSOの解説 SSOについて、メリット(利用者、管理者)、歴史(オレオレSSO、クロスオリジンSSO) 認証結果を安全に渡す方法 -> OIDC、SAML アプリ側の対応方法2つ パッケージを使う(パッケージに依存する)、リバースプロキシサーバーを使う デモ Java+SPA を SSO 認証する、クライアントアダプターを導入する、
感想
勉強会について
- OAuth、OIDC、SAML を一通り振り返れた
- keycloak が IAM 領域なら、なんでもできそうに感じた
- デモアプリもあるのも再現性があってよかった。
- デモは予習なしだと理解しきれなかった箇所があったので、録画をみたい
- 発表資料が書籍をいい感じにまとめていそうだったので、発表資料もみたい
本について(4 章ぐらいまで読んで)
- 「OAuth 徹底入門」は微妙な日本語訳とか独特な言い回しとか冗長な文章構成が難点だったので、OAuth、OIDC、SSO を学ぶなら「Keycloak 入門」の方が入門に最適に感じた
- 「OAuth 徹底入門」は Node.js のアプリが読むのが難しくない構成で作られていたので実装学びたいなら「OAuth 徹底入門」かもしれない(それでも「Keycloak 入門」の方がよく感じますが。。。)
- 特に、「KeyCloak 入門」は用語の定義や出典などが明記されていて納得感が強い
- デモアプリが、アクセストークンを表示しながら仕組みを理解できたり、SPA をどのように保護するかなど、OAuth、OIDC、SSO の理解を深めながら実践的なことを学べそう
- 技術同人誌に、Auth 屋シリーズ、SAML 入門があるから、薄い本を使って細かい単位で進めてもいいかも(まだ読んでいないので、確証はもてませんが。。。)
参加した感想まとめ
OAuth、OIDC、SSO について簡単に振り返りつつ、Keycloak の機能とメリットについて学ぶことができるよい機会でした。 軽く読んだだけですが、「Keycloak 入門」は IAM 分野について適切な定義を踏まえて解説されている印象があり、早急に最後まで読みたくなりました。 不定期開催みたいですが、次回の開催も楽しみにしています。