FOSDEM 2025からのOpenID ConnectとKeycloakに関する新しい動画

2025年2月25日 Alexander Schwartz 著

FOSDEM は、ソフトウェア開発者が集まり、アイデアを共有し、協力するための無料イベントです。毎年、世界中のフリーソフトウェアおよびオープンソースソフトウェアの開発者が数千人規模でこのイベントに集まります。

OpenID ConnectとKeycloakに関するいくつかの講演が録画され、再視聴できるようになりました。動画へのリンクは下記をご覧ください。

Keycloakコミュニティとのオンサイトでの交流

Cloud Native Computing Foundation (CNCF) のインキュベーションプロジェクトとして、私たちはCNCFのスタンドのスペースを共有できたことを嬉しく思います。2日間で、既存の数百人のKeycloakユーザーや、IAMおよびアイデンティティ分野に初めて触れる人々ともオンサイトで会うことができました。人々が何をしているのかを知ることができ、楽しくて刺激的でした。

皆様の成功事例や、皆様のデプロイメントにとって重要なこと、そして改善できることについて、もっとお話を伺いたいと思っています。皆様のユースケースをより深く理解するために、オンラインKeycloakアンケートにご協力ください。また、より広いKeycloakコミュニティと経験を共有したい場合は、ぜひアンケートにご回答ください。

CNCF stand at FOSDEM with a Keycloak banner and people visiting.

再視聴可能な動画

以下の4つの講演は、講演やスライドの中でKeycloakについて言及しているか、OpenID Connectに関連しています。Keycloakユーザーにとって興味深いと思われる講演で、私たちが見逃しているものはありますでしょうか？もしあれば、ぜひお知らせください！

シングルページアプリケーションでアクセストークンを安全に使用するためのDPoPの利用: 講演者: Takashi Norimatsu, Alexander Schwartz
トラック: セキュリティ

概要: OAuth 2.0は、保護されたリソースへのアクセスを許可するためにアクセストークンを使用します。シングルページアプリケーションを使用する場合、これらのトークンはHTTPヘッダーを使用してブラウザからサーバーにベアラートークンとして渡されます。

TLSを使用して転送中に保護されていますが、これらのトークンはブラウザから盗まれたり、リプレイされたり、悪意のあるサーバーや脆弱なサーバーによって悪用されたりする可能性があります。OAuth 2.0 Demonstrating Proof-of-Possession (DPoP) は、クライアント（シングルページアプリケーションなど）にキーペアを装備することで、これをさらに一歩進め、アクセストークンを渡す際に証明を示すことができるようにすることで、他の誰もアクセストークンを使用できないようにします。DPoPは、OpenID FoundationによるFAPI 2.0セキュリティプロファイルの一部です。金融、e-ヘルス、e-ガバメントアプリケーションなど、価値が高く機密性の高い（個人およびその他の）データを公開するAPIを保護するためのベストプラクティスを推進しています。

この講演では、コンセプトを説明し、Keycloakやその他のオープンソースコンポーネントを使用してこれを実装する方法をデモします。また、このアプローチの現在の課題、制限事項、および代替案についても説明します。
OIDCフローの詳細解説: 講演者: Milan Jakobi
トラック: アイデンティティおよびアクセス管理

概要: 最新のWebアプリケーションは、認証/認可インフラストラクチャに強く依存しています。これらのニーズに対応するために、OSSコミュニティは、JSONとRESTの上に構築されたOpenIdConnectやOAuth2などのオープンプロトコルを強く支持してきました。その結果、これらのプロトコルは、Keycloak、WSO2、Lemonldapなどのソフトウェア製品に実装されています。

OpenId ConnectとOAuth2は、アイデンティティプロバイダーが提供する認証と密接に関連する認可プロトコルです。これらは、OpenId FoundationやInternet Engineering Task Forceなどのさまざまな標準化団体内で設計されてきました。これらの標準を理解することは要求されますが、機能豊富なソリューションを実装し、実装者に提供されるさまざまなオプションを理解するためには必要です。

したがって、この講演では、OIDCとOAuthについて詳細に議論します。標準クライアントのアクセストークンを取得するために存在するさまざまなフローと、これらのプロトコルによって可能になる高度な機能について説明します。
SSSDとIdP: トラック: アイデンティティおよびアクセス管理

OAuth 2.0/OIDCおよびKeycloakやEntry IDなどの他のREST APIに基づくアイデンティティプロバイダー（IdP）は、Webベースアプリケーションのアイデンティティ管理において支配的な役割を果たしています。しかし、内部アプリケーションにIdPを使用している組織は、LINUX/POSIXユーザーワークステーションへのアクセスと認証を管理するために、通常はLDAPベースの他のサービスを使用する必要があります。

アイデンティティ管理のために2つのサービスを実行することを避けるために、SSSDはIdPを使用してユーザーを検索し、IdPに対して認証を開始しました。LDAPとは対照的に、IdPの世界ではPOSIXユーザーとグループに関する標準や慣例はありません。

この講演では、SSSDがIdPからユーザーおよびグループ情報を取得する方法、POSIXに必要な情報（数値ユーザーIDやグループIDなど）がどのように作成されるか、およびどのような制限があるかに焦点を当てます。さらに、認証にOAuth 2.0 Device Authorization Flowが選択された理由と、そのデモンストレーションについて説明します。
ユーザー認証の雑務をKeycloakに委任する: 講演者: Alexander Schwartz
トラック: アイデンティティおよびアクセス管理

概要: ユーザー認証は、ユーザーごとにユーザー名とパスワードを使用するシンプルなものから始めることができます。しかし、パスワード忘れやユーザー登録も処理する必要があります。また、メールアドレスの検証、二要素認証の追加、必要に応じたユーザープロファイル情報の更新、さらにはパスワードレス認証の提供も検討する必要があるかもしれません。

Keycloakのようなシングルサインオンシステムは、それらすべてを処理でき、認証後にOpenID ConnectやSAMLのような業界標準を使用してユーザーをアプリケーションにリダイレクトします。

この講演に参加して、認証に関するすべてのタスクをKeycloakに委任する方法をご覧ください。まずシンプルなものから始め、デモで機能をさらに追加して、Keycloakの機能と柔軟性を示します。また、最新リリースと今後のロードマップの機能についても見ていきます。

FOSDEMはデブロームが重要です！

FOSDEMは、独自の論文募集と主催者を持つ、より小さな単一トラックの会議に分割された大規模なイベントです。Keycloakに関心がある場合に興味があるかもしれないデブロームの短いリストを以下に示します。

アイデンティティおよびアクセス管理デブローム: アイデンティティおよびアクセス管理デブロームは、フリーソフトウェアおよびオープンソースの世界におけるオペレーティングシステムのアイデンティティおよびアクセス管理に関連しています。
セキュリティデブローム: セキュリティデブロームは、フリーソフトウェアおよびオープンソースの世界におけるセキュリティに関連するすべてを網羅しています。講演では、暗号化、サプライチェーン、セキュア開発、および強化などのトピックを取り上げます。
デジタルウォレットと検証可能な資格情報デブローム: デジタルウォレットと検証可能な資格情報デブロームは、デジタルウォレット、検証可能な資格情報、およびこれらの主題から生まれるエコシステム、特にEUにおけるエコシステムに関するものです。