Login
      目次 x
      Keycloack 連携
        • 印刷する
        • PDF
        目次

        Keycloack 連携

          • 印刷する
          • PDF
          Article Summary

          Classic/VPC環境で利用できます。

          オープンソースベースのユーザーアカウント管理およびアクセス権管理ソリューションである Keycloackと NAVERクラウドプラットフォームを連携する方法について説明します。組織内で使用している Keycloackアカウントで NAVERクラウドプラットフォームコンソールにログインし、与えられた権限内でサービスを利用できます。

          NAVERクラウドプラットフォームコンソールで Keycloackアカウントを連携する手順は、次の通りです。

          1. Keycloackからメタデータをコピー
          2. NAVERクラウドプラットフォームに External IdP情報を登録
          3. Keycloack認証設定
          4. NAVERクラウドプラットフォーム認証設定
          5. 連携確認

          1. Keycloackからメタデータをコピー

          1. Keycloackにアクセスしてログインします。
          2. 画面左上のドロップダウンボックスをクリックし、 [Add realm] ボタンをクリックします。
          3. Name に名前を入力し、[Create] ボタンをクリックします。
          4. 画面左側の Realm Settings メニューをクリックし、[General] タブの SAML 2.0 Identity Provider Metadata リンクをクリックします。
          5. SAMLメタデータをコピーします。

          2. NAVERクラウドプラットフォームに External IdP情報を登録

          NAVERクラウドプラットフォームに Keycloackのメタデータを登録する方法は、次の通りです。

          1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
          2. Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
          3. Tenant メニューで [External IdP登録] ボタンをクリックします。
          4. Metadata 項目で Keycloackからメタデータをダウンロードからダウンロードしたメタデータ情報を貼り付けた後、[保存] ボタンをクリックします。
          • サブ情報は自動的に入力されます。
          1. [登録] ボタンをクリックします。
          2. Tenant メニューの External IdP login 領域で Service Provider Metadata ボタンをクリックします。
          3. [ダウンロード] ボタンをクリックします。

          3. Keycloack認証設定

          Keycloackで認証を行う Clientを作成し、NAVERクラウドプラットフォームと連携するユーザーを追加した後、認証に必要なユーザープロパティ情報を定義する方法について説明します。

          Client作成

          Clientを作成する方法は、次の通りです。

          1. Keycloackに接続した後、画面左側の Clients メニューをクリックします。
          2. [Create] ボタンをクリックします。
          3. Import 項目の [Select file] ボタンをクリックします。
          4. NAVERクラウドプラットフォームに External IdP情報を登録からダウンロードしたメタデータファイルをアップロードします。
            • メタデータファイルがアップロードされると、Client ID情報と Client Protocolフィールドに値が自動的に入力されます。
          5. Client SAML Endpointに、SAML連携情報をコピーでコピーした Assertion Consumer Service(ACS) URL情報を入力します。
          6. [Save] ボタンをクリックします。
          7. Nameには名前を入力し、Descriptionに簡単な説明を入力し、 [Save] ボタンをクリックします。

          SAML連携情報をコピー

          Ncloud Single Sign-Onサービスと IdPを連携させるには、IdPが送信する SAMLレスポンスを受信するエンドポイントである Assertion Consumer Service(ACS) URL情報と IdPを識別する Issuer URL情報が必要です。

          NAVERクラウドプラットフォームの ACS URLと Issuer URLを確認する方法は、次の通りです。

          1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
          2. Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
          3. Tenant メニューの External IDP Metadata 領域に以下の情報をコピーします。
          • Assertion Consumer Service (ACS) URL
          • Issuer URL

          Attribute Mapper設定

          Keycloackのユーザープロファイルと Ncloud Single Sign-Onサービスのユーザープロファイルをマッピングするには、Keycloackから NAVERクラウドプラットフォームに渡すユーザーのプロパティ情報を定義します。

          参考

          このガイドでは、認証時に主に使用されるユーザープロパティ情報である FirstName、LastName、Emailを基準に説明します。

          Keycloackでユーザープロパティ情報を定義する方法は、次の通りです。

          1. Keycloackにログイン後、画面左側の Client メニューをクリックします。
          2. ユーザーを設定する Clientの [Edit] ボタンをクリックします。
          3. [Mappers] タブをクリックします。
          4. [Create] ボタンをクリックします。
          5. 関連付けるユーザープロパティ情報を入力します。
            • Name : プロパティ名
            • Mapper Type : User Property を選択
            • Property : 「email」を入力
            • Friendly Name : プロパティ名が暗号化されている場合、ユーザーに表示する名前。選択項目
            • SAML Attribute Name : 「email」を入力
            • SAML Attribute NameFormat : Unspecified を選択
          6. [Save] ボタンをクリックします。
          7. 同じように firstName、lastNameのプロパティを追加します。
          参考

          「SAML AttributeName」は、Ncloud Single Sign-Onサービスでユーザー Profile管理の Attribute Mapper設定時に External IdP Parameterに入力する値です。

          Keycloackユーザー追加

          1. 画面左側の User メニューをクリックします。
          2. [Add user] ボタンをクリックします。
          3. Usernameに User名を入力し、Emailに連携するメールアドレスを入力します。
            • Emailは必須入力項目ではありませんが、Ncloud Single Sign-Onサービスで Emailを NameIDとして認識するため、必ず Emailを入力する必要があります。
          4. [Save] ボタンをクリックします。
          • Userリスト画面に移動します。
          1. Userリストで作成した IDをクリックします。
          2. [Credentials] タブでユーザーのパスワードを設定し、[Set Password] ボタンをクリックします。
          3. Set password のポップアップが表示されたら、[Set password] ボタンをクリックします。

          4. NAVERクラウドプラットフォーム認証設定

          連携する Keycloackアカウントを NAVERクラウドプラットフォームコンソールに登録し、ユーザープロファイルをマッピングする方法について説明します。

          SSO User追加

          AWSユーザー追加段階で作成したユーザーの Email情報を活用し、Ncloud Single Sign-Onサービスで SSO Userを作成する必要があります。

          Keycloackユーザー追加段階で作成したユーザーの Email情報を活用し、Ncloud Single Sign-Onサービスで SSO Userを作成する必要があります。

          NAVERクラウドプラットフォームで Ncloud Single Sign-Onサービスの SSO Userを追加する方法は、次の通りです。

          1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
          2. Services > Management & Governance > Ncloud Single Sign-On メニューをクリックします。
          3. External IdP Login > Users > [User作成] ボタンをクリックします。
          4. ログイン IDに Keycloackユーザー追加で作成したユーザーのメールアドレスを入力し、[作成] ボタンをクリックします。
          参考

          Ncloud Single Sign-Onサービスで SSO Userを作成する詳しい方法は、Usersをご参照ください。

          Attribute Mapper設定

          Keycloackで設定したユーザープロパティ情報を Ncloud Single Sign-Onサービスのユーザープロパティ情報と関連付ける方法は、次の通りです。

          1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
          2. Services > Management & Governance > Ncloud Single Sign-On メニューを順にクリックします。
          3. Tenant メニューをクリックします。
          4. ユーザー Profile管理 領域の [Attribute Mapper] ボタンをクリックします。
          5. Attribute Mapper画面が表示されたら、Attribute Mapping設定で登録した内容を External IdP Parameter に入力します。
          6. Sync Modeでユーザープロファイルの更新方法を設定します。
            • None : ユーザープロファイルを更新しない
            • Import : 初回ログイン時のみユーザープロファイルを更新
            • Force : ログインするたびにユーザープロファイルを更新
          7. [保存] ボタンをクリックします。

          5. 連携確認

          Keycloackアカウントと NAVERクラウドプラットフォームアカウントが連携しているか確認する方法は、次の通りです。

          1. NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
          2. Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
          3. Tenant メニューの Login URL をコピーし、その URLにアクセスします。
          4. ログイン画面が表示されたら、メールアドレスとパスワードを入力し、 [Sign In] ボタンをクリックします。
            • SSO Roleのロール切り替え画面が表示されます。
          5. SSO Roleのロール切り替え画面で [コンソールアクセス] または [APIアクセス] ボタンをクリックします。
            • ログインした SSO Userに設定されたアクセスタイプに応じて [コンソールアクセス] または [API Gatewayアクセス] ボタンが表示されます。
          6. Services > Management & Governance > Ncloud Single Sign-On > External IdP login > User メニューをクリックします。
          7. ログインした SSO Userの詳細情報で [Profile] タブをクリックし、ユーザープロファイルが更新されているかご確認ください。
          この記事は役に立ちましたか?
          What's Next
          Change password!
          Changing your password will log you out immediately. Use the new password to log back in.
          Change profile
          Success!
          First name must have atleast 2 characters. Numbers and special characters are not allowed.
          Last name must have atleast 1 characters. Numbers and special characters are not allowed.
          Enter a valid email
          Enter a valid password
          Your profile has been successfully updated.
          Logout