フォーム読み込み中
OCIでKeycloakを使ったSSO認証の設定をしてみた
クラウドエンジニア
佐野 友郁
2021年にSBに中途入社。自治体向けのデジタル化提案や新規事業検討を経て、2024年よりクラウド業務に従事。
2025年7月15日掲載
本記事では Oracle Cloud Infrastructure(OCI)の Oracle Cloud コンソールに、Keycloakを SAML IdP として構成し、シングルサインオン(SSO)でサインインするための手順を解説します。
Oracle Cloud Infrastructure(OCI) について
Oracle Cloud Infrastructure(OCI)は、オラクル社が提供している高性能・高セキュリティな IaaS / PaaS クラウド基盤で、仮想マシンやベアメタル、ストレージ、データベース、Kubernetes など多様なインフラを低コストかつ柔軟に提供しています。
Keycloak について
Keycloak は、企業や開発者が自分のアプリやサービスに安全なログイン機能を簡単に追加できる無料のOSSツールです。ユーザー登録やログイン、パスワード管理、多要素認証、Google など他のサービスとのログイン連携も可能で、1度のログインで複数のサービスにアクセスできる「シングルサインオン(SSO)」に対応しています。
構築環境
本記事の内容は mac OS (Ventura 13.7.6)で実施しており、Keycloak のサーバーは OCI の VM(Canonical Ubuntu 20.04)上に構築しています。なお、KeycloakとOCIにはそれぞれメールアドレスが一致するユーザーが作成されていることを前提としています。
SSO認証の設定の流れ
SSO認証の設定は、以下の手順で実施します。
- OCI メタデータの取得
OCI から、Keycloak に登録するメタデータを取得します。 - Keycloak の Clients を設定
Keycloak に、OCIの情報を登録します。 - Keycloak メタデータの取得
Keycloak から、OCI に登録するメタデータを取得します。 - IdP の設定
OCIに、Keycloak を IdP(アイデンティティ・プロバイダ)として設定します。
各手順について、順を追って確認していきましょう。
1.OCIメタデータの取得
Oracle Cloud コンソールにサインインし、[ アイデンティティとセキュリティ ] > [ ドメイン ] > [( SSO 設定対象のドメイン名)]を選択します。
![[ アイデンティティとセキュリティ ] > [ ドメイン ] を選択](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--99f450dd-2774-4fc3-bcc5-62c67ae352f9/img-oci-keycloak-blog-20250715-01.jpg?width=2000&preferwebp=true&quality=100)
![[( SSO 設定対象のドメイン名)]を選択](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--1ec495c3-4173-4d6a-b378-0f53cd1d19b1/img-oci-keycloak-blog-20250715-02.jpg?width=2000&preferwebp=true&quality=100)
[ フェデレーション ] > [ SAMLメタデータのエクスポート ] > [ メタデータ・ファイル ] で [ XMLのダウンロード ]を押下し、メタデータ(Metadata.xml)をダウンロードします。
![[ フェデレーション ] > [ SAMLメタデータのエクスポート ]を選択](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--4267ccd4-0856-40bc-b7be-2777d45c17bd/img-oci-keycloak-blog-20250715-03.jpg?width=2000&preferwebp=true&quality=100)
![[ メタデータ・ファイル ] で [ XMLのダウンロード ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--98cde242-3bc4-4e64-b438-dfb9505168a6/img-oci-keycloak-blog-20250715-04.jpg?width=2000&preferwebp=true&quality=100)
2.Keycloak の Clients を設定
Keycloak に Admin ユーザーでログインし、[ Clients ] > [ Import Client ]を押下します。
![[ Clients ] > [ Import Client ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--117522e5-f9a3-4fa7-940b-d02cd015cd89/img-oci-keycloak-blog-20250715-16.jpg?width=2000&preferwebp=true&quality=100)
[ Resource File ] に、「 1.OCIメタデータの取得 」の手順で Oracle Cloud コンソールから取得したメタデータ(Metadata.xml)をアップロードします。
メタデータのファイルをアップロードすると[ Client ID ]が自動で入力されるので、そのまま[ Save ]を押下します。
![[ Save ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--c4ffb326-926d-457c-82f4-b1a64568db9c/img-oci-keycloak-blog-20250715-18.jpg?width=2000&preferwebp=true&quality=100)
3.Keycloak メタデータの取得
[ Realm settings ] > [ SAML 2.0 Identity Provider Metadata ]を右クリックし、[ リンク先を別名で保存 ]でメタデータ(descriptor.xml)をダウンロードします。
![[ Realm settings ] > [ SAML 2.0 Identity Provider Metadata ]を右クリック](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--2600c5c7-3cad-47d5-a160-70c704b223f7/img-oci-keycloak-blog-20250715-19.jpg?width=2000&preferwebp=true&quality=100)
![[ リンク先を別名で保存 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--6d2869cf-94a2-4863-acdf-93a018f76eb2/img-oci-keycloak-blog-20250715-20.jpg?width=2000&preferwebp=true&quality=100)
4.IdP の設定
Oracle Cloud コンソールに戻って対象のドメインを開き、[ フェデレーション ] > [ アクション ] > [ SAML IdPの追加 ]を押下します。
![[ フェデレーション ] > [ アクション ] > [ SAML IdPの追加 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--4e4c3403-132d-43b3-a3f8-c406b8031999/img-oci-keycloak-blog-20250715-21.jpg?width=2000&preferwebp=true&quality=100)
[ 名前 ]を入力し、[ 次 ]を押下します。
![[ 名前 ]を入力し、[ 次 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--48a52e82-4c0e-4853-ba22-88962894402c/img-oci-keycloak-blog-20250715-22.jpg?width=2000&preferwebp=true&quality=100)
[ IdP メタデータのインポート ] > [ ファイルをドロップするか選択 ]に、先ほど Keycloak からダウンロードしたメタデータ(descriptor.xml)をアップロードし、[ 次 ]を押下します。
[ ユーザー・アイデンティティのマップ ]では以下の通りに設定し、[ 次 ]を押下します。
- リクエストされた名前IDフォーマット:電子メール・アドレス
- アイデンティティ・プロバイダ・ユーザー属性:SAML アサーション名 ID
- アイデンティティ・ドメイン・ユーザー属性:プライマリ電子メール・アドレス
![[ ユーザー・アイデンティティのマップ ]を設定](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--48290e90-6f80-4808-9e75-ffaf61f9b4f2/img-oci-keycloak-blog-20250715-24.jpg?width=2000&preferwebp=true&quality=100)
[ IdPの作成 ]を押下します。
![[ IdPの作成 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--d694994b-694b-4bba-99f6-7c07f443ab71/img-oci-keycloak-blog-20250715-25.jpg?width=2000&preferwebp=true&quality=100)
作成したアイデンティティ・プロバイダの行の[ ・・・ ] > [ IdPのアクティブ化 ]を押下します。
![[ IdPのアクティブ化 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--044baa49-cd54-4f84-bd24-ad2fef359005/img-oci-keycloak-blog-20250715-26.jpg?width=2000&preferwebp=true&quality=100)
[ IdPのアクティブ化 ]を押下します。
![[ IdPのアクティブ化 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--80dad629-167d-41de-9f5c-077cb76e77bd/img-oci-keycloak-blog-20250715-27.jpg?width=2000&preferwebp=true&quality=100)
[ アイデンティティ・プロバイダ・ポリシー ]を選択します。
![[ アイデンティティ・プロバイダ・ポリシー ]を選択](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--e9dbfda4-436f-4b11-8e1d-13ed8af6edc0/img-oci-keycloak-blog-20250715-28.jpg?width=2000&preferwebp=true&quality=100)
[アイデンティティ・プロバイダ・ルール] > [ ・・・ ] > [ IdPルールの編集 ]を押下します。
![[ IdPルールの編集 ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--bbbccdbe-7cd7-47ca-9e5d-322f5d731dc4/img-oci-keycloak-blog-20250715-29.jpg?width=2000&preferwebp=true&quality=100)
[ アイデンティティ・プロバイダの割当て ]に先ほど作成したアイデンティティ・プロバイダを追加し、[ 変更の保存 ]を押下します。これで、SSOの設定は完了です。
![[ アイデンティティ・プロバイダの割当て ]にアイデンティティ・プロバイダを追加](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--c77d3c17-7536-43bd-b05f-655e27a24c07/img-oci-keycloak-blog-20250715-30.jpg?width=2000&preferwebp=true&quality=100)
動作確認
それでは正しく SSO ができるか動作確認をしましょう。サインイン画面の下部から先ほど設定したアイデンティティ・プロバイダ名が選択できるようになっているので、押下します。
Keycloak のサインイン画面に遷移するので、Keycloak の[ Username or email ]、[ Password ]を入力し、[ Sign In ]を押下します。
![[ Username or email ]、[ Password ]を入力し、[ Sign In ]を押下](https://www.softbank.jp/biz/function/dynamicmedia/deliver/dm-aid--324a8fa1-5267-4ac6-b7ac-73c3892dd54b/img-oci-keycloak-blog-20250715-14.jpg?width=2000&preferwebp=true&quality=100)
Keycloak のユーザーに紐づけられた OCI のユーザーでサインインできていることが確認できたら成功です。
まとめ
本記事では、Keycloak を SAML IdP として構成し、シングルサインオン(SSO)で Oracle Cloud コンソールにサインインするための設定方法を解説してきました。シングルサインオン(SSO)の設定はSP(サービスプロバイダ)であるOCIと、IdP(アイデンティティプロバイダ)であるKeycloakの間でメタデータのやり取りが必要となり、少し複雑に感じられるかもしれません。この解説がスムーズにSSO環境を構築するための一助となれば幸いです。
関連サービス
Oracle社が提供するクラウドコンピューティングプラットフォームです。OCIは、企業のビジネスニーズに応じた幅広いクラウドサービスを提供し、エンタープライズグレードのパフォーマンス、セキュリティ、信頼性を提供するために設計されています。企業はITインフラストラクチャを効果的に管理し、ビジネスの成果を最大化することができます。
おすすめの記事
条件に該当するページがございません
