66
例示のJWKファイルは、RFC標準に記載されている3つの初期タイプのキーを表しま
す 。こ れ ら の キ ー の 形 式 も RFC標 準の 一 部です。kty 属 性 が キ ー の 種 類 で す 。こ の フ ァ
イル は オクテットシ ー ケンス ( oct)、楕円円形 (EC) およびRSAタイプの3つの主要なタ
イプ を 示します。kid属性はキーIDです。これらのキーの他の属性は、そのタイプの
キーの標準で指定されています。詳細については、これらの標準のRFCドキュメン
トを 参 照してくだ さい 。
解説
さまざまな言語で利用できるライブラリが多数存在し、JWKを生 成するために使用で
きます。JWKを定期的に作成およびローテーションするための、JWKの中心的な権限
である主要なサービスを作成することをお勧めします。セキュリティを強化するため
に、JWKをSSL/TLS証明書と同様に安全にすることをお勧めします。キーファイルを適
切なユーザーやグループ 権 限で安全に保護してください。それらをホストのメモリに保
持することがベストプラクティスです。ramfsのようなメモリ内ファイルシステムを作成
してこれを実 行できます。一 定の間 隔でキーをローテーションさせることも重 要です。
公開鍵と秘密鍵を作成し、APIを 介して アプ リケー ションと NGINXに提供する鍵サー
ビスを作成することも選択できます。
関連項目
JSON Web Key RFC 標準ドキュメンテーション
6.5 NGINX Plus でのJSON Webトークンの照合
問題
NGINX PlusでJSON Webトークンを照 合する必 要があります。
解決法
NGINX Plusに付属のJWTモジュールを使用して、ロケーションまたはサーバーを保護
し 、照 合 す るト ー ク ン と して $cookie_auth_tokenを使 用するようにauth_jwtディレク
ティブに指 示します。
location /private/ {
auth_jwt "Google Oauth" token=$cookie_auth_token;
auth_jwt_key_file /etc/nginx/google_certs.jwk;
}
この構成は、JWT照合を使用して/private/ URIパスを保護するようにNGINX Plusに指示
しますGoogle OAuth 2.0 OpenID Connectは 、デ フ ォ ル ト の ベ ア ラ ー ト ー ク ン で は な く
auth_tokenを 使 用 し ま す 。そ の た め 、NGINX Plusの デ フ ォ ル ト の 場 所 で は な く 、こ の cookie
| 第6章:認 証
67
の中のトークンを探すようにNGINXに指 示する必 要 があります。auth_jwt_key_fileの
ロケーションは任意のパスに設定されます。これはレシピ 6.6で説 明 するステップ です。
解説
この構成は、Google OAuth 2.0 OpenID ConnectJWTをNGINX Plusで照合する方法を
示します。NGINX Plus JWT認 証 モ ジ ュ ー ル( HTTP用 )は 、JSON Web Signature仕様の
ためのRFCに準拠するすべてのJWTを照合できるため、JWTを利 用するすべてのSSO機
関をNGINX Plusレイヤーですぐに照 合できます。OpenID 1.0プロトコル は、IDを追加す
るOAuth 2.0 認 証プ ロトコル の上にあるレイヤーであり、JWTを 使 用して 要 求 を 送 信 す
るユーザーのIDを証明できるようにします。トークンの署名により、NGINX Plusは、
トークンが署名されてから変更されていないことを検 証できます。この方法で、Google
は 非 同 期 署 名 方 式 を 使 用 し て お り 、プ ラ イ ベ ー ト JWKを シ ー ク レ ット に 保 ち な が ら 、パ
ブリックJWKを配布することを可能にしています。
関連項目
JWTとNGINX Plusを 使 用して APIクライアントを認証
6.6 NGINX PlusでJSON Webキ ー セットを自 動 的 に 取 得し
てキャッシュする
問題
NGINX Plusが プロ バイダーに JSON Webキ ー セ ッ ト( JWKS)を 自 動 的 に 要 求 し 、
キャッシュするようにする必要があります。
解決法
キャッシュゾーンとauth_jwt_key_requestデ ィ レ ク テ ィ ブ を 利 用 し て 、キ ー を 自 動 的 に
最新の状態に保ちます:
proxy_cache_path /data/nginx/cache levels=1 keys_zone=foo:10m;
server {
# ...
location / {
auth_jwt "closed site";
auth_jwt_key_request /jwks_uri;
}
location = /jwks_uri {
internal;
proxy_cache foo;
6.6 NGINX PlusでJSON Webキーセットを自動的に取得してキャッシュする |
68
proxy_pass https://idp.example.com/keys;
}
}
この例では、auth_jwt_key_requestデ ィ レ ク テ ィ ブ は 、内 部 サ ブ リ ク エ ス ト か ら JWKSを
取得するようにNGINX Plusに指示します。サブリクエストは/jwks_uriに向けられ、ID
プロバイダーに要求をプロキシします。オーバーヘッドを制限するために、要求はデフォ
ルトで10分間キャッシュされます。
解説
NGINX Plus R17では、auth_jwt_key_requestディレクティブが導入されました。この
機 能により、NGINX Plusサーバーは、要求が行われた際にJWKを動的に更新できま
す。サブリクエストメソッドがJWKを取得するために使 用されるため、ディレクティブ
が指す場所はNGINX Plusサーバーに対してローカルである必要があります。この例で
は、NGINX Plusの内 部リクエストのみが 処 理されるように、サブリクエ ストの 場 所 が
ロックダウンされています。キャッシュは、JWKの取得要求が必要な頻度でのみ行わ
れ る よ う に 使 用 さ れ ま し た 。こ の た め 、IDプ ロバイダー に過 負 荷 がか かることはありま
せん。auth_jwt_key_requestディレクティブ は http、server、location、limit_except
コンテキストで有 効 です。
関連項目
JWTとNGINX Plusを 使 用して APIクライアントを認証
6.7 NGINX Plusでの既存のOpenID Connect SSOを介した
ユーザー認証
問題
NGINX PlusをOpenID Connect(OIDC)IDプ ロバイダーと 統 合する 必 要が あります。
解決法
この解決法は、多数の構成の側面と若干のNGINScriptコードから構 成されています。
IDプ ロバイダー ( IdP) はOpenID Connect 1.0をサポートしなければなりません。
NGINX Plusは 、認 証 コ ー ド フ ロ ー で OIDCのリラ イン グパー ティとして 機 能します。
NGINX Inc.は、NGINX PlusとのOIDC統合のリファレンス実装として、構成とコード
を含 むパブリックGitHubリポジトリを保 持しています。以下のリポジトリへのリンクに
は 、お 使 い の IdPとのリファレンス実装のセットアップ方法に関する最新の手順が記載
されています。
| 第6章:認 証
69
解説
このソリューションは、読 者が最新のソリューションを確実に入手できるように、リファ
レンス 実 装 にリン クしているだ け です。提 供されているリファレンスは 、OpenID Connect
1.0の認証コードフローのリライングパーティとしてNGINX Plusを 構 成 し ま す 。こ の 構
成で、保護されたリソースに対する認証されていない要求がNGINX Plusに 対して 行 わ
れると、NGINX Plusは最初に要求をIdPにリダイレクトします。IdPは 、ク ラ イ ア ン ト
に独自のログインフロー実行させ、認証コードを使用してクライアントをNGINX Plus
に 戻 し ま す。次 に 、NGINX PlusはIdPと 直 接 通 信 し て 、認 証 コ ー ド を IDトークンのセッ
トと交換します。これらのトークンはJWTを使用して照合され、NGINX Plusのキーバ
リューストア に保 存 され ます。キ ーバリューストア を 使 用 することに より、ト ー クン は 、
高 可 用 性( HA)構 成 の す べ て の NGINX Plusノ ー ド で 使 用 で き る よ う に な り ま す 。こ の
プロセス中に、NGINX Plusは、キーバリューストアでトークンを検索するためのキーと
して使用されるクライアントのセッションcookieを生成します。次に、クライアントに
は 、最 初 に 要 求 さ れ た リ ソ ース へ の cookieを使用したリダイレクトが 提供されます。後
続の要求は、cookieを 使 用して NGINX Plusの キ ーバ リューストア で IDトークンをルッ
クアップして 照 合 さ れます。
この機 能により、CA Single Sign On(以前のSiteMinder)、ForgeRock OpenAM、Keycloak、
Okta、OneLogin、PingIdentityなどのほとんどの主要なIDプロ バイダーとの 統 合 が 可 能
になります。標準としてのOIDCは 、認 証 に 非 常 に 関 連 して い ま す 。前 述 の IDプロバイ
ダーは、実現可能な統合の一部にすぎません。
関連項目
OpenID Connectに関する詳細NGINXブログ
OpenID Connect
NGINX OpenID Connect リファレンス 実 装
6.7 NGINX Plusでの既存のOpenID Connect SSOを介したユーザー認証 |
..................Content has been hidden....................
You can't read the all page of ebook, please click here login for view all page.