Keycloakで既存DBと連携した安全なSSO基盤導入事例
ソリューション開発部 森 彰吾
今回は、インターネットサービスプロバイダ事業者のお客様向けにシングルサインオン(以下、SSO)の基盤を導入した事例です。お客様は加入者向けのWEBサービスを複数展開していましたが、サービスごとにログインが必要になるため利用者にとって不便な状態であることを課題としていました。この課題に対して、デージーネットからは、既存の加入者向けサイトと連携できるようオンプレミス環境に導入可能なKeycloakを利用したシステムの構築をご提案しました。
お客様が悩まれていた課題
お客様は次のような課題がありました。
- 加入者向けのWEBサービスごとにログインが必要なため、利用者が不便
- SSOを実装したいが、ユーザの認証情報をオンプレミスのデータベースに保管しているため、クラウドのSSOサービスとの連携が難しい
- クラウドのSSOサービスを利用すると、利用者の数などで費用算定されるため高額すぎて費用対効果が薄い
デージーネットからの提案
デージーネットからは、以下の3点をご提案しました。
オンプレミス環境で利用可能なSSOシステムの導入
今回のお客様は、会員向けサイトを独自で開発しており、また利用者の認証情報を含むデータベースを社内に保有していました。重要な情報が含まれるため、外部サービスの利用のリスクを感じていることが背景としてありました。そこで今回は、オンプレミス環境で導入可能なSSOの実装ソフトウェアとして、Keycloakを選定しました。Keycloakは、Red Hat社などが主導して開発を行っており、様々なアプリケーションやサービスへのサインインを一度で行うことができるオープンソースソフトウェアです。Keycloakを使うことで、オンプレミス環境に独自のSSO基盤を持つことができるため提案を行いました。
既存データベースとの連携
加入者向けサイトの認証情報は、お客様が保有するデータベースに保管されていました。KeycloakではKeycloak用のデータベースやLDAPサービスなどを使った認証はできますが、独自のデータベースは形式が合わず認証が行えません。この点はクラウドのSSOサービスや、その他のソフトウェアを使う場合も、対応が難しい点です。一方で、お客様のデータベースを変更することは難しく、また他に認証用のデータベースを構築した場合は、ユーザ情報の2重管理が発生するため、運用が複雑化します。
この問題を解決するため、Keycloakの機能拡張用のAPIを使い、お客様のデータベースで認証するためのプラグインを開発することを提案しました。
オープンソースを利用することでのコスト低減
一般的なSSOのサービスは、利用ユーザの数によって価格が変動するものが多くあります。例えば、1ユーザあたり「500円/月」程度の費用が発生する場合、数千から数万規模のユーザでは単純計算で年間数百万円から数千万円のコストが発生します。また、利用者数が変動する場合、年間のコスト算定が難しく予算取りも困難になることがあります。
このような問題に対して、オープンソースのKeycloakを利用することで、ランニングコストを抑える提案を行いました。なお、今回の件では初期構築費と、導入後のデージーネットが提供する保守サービスの費用のみでご提案を行い、その後も計画的に予算取りができる形としました。
導入時の工夫
導入にあたって以下を工夫しました。
会員向けサイトのSSO対応を見据えた設計
SSOの基盤を利用した場合でも、サイト側のSSOの実装方法はいくつかのパターンがあります。設計フェーズで、サイト側をどのように改修していく予定かを、事前に確認を行いつつ設計を行いました。その結果、今回はリバースプロキシ方式と呼ばれる方式を採用しました。この構成の場合、Keycloakと会員サイトのSSO情報の架け橋として、リバースプロキシが必要になります。リバースプロキシはお客様側でご用意いただくことになりましたが、デージーネットからリバースプロキシの設定例などをご提示して、お客様側の作業をスムーズに行えるような工夫を行いました。
実際の利用を想定した試験
今回の構成の要となるのは、Keycloakのプラグインとお客様保有のデータベースを使った認証です。この点のトラブルを未然に防ぐため、設計・開発の段階からデータベースの設計情報を頂き、実際の環境と齟齬がないように試験を実施しました。また、導入の最終フェーズでは現場にお伺いして、実際のデータベースを使った認証の動作確認を行いました。
導入後の結果
既存のデータベースを使った認証を実現することで、会員情報の管理方法を変えることなく、今まで通り運用ができるようになりました。 また、事前に利用方法や会員サイトの改修方針を確認したことや、導入前から実際の環境を想定した試験を行ったことにより、導入後すぐにお客様側での会員サイトの改修に入れる状態となりました。 コスト面でもランニングコストを抑えつつ、リーズナブルな価格で計画的・継続的な運用ができる状態とすることができました。
関連ページ
Keycloakを活用したISP向けオンプレミスSSO導入事例
インターネットサービスプロバイダ事業者のお客様向けに、シングルサインオン(SSO)の基盤を導入した事例です。既存の加入者向けサイトと連携できるようオンプレミス環境に導入可能なKeycloakを利用したシステムの構築をご提案しました。
デージーネットからのお知らせ
AI時代に求められるナレッジ共有のあり方 〜Wiki.js/phpMyFAQ〜を開催します。
Wiki.js・phpMyFAQとは、オープンソースのナレッジ共有プラットフォームです。今回は、AI時代を見据えたナレッジ共有のポイントを解説し、実践的なナレッジ共有基盤としてOSSのWiki.js/phpMyFAQをご紹介します。
- 日程:2026年3月26日(木)
- 時間:15:00〜16:00
詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=118
無料資料ダウンロードに【AlmaLinuxを使用した高可用性システムの実装(AlmaLinux Day Tokyo 2026)】を掲載しました。
2026年1月23日にAlmaLinux Day Tokyo 2026で行ったセミナーの資料です。AlmaLinuxを使用した高可用性システムの実装方法について、事例を交えて紹介しています。
https://www.designet.co.jp/download/#OS
無料資料ダウンロードに【MetalLB調査報告書】を掲載しました。
MetalLBは、コンテナオーケストレーションツールであるKubernetesでロードバランサを実装するためのソフトウェアです。本書は、MetalLBについて調査した内容をまとめたものです。
https://www.designet.co.jp/download/#claster
ダイヤモンド経営者倶楽部の企業表彰にて、「TOKYO PRO Market 部門IPO賞」を受賞しました!
https://www.designet.co.jp/info/?id=883
メールサーバの安全性を無料でチェックできるサイトを公開しています。
メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。
