Keycloak(Quarkus distribution)を用いてGrowiへのログイン認証

株式会社 Vitalizeで webエンジニアをしている @nagaemon です。
現在は長野の支社にお世話になっており、現在はエンジニア + 地方創生事業に携わっています。
好きな言語はrubyです。

今回はGrowiとSAML認証を用いて連携の方法と、その際に詰まった
ポイントを残しておこうと思います。

Growiとは

https://growi.org/ja/
GROWIは、MITライセンスで公開されているオープンソースのウィキソフトウェアである。
日本のエンジニアによって開発されていることで有名です。
また、SAMLやLDAP認証、外部のOAuthプロバイダを利用したログインをサポートしている点が特徴に挙げられます。

ログイン実装

今回は
こちらのGrowi Keycloak　間でのSAMLを用いてのログインを実装していこうと思います。ほとんどはこちらのGROWI Developers Wikiの開発用のSAMLサーバーセットアップを参考にしました。

ただ、こちらで使われているkeycloakイメージはjboss/keycloakとなっており、
quay.io/keycloak/keycloakのイメージで立ち上げた場合と差分があったので、メモに残しました。

Growiの設定

立ち上げはこちらのGrowi Docsを参考に立ち上げました。
https://docs.growi.org/ja/admin-guide/getting-started/docker-compose.html#growi-%E3%81%AE%E3%82%A2%E3%83%83%E3%83%95%E3%82%9A%E3%82%AF%E3%82%99%E3%83%AC%E3%83%BC%E3%83%88%E3%82%99

admin権限でログイン後はサイドバー左下の歯車アイコンからwiki管理TOPへ行くので、そこからさらにセキュリティ設定へ
もしくはhttp://localhost:3000/admin/security から直接遷移できます。

下にスクロールすると認証機構設定があるので、そこで「SAML」を選択
SAMLを有効にした後に、コールバックURLをメモしておきましょう、Keycloak側で必要になります。

Keycloakの設定

keycloak側の設定はこちらの本家のGetting start を参考に立ち上げます。https://www.keycloak.org/getting-started/getting-started-docker

レルム　クライアントの作成

今回はレルムを[demo-realm]
クライアントを[growi-client]
として作成しました。

レルム側

Realm name: demo-realm

クライアント側

General Settings

Client type: saml
Client ID: growi-client

Login settings

Root URL: http://localhost:3000/
Home URL: http://localhost:3000/
Valid redirect URIs: http://localhost:3000/*
Master SAML Processing URL: http://localhost:3000/passport/saml/callback (← Growi側でメモしたコールバックURL)

クライアント設定

Client(クライアント一覧画面) → growi-client選択 → Settingタブ選択

SAML capabilities

• Name ID format: username
• Force POST binding: ON
• Include AuthnStatement : ON
  

Signature and Encryption

• Sign documents: ON
• Sign assertions: ON
• Signature algorithm: RSA_SHA1
• SAML Signature Key Name : KEY_ID
• Canonicalization Method : EXCLUSIVE
  

Logout settings

• Front channel logout: ON
  

Keys設定

• Client signature required: OFF
  • ここはOFFにしておかないとSigAlg was nullというエラーが出続けます。
  • 参考 Keycloak and Spring SAML: SigAlg was null
    

クライアントマッパーの設定

Keycloakのバージョンが１６以降はこのクライアントマッパーの位置が変更になっていたので、探すのに苦労しました。

場所は同ページのタブ「Client scope」選択後のxxxxx-dedicated(この場合はgrowi-client-dedicated)内にて設定可能
Mappersタブ内の Add apperを選択して追加する。

Add mapper → By configuration → User Propertyの順に選択

• id
• lastname
• firstname
• email
• mapper-username

idからemailまでの設定に関しては、「Name」、「Property」、「Friendly Name」、「SAML Attribute Name」は同名にする

mapper-usernameに関しては

• mapper-username
• Mapper Type: User Property
• Property: username
• Friendly Name: User's name
  • こちらは適当、わかりやすいものに設定
• SAML Attribute Name: uid

全て作成するとしたの図のようになる

keycloak側でのユーザー作成

• Username: test_user
• Email: test_user@example.com
• First name: test
• Last name: user
  で作成

作成後はCredentialsタブ→ Set passwordからユーザーのパスワードも設定しておきます。

• password & Password confirmation: 「任意のパスワード」
• Temporary: どちらでも良いですが、今回はOff
  

Growi SAML設定

http://localhost:3000/admin/security
にて初めに設定した認証機構設定に移動できます。

keycloak側での設定した値を用いて、こちらも変更します。

Basic Settings

• エントリーポイント: http://localhost:8080/realms/demo-realm/protocol/saml

  • keycloak内のconfigure(Realm settings)内のEndpointsのリンクを押下後のLocation以降の文字列を記述
    

• 発行者: growi-client

• 証明書:

  • Keycloak の管理画面にアクセス
  • Realm Settings の Keysタブをクリック
  • Algorithm RS256 の Certificate を copy & paste する
    
    

Attribute Mapping

• ID: id
• username: uid
• メールアドレス: email
  を入力する

ログイン確認

ログアウトもしくはhttp://localhost:3000/login にてログイン画面へ
External Auth で添付画像のようなログインボタンが表示されるはずです。

押下後にkeycloakのログイン画面へ、keycloak のユーザー登録したユーザー名(もしくはemail)とpasswordを入力

無事ログインできたら成功です！