12
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Autheliaでローカル開発用のOIDC環境を簡単に構築してみた

Last updated at Posted at 2024-09-30

ローカル開発環境で簡単に扱えるOIDCのIdP(Identity Provider)として、Autheliaがなかなか良かったので簡単に紹介したいと思います。

背景

ある日、私が携わっているプロダクトにOIDCによるログイン機能を追加することになりました。
このプロダクトはチームメンバーが各自のローカル環境で開発しているものなので、IdPについても実際のIdPに各自のテストクライアントを登録したりせずに、ローカルで簡単に構築できたらいいなと思いました。
(もちろん、検証環境は実際に使用するIdPを使います)

そこで、ローカルに構築して使えそうなIdPのプロダクトをいくつか探してみたところ、Autheliaが手頃でよかった、というお話になります。

Autheliaとは

Autheliaは、多要素認証やSSO(シングルサインオン)を実現するための、オープンソースのIAM(ID・アクセス管理)サーバーです。

主な特徴は以下のとおりです。

  • 軽量・高速
    • Go製で、トップページの謳い文句によると、圧縮されたコンテナサイズは20MB未満、通常利用時のメモリ使用量は30MB未満だそうです
  • SSO(シングルサインオン)機能
  • 多要素認証(ワンタイムパスワード、モバイルプッシュ通知、WebAuthnなど)
  • 柔軟なアクセスコントロールポリシー
    • 「このURLは2要素認証必須」とか
  • 基本的には認証リバースプロキシとして動く
    • SSOでよくある方式
  • OIDC IdPの機能も持っている
  • 全ての設定を設定ファイル(YAML)で行う

最後の「全ての設定を設定ファイルで行う」というのが今回の要件に特にマッチしました。

Autheliaは、接続するクライアントの情報なども全て設定ファイルに記述する方式となっています。
通常の運用だと管理画面などから設定できたほうがよいのかもしれませんが、今回のローカル開発という状況では、docker compose up -dしたら全て設定済みのIdPが動いてほしいので、むしろ嬉しい仕様でした。あらかじめ開発用に設定済みのファイルを用意しておけばいいですからね。

また、OIDCのIdP機能についてはv4.38(2024年8月)の時点ではベータ扱いとなっていましたが、今回のローカル開発に使用してみた程度では特に問題なさそうでした。

もちろん、プロダクション環境でAutheliaをIdPとして運用するようなことは、ベータの間は避けたほうがよいでしょうし、また、検証環境などでは本番と同じIdPを使用したほうがよいでしょう。

Authelia以外の選択肢

Authelia以外の選択肢としては、以下のようなものを検討しました。

  • Keycloak
    • この手のIAMプロダクトの中ではかなり有名で鉄板な感じがするやつです
    • 今回の要件に対してオーバースペックすぎるのと、Web画面上でセットアップを進めなければいけないので見送りました
  • ZITADEL(クラウドサービスもありますが、セルフホストできます)
    • 今回の調査で初めて知ったのですが、Keycloakと対比した記事がよく出てくるぐらいすごそうなIAMプロダクトです
    • Keycloakと同じ理由で見送りましたが、個人的にとても興味を惹かれました
  • dex
    • 複数の異なる認証ソースを統合するポータルというかプロキシのようなプロダクトです
    • dex自身が認証ソースを持つわけではなく、上流のIdPに委ねる形なので、今回の用途には合いませんでした
      • LDAPをソースにすれば使えそうですが、それはそれで面倒
  • node-oidc-server ※ライブラリ
    • Node.jsでOIDCサーバーを構築するためのライブラリです(単体で起動して使うようなプロダクトではないです)
    • いいプロダクトが見つからなければ、最終手段として、これを使って簡単な実装をするのもありかなと考えていました

Autheliaのセットアップ

前置きが長くなりましたが、早速Autheliaのセットアップをしてみたいと思います。
今回はDockerを利用してサービスを立ち上げます。

今回使用したバージョンは次のとおりです。

  • Authelia 4.38.9

全体のファイル構成は次のとおりです。

.
├── authelia
│   ├── config                   ← 設定ファイル置き場
│   │   ├── configuration.yml    ← 設定ファイル
│   │   └── users_database.yml   ← ユーザー定義ファイル
│   └── data                     ← データ置き場
│       ├── db.sqlite3           ← データベース(今回はSQLite)
│       └── notification.txt     ← 実際の通知メールの代わりに保存されるテキスト
└── compose.yaml

Docker (compose.yaml)

compose.yamlは次のとおりです。
ボリュームの部分は設定ファイル置き場とデータファイル置き場になります。
データ置き場はディレクトリだけ用意すれば、Autheliaが勝手にファイルを置きます。

Autheliaにhttp://127.0.0.1:9091でアクセスできるようにする想定です。

compose.yaml
name: authelia-sandbox

services:
  authelia:
    image: authelia/authelia:4.38.9
    # restart: unless-stopped
    ports:
      - 9091:9091
    volumes:
      - ./authelia/config:/config:ro
      - ./authelia/data:/data

Autheliaの設定

Autheliaの設定ファイルは、公式がコメント付きのテンプレートファイルを用意してくれているので、これをコピーして書き換えていきます。

コメント付きで1400行前後と、なかなかボリュームのある設定ファイルとなっています。

ローカルOIDCのための設定

今回の目的であるローカル環境用のOIDCとして最低限の設定値を載せておきます。

テンプレートのコメントを全て残したまま載せると膨大な量になってしまうので必要な項目のみに絞っています(それでも150行弱)。
各項目を丁寧に説明していると長くなってしまうので、項目名から察してもらうか公式マニュアルを参照しながら設定してください。
私もテンプレートのコメントと公式マニュアルを交互に見ながら設定しました。

途中で出てくる秘密鍵の生成やクライアントシークレットのハッシュ値の生成については、生成コマンドを後で紹介します。
それ以外のキーやシークレットは平文で設定します(文字数や文字種に制限がある場合あり)。

ファイル名はconfiguration.ymlとします。

authelia/config/configuration.yml
theme: 'light'
server:
  address: 'tcp://:9091/'
log:
  level: 'debug'
telemetry:
  metrics:
    enabled: false
# TOTPの設定
totp:
  disable: false
  # TOTPのissuer名
  issuer: 'localhost'
# WebAuthnの設定
webauthn:
  disable: false
  # WebAuthnの表示名
  display_name: 'Authelia Sandbox'
identity_validation:
  reset_password:
    # パスワードリセットに使用するJWTのシークレット
    jwt_secret: 'authelia_sandbox_secret'
# 認証バックエンドの設定
authentication_backend:
  password_reset:
    disable: false
  # ファイルベースのユーザーデータベースの設定(他にはLDAPが使えます)
  file:
    # ユーザーを定義するYAMLファイル
    path: '/config/users_database.yml'
    watch: false
    search:
      email: false
      case_insensitive: false
    # パスワードのアルゴリズム
    password:
      algorithm: 'argon2'
      argon2:
        variant: 'argon2id'
        iterations: 3
        memory: 65536
        parallelism: 4
        key_length: 32
        salt_length: 16
# パスワードポリシー
password_policy:
  standard:
    enabled: false
    min_length: 8
    max_length: 0
    require_uppercase: true
    require_lowercase: true
    require_number: true
    require_special: true
  zxcvbn:
    enabled: false
    min_score: 3
privacy_policy:
  enabled: false
  require_user_acceptance: false
  policy_url: ''
# アクセスコントロールの設定(今回はあまり関係ない気がする)
access_control:
  default_policy: 'deny'
  rules:
    - domain:
        - '127.0.0.1'
        - 'localhost'
        - '*.localhost'
      policy: 'one_factor'
# AutheliaのセッションとCookieの設定
# セッションストレージはインメモリのほかにRedisが使える
session:
  # セッションデータのシークレット
  secret: 'authelia_sandbox_secret'
  # ここは立ち上げる環境に合わせてドメインとURLを設定する
  # 本当は localhost としたかったが、ドットが含まれている必要があるようなので、127.0.0.1 とした
  # もちろん、hosts 等を書き換えて適当なドメインを振ってもよい
  cookies:
    - name: 'authelia_sandbox_session'
      domain: '127.0.0.1'
      authelia_url: 'https://127.0.0.1:9091'
  name: 'authelia_sandbox_session'
  same_site: 'lax'
  inactivity: '5m'
  expiration: '1h'
  remember_me: '1M'
# Autheliaの管理するデータのストレージ(SQLite, MySQL, PostgreSQL)
storage:
  encryption_key: 'authelia_sandbox_encryption_key'
  # SQLite
  local:
    path: '/data/db.sqlite3'
# 通知メールの設定
# SMTPの他に、テキストファイルに保存することができる
notifier:
  disable_startup_check: false
  filesystem:
    # メール送信の代わりに保存されるテキストファイル
    filename: '/data/notification.txt'
identity_providers:
  oidc:
    # HMACシークレット
    hmac_secret: 'this_is_a_secret_abc123abc123abc'
    # JWKs
    jwks:
      - key_id: 'authelia_sandbox'
        algorithm: 'RS256'
        use: 'sig'
        # JWTの署名に使用する秘密鍵
        key: |
          -----BEGIN PRIVATE KEY-----
          MIIJQQIBADANB...Eb0X26yBScK7gK
          -----END PRIVATE KEY-----
    # クライアントアプリ(OIDC RP)の設定
    # grant_type等はお好みで設定してください
    # ここでは単純なOIDCログインのために、id_tokenのみのimplicitフローを許可しました
    clients:
      - client_id: 'authelia_sandbox_client'
        client_name: 'Authelia Sandbox Client'
        # シークレットは平文ではなくハッシュ値で設定する必要がある
        # `authelia crypto hash generate pbkdf2` で生成できる
        client_secret: '$pbkdf2-sha512$310000$c8p78n7...'
        public: false
        # コールバックのURL
        # ここでは auth2c というコマンド用のコールバックURLを設定している
        redirect_uris:
          - 'http://localhost:9876/callback'
        scopes:
          - 'openid'
          - 'groups'
          - 'email'
          - 'profile'
        grant_types:
          - 'authorization_code'
          - 'implicit'
        response_types:
          - 'code'
          - 'id_token'
          - 'code id_token'
        authorization_policy: 'one_factor'
        require_pkce: true
        pkce_challenge_method: 'S256'

JWKsで使用する秘密鍵の生成

identity_providers.oidc.jwks.*.keyに指定する秘密鍵はopenssl genrsaコマンドで生成します。

生成例
openssl genrsa -out authelia/secrets/oidc_key.pem 4096

クライアントシークレットのハッシュ値の生成

identity_providers.oidc.clients.*.client_secretに指定する値は、autheliaに内蔵されているコマンドで生成できます。

authelia crypto hash generate pbkdf2

# Dockerの場合はこんな感じ
docker run -it --rm authelia/authelia:4.38.9 authelia crypto hash generate pbkdf2

実行すると対話的に値の入力を促されるので、クライアントシークレットの平文を入力します。
確認の入力を促されるので再度入力すると、ハッシュ値が得られます。

実行例
> authelia crypto hash generate pbkdf2
Enter Password:
Confirm Password:

Digest: $pbkdf2-sha512$310000$8uMYYde8u...

ユーザーデータベースファイルの作成

Autheliaが管理するユーザーデータ(要するにログインユーザー)を用意します。

今回は開発用に固定のユーザーを何人か用意できればよいので、YAMLファイルで静的に管理することにします(LDAPを利用することも出来ます)。

フォーマットは次のような感じです(公式マニュアルはこちら)。

authelia/config/users_database.yml
users:
  ユーザーID:
    disabled: 無効化するかどうか
    displayname: 表示名
    password: パスワードのハッシュ値
    email: メールアドレス
    groups:
      - 所属グループ
      - ...
  
サンプル
users:
  sandbox:
    disabled: false
    displayname: "user1"
    password: "$argon2id$v=19$m=65536,t=3,p=4$hsJou2WZ..."
    email: "user1@example.com"
    groups:
      - "sandbox"

ユーザーパスワードの生成

パスワードの部分はクライアントシークレットの時と同じように、autheliaのコマンドで生成できます。
アルゴリズムの部分は設定ファイルで指定したアルゴリズムと合わせてください。

authelia crypto hash generate argon2

# Dockerの場合はこんな感じ
docker run -it --rm authelia/authelia:4.38.9 authelia crypto hash generate argon2

Autheliaの起動

ここまで準備できましたら、後はDockerで起動するだけです。

docker compose up -d

動作確認

無事に起動できたなら、早速動作確認を行ってみましょう。
動作確認にはoauth2cというCLIツールが便利です。
macOSの場合は brew install cloudentity/tap/oauth2c でインストールできます。

次のコマンドを実行すると、ブラウザが開いてAutheliaのログイン画面が表示されるはずです。

oauth2c http://127.0.0.1:9091 \
  --client-id authelia_sandbox_client \
  --response-types id_token \
  --response-mode form_post \
  --grant-type implicit \
  --scopes openid,email

ユーザーデータベースファイルに定義したユーザーでログインしてOIDCのリクエストに同意すると、コンソールにID Tokenとフローの途中経過のステータスが表示されているはずです。

おわりに

Autheliaを使うことで手軽に開発用のIdPを立ち上げることができ、無事にOIDCログイン機能も完成しました🎉

最初は設定ファイルが膨大で若干怯みましたが、全体像が掴めるようになってくると、わりとすんなり設定できるようになります。
起動も速いので、試行錯誤もそれほど苦にはなりませんでした。

また、oauth2cコマンドはOAuth2/OIDCの動作確認にとても便利でした。
わざわざサンプルアプリ等を作らなくてもコマンド一発で動作確認できるのは良いですね。

最近はOIDC連携によるログインも多くなってきましたし、今後の開発でも活用していきたいと思っています。

12
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
12
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?