オープンソースのIAM管理プロダクト「Gluu」とは?

オープンソースのIAM管理プロダクト「Gluu」とは?
2021.08.11

Gluu とは?

GluuはGluu, Inc(社員35+人)によって開発されているオープンソースの認証・認可管理(IAM)プロダクトです。

  • SSO
  • ウェブサイトやAPIのアクセスコントロール
  • 多要素認証

などに活用できます。

以下のような認証・認可・IDフェデレーション系のプロトコルをサポートしています。

  • OAuth 2.0
  • OpenID Connect
  • User Managed Access 2.0 (UMA)
  • SAML 2.0
  • System for Cross-domain Identity Management (SCIM)
  • FIDO Universal 2nd Factor (U2F)
  • FIDO 2.0 / WebAuthn
  • Lightweight Directory Access Protocol (LDAP)
  • Remote Authentication Dial-In User Service (RADIUS)

50以上のエンタープライズ顧客を抱え

  • ドバイ市
  • イギリスの労働・年金省
  • 欧州宇宙機関

などで導入されています。

CE/EEエディションの違い

Gluu は OSS で提供されていますが、有償サービスも提供されています。

コミュニティ版(CE)でも

  • エンタープライズ版と同じ機能
  • ソースコードLinuxパッケージ・コンテナイメージ
  • ドキュメント

といった基本機能は利用可能です。

有償のエンタープライズ購読(EE)を行うと

  • ストレージに Couchbase を利用
  • クラスター管理ツール
  • 手厚いサポート
  • Kubernetes/Helm 向けデプロイ

なども利用できるようになります。

購読料はユーザー数に依存します。

参考 : https://gluu.org/gluu-enterprise/

コンポーネント

Gluu は複数のコンポーネントで構成されています。

Gluu Server

Gluu ServerはIAM管理を行うメインコンポーネントです。

URL : https://gluu.org/docs/gluu-server/

Casa

Casaはエンドユーザーの認証・認可設定を行うセルフホストのダッシュボードです。

URL https://casa.gluu.org/

Super Gluu

Super Gluu はiOS/Androidのモバイル端末からGluuと2FAするためアプリです。

URL : https://super.gluu.org/

Gluu Gateway

Gluu Gateway は API の前段にプロキシーとして動作し、Gluu Serverで認証・認可させることができます。

残念ながら、最新の 4.2 をもって、開発は凍結されました。

There will be no further release of Gluu Gateway after version 4.2. The EOL of this product will be announced soon.

URL : https://gluu.org/docs/gg/

Gluu を試すには?

Gluu を試すには、まずはコミュニティー版のGluu Serverをシンプルな構成でインストールしましょう。

Docker Compose、あるいは、主要 Linux ディストリビューション向けパッケージが提供されています。

クラスターを組むことも可能です。

※図はドキュメントから

スケーラビリティ

Gluu のウェブ層はステートレスで、スケールアウトが容易です。

次のドキュメントでは、Amazon Elastic Kubernetes Service(EKS)を使い、11.5K TPS(10億認証/日)ほどの負荷試験をする手順が紹介されています。

How to reach one billion authentications per day with the Gluu Server - Gluu Server 4.2 Docs

動画解説もあります。

データストア

認証数が増えるにつれ、データベースがボトルネックとなることが多いです。

歴史的には、Gluu Server はデータの永続化に LDAP を使用してきました。

現在は、Enterprise版ではドキュメント指向データベースの Couchbase も利用可能です。シャーディングやクラスター化など、より大規模な利用に向いています。

近年はGluuをクラウドでホストされることが多く、マネージドデータベース対応の要望が増え、次期リリースの 4.3 系では

  • Amazon Aurora MySQL
  • Google Spanner

にも対応予定です。

Google Spanner を利用した OpenID Connect 認証のベンチマークでは、10K TPS を達成するなど、良好な結果を得られています。

参考 Moving digital identity persistence to a Cloud Native Database

さらに、次期メジャーリリースの 5.0(2022Q2 ETA) では

  • Amazon Document DB

にも対応予定です。

ロードマップ

Gluu のロードマップも公開されています。

1年後の 2022 Q2には、Gluu 5.0 をリリースし、以下の様な機能が提供される予定です。

Gluu Enterprise

  • TLS channel-bound Cookie
  • Amazon Document DB対応
  • リフレッシュトークンのリプレイアタック対応
  • アカウント切り替え

Gluu Casa

  • パスワードレス認証
  • DUO クレデンシャル
  • ロールベースアクセス

参考