オープンソースのIAM管理プロダクト「Gluu」とは?

オープンソースのIAM管理プロダクト「Gluu」とは?

オープンソースのIAM管理プロダクト「Gluu」とは?
#OpenID Connect
#SSO
#OAuth 2.0
#SAML
quiver

quiver

facebook logohatena logotwitter logo
Clock Icon2021.08.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Gluu とは?

GluuはGluu, Inc(社員35+人)によって開発されているオープンソースの認証・認可管理(IAM)プロダクトです。

  • SSO
  • ウェブサイトやAPIのアクセスコントロール
  • 多要素認証

などに活用できます。

以下のような認証・認可・IDフェデレーション系のプロトコルをサポートしています。

  • OAuth 2.0
  • OpenID Connect
  • User Managed Access 2.0 (UMA)
  • SAML 2.0
  • System for Cross-domain Identity Management (SCIM)
  • FIDO Universal 2nd Factor (U2F)
  • FIDO 2.0 / WebAuthn
  • Lightweight Directory Access Protocol (LDAP)
  • Remote Authentication Dial-In User Service (RADIUS)

50以上のエンタープライズ顧客を抱え

  • ドバイ市
  • イギリスの労働・年金省
  • 欧州宇宙機関

などで導入されています。

CE/EEエディションの違い

Gluu は OSS で提供されていますが、有償サービスも提供されています。

コミュニティ版(CE)でも

  • エンタープライズ版と同じ機能
  • ソースコードLinuxパッケージ・コンテナイメージ
  • ドキュメント

といった基本機能は利用可能です。

有償のエンタープライズ購読(EE)を行うと

  • ストレージに Couchbase を利用
  • クラスター管理ツール
  • 手厚いサポート
  • Kubernetes/Helm 向けデプロイ

なども利用できるようになります。

購読料はユーザー数に依存します。

参考 : https://gluu.org/gluu-enterprise/

コンポーネント

Gluu は複数のコンポーネントで構成されています。

Gluu Server

Gluu ServerはIAM管理を行うメインコンポーネントです。

URL : https://gluu.org/docs/gluu-server/

Casa

Casaはエンドユーザーの認証・認可設定を行うセルフホストのダッシュボードです。

URL https://casa.gluu.org/

Super Gluu

Super Gluu はiOS/Androidのモバイル端末からGluuと2FAするためアプリです。

URL : https://super.gluu.org/

Gluu Gateway

Gluu Gateway は API の前段にプロキシーとして動作し、Gluu Serverで認証・認可させることができます。

残念ながら、最新の 4.2 をもって、開発は凍結されました。

There will be no further release of Gluu Gateway after version 4.2. The EOL of this product will be announced soon.

URL : https://gluu.org/docs/gg/

Gluu を試すには?

Gluu を試すには、まずはコミュニティー版のGluu Serverをシンプルな構成でインストールしましょう。

Docker Compose、あるいは、主要 Linux ディストリビューション向けパッケージが提供されています。

クラスターを組むことも可能です。

※図はドキュメントから

スケーラビリティ

Gluu のウェブ層はステートレスで、スケールアウトが容易です。

次のドキュメントでは、Amazon Elastic Kubernetes Service(EKS)を使い、11.5K TPS(10億認証/日)ほどの負荷試験をする手順が紹介されています。

How to reach one billion authentications per day with the Gluu Server - Gluu Server 4.2 Docs

動画解説もあります。

データストア

認証数が増えるにつれ、データベースがボトルネックとなることが多いです。

歴史的には、Gluu Server はデータの永続化に LDAP を使用してきました。

現在は、Enterprise版ではドキュメント指向データベースの Couchbase も利用可能です。シャーディングやクラスター化など、より大規模な利用に向いています。

近年はGluuをクラウドでホストされることが多く、マネージドデータベース対応の要望が増え、次期リリースの 4.3 系では

  • Amazon Aurora MySQL
  • Google Spanner

にも対応予定です。

Google Spanner を利用した OpenID Connect 認証のベンチマークでは、10K TPS を達成するなど、良好な結果を得られています。

参考 Moving digital identity persistence to a Cloud Native Database

さらに、次期メジャーリリースの 5.0(2022Q2 ETA) では

  • Amazon Document DB

にも対応予定です。

ロードマップ

Gluu のロードマップも公開されています。

1年後の 2022 Q2には、Gluu 5.0 をリリースし、以下の様な機能が提供される予定です。

Gluu Enterprise

  • TLS channel-bound Cookie
  • Amazon Document DB対応
  • リフレッシュトークンのリプレイアタック対応
  • アカウント切り替え

Gluu Casa

  • パスワードレス認証
  • DUO クレデンシャル
  • ロールベースアクセス

参考

Share this article

facebook logohatena logotwitter logo

関連記事

Kendraのアクセスコントロール設定をEntra IDのOpen ID Connectを用いて有効化してみた

Kendraのアクセスコントロール設定をEntra IDのOpen ID Connectを用いて有効化してみた

User avatar
つくぼし
2024.02.16
OpenID Connect の認可コードフローを理解して使ってもらうための社内勉強会を開催しました

OpenID Connect の認可コードフローを理解して使ってもらうための社内勉強会を開催しました

User avatar
宮部侑弥
2023.03.17
Auth0 を使って ID Token と Access Token の違いをざっくり理解する

Auth0 を使って ID Token と Access Token の違いをざっくり理解する

User avatar
Sato Naoya
2022.09.07
OpenID Connectのstate・nonce・PKCEについて使用法も含めて説明してみる

OpenID Connectのstate・nonce・PKCEについて使用法も含めて説明してみる

User avatar
宮部侑弥
2022.07.07
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.