オープンソースのIAM管理プロダクト「Gluu」とは?
Gluu とは?
GluuはGluu, Inc(社員35+人)によって開発されているオープンソースの認証・認可管理(IAM)プロダクトです。
- SSO
- ウェブサイトやAPIのアクセスコントロール
- 多要素認証
などに活用できます。
以下のような認証・認可・IDフェデレーション系のプロトコルをサポートしています。
- OAuth 2.0
- OpenID Connect
- User Managed Access 2.0 (UMA)
- SAML 2.0
- System for Cross-domain Identity Management (SCIM)
- FIDO Universal 2nd Factor (U2F)
- FIDO 2.0 / WebAuthn
- Lightweight Directory Access Protocol (LDAP)
- Remote Authentication Dial-In User Service (RADIUS)
50以上のエンタープライズ顧客を抱え、
- ドバイ市
- イギリスの労働・年金省
- 欧州宇宙機関
などで導入されています。
CE/EEエディションの違い
Gluu は OSS で提供されていますが、有償サービスも提供されています。
コミュニティ版(CE)でも
- エンタープライズ版と同じ機能
- ソースコードLinuxパッケージ・コンテナイメージ
- ドキュメント
といった基本機能は利用可能です。
有償のエンタープライズ購読(EE)を行うと
- ストレージに Couchbase を利用
- クラスター管理ツール
- 手厚いサポート
- Kubernetes/Helm 向けデプロイ
なども利用できるようになります。
購読料はユーザー数に依存します。
参考 : https://gluu.org/gluu-enterprise/
コンポーネント
Gluu は複数のコンポーネントで構成されています。
Gluu Server
Gluu ServerはIAM管理を行うメインコンポーネントです。
URL : https://gluu.org/docs/gluu-server/
Casa
Casaはエンドユーザーの認証・認可設定を行うセルフホストのダッシュボードです。
Super Gluu
Super Gluu はiOS/Androidのモバイル端末からGluuと2FAするためアプリです。
URL : https://super.gluu.org/
Gluu Gateway
Gluu Gateway は API の前段にプロキシーとして動作し、Gluu Serverで認証・認可させることができます。
残念ながら、最新の 4.2 をもって、開発は凍結されました。
There will be no further release of Gluu Gateway after version 4.2. The EOL of this product will be announced soon.
URL : https://gluu.org/docs/gg/
Gluu を試すには?
Gluu を試すには、まずはコミュニティー版のGluu Serverをシンプルな構成でインストールしましょう。
Docker Compose、あるいは、主要 Linux ディストリビューション向けパッケージが提供されています。
クラスターを組むことも可能です。
※図はドキュメントから
スケーラビリティ
Gluu のウェブ層はステートレスで、スケールアウトが容易です。
次のドキュメントでは、Amazon Elastic Kubernetes Service(EKS)を使い、11.5K TPS(10億認証/日)ほどの負荷試験をする手順が紹介されています。
How to reach one billion authentications per day with the Gluu Server - Gluu Server 4.2 Docs
動画解説もあります。
データストア
認証数が増えるにつれ、データベースがボトルネックとなることが多いです。
歴史的には、Gluu Server はデータの永続化に LDAP を使用してきました。
現在は、Enterprise版ではドキュメント指向データベースの Couchbase も利用可能です。シャーディングやクラスター化など、より大規模な利用に向いています。
近年はGluuをクラウドでホストされることが多く、マネージドデータベース対応の要望が増え、次期リリースの 4.3 系では
- Amazon Aurora MySQL
- Google Spanner
にも対応予定です。
Google Spanner を利用した OpenID Connect 認証のベンチマークでは、10K TPS を達成するなど、良好な結果を得られています。
参考 Moving digital identity persistence to a Cloud Native Database
さらに、次期メジャーリリースの 5.0(2022Q2 ETA) では
- Amazon Document DB
にも対応予定です。
ロードマップ
Gluu のロードマップも公開されています。
1年後の 2022 Q2には、Gluu 5.0 をリリースし、以下の様な機能が提供される予定です。
Gluu Enterprise
- TLS channel-bound Cookie
- Amazon Document DB対応
- リフレッシュトークンのリプレイアタック対応
- アカウント切り替え
Gluu Casa
- パスワードレス認証
- DUO クレデンシャル
- ロールベースアクセス