Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Keycloak を使った SSO で CockroachDB にログインする / Cockr...
Search
kota2and3kan
March 12, 2026
Technology
240
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Keycloak を使った SSO で CockroachDB にログインする / CockroachDB SSO with Keycloak
kota2and3kan
March 12, 2026
More Decks by kota2and3kan
See All by kota2and3kan
Quarkus で FizzBuzz する CLI を作ってみた / FizzBuzz with Quarkus
kota2and3kan
0
53
Kubeshark で Kubernetes の Traffic を眺めてみよう/Let's Look at k8s Traffic with Kubeshark
kota2and3kan
3
930
CockroachDB Enterprise Features Overview
kota2and3kan
1
270
CockroachDB はどのくらい「しぶとい」のか? / How tough is CockroachDB?
kota2and3kan
21
13k
JRE しか入ってない Pod で Java の heap dump を取りたい / Get heap dump on JRE container
kota2and3kan
2
1.2k
Let's try CockroachDB
kota2and3kan
1
670
分散トランザクション in CockroachDB / Distributed Tx in CockroachDB
kota2and3kan
1
2.2k
Resolving Tx Conflicts in CockroachDB ~Short Version~
kota2and3kan
0
240
Resolving Tx Conflicts in CockroachDB
kota2and3kan
6
1.4k
Other Decks in Technology
See All in Technology
【FinOps】データドリブンな意思決定を目指して
z63d
0
310
When Platform Engineering Meets GenAI
sucitw
0
170
入門!AWS Blocks
ysuzuki
1
190
新しいUbuntu/GNOMEが使いたいからXからWaylandへ移行頑張ってるの巻 2026-06-20
nobutomurata
0
160
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
170
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
530
AWS Security Hub CSPMの成功・失敗体験
cmusudakeisuke
0
540
技術・能力を向上する原理原則 #きのこセッションa #きのこ2026
bash0c7
0
120
現場のトークンマネジメント
dak2
1
190
螺旋型キャリアの生存戦略 / kinoko-conf2026
rakus_dev
1
950
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.5k
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
110
Featured
See All Featured
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
630
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
610
Marketing to machines
jonoalderson
1
5.5k
Code Reviewing Like a Champion
maltzj
528
40k
Prompt Engineering for Job Search
mfonobong
0
350
Reality Check: Gamification 10 Years Later
codingconduct
0
2.2k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
Color Theory Basics | Prateek | Gurzu
gurzu
0
370
Bash Introduction
62gerente
615
220k
Being A Developer After 40
akosma
91
590k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
180
Transcript
2026/03/12 Database Engineering Meetup #9 Keycloak を使った SSO で CockroachDB
にログインする #DBEM \ コンニチハ /
Name: こたつ&&みかん Account: @kota2and3kan Company: Name: Scalar, Inc. Product: -
ScalarDB (Distributed Transaction Manager) - ScalarDL (Byzantine Fault Detection Middleware) Job: [Technical Support, Infra Engineer] Like: DB: [PostgreSQL, CockroachDB] Bouldering: 5Q Dislike: Real Cockroach Who am I.
今回の検証に利用したマニフェスト https://github.com/kota2and3kan/keycloak-samples
Keycloak
Keycloak とは • いわゆる IdP (Identity Provider) / OP (OpenID
Provider) / AS (Authorization Server)。ユーザー情報や認証/認可を一元管理できる。 • OIDC (OpenID Connect) や SAML (Security Assertion Markup Language) を サポートしている。 • https://www.keycloak.org/
CockroachDB の SSO (Single Sign-on) \ SSO /
CockroachDB には 2つの SSO 機能がある 1. Configure OIDC Authorization for
DB Console ◦ OIDC (OpenID Connect) を利用した DB Console (いい感じの Web UI) へ のログイン。 ◦ https://www.cockroachlabs.com/docs/v26.1/oidc-authorization 2. Configure JWT Authorization ◦ JWT を利用した SQL Interface へのログイン。厳密には OIDC や OAuth 2.0 の仕様に沿った仕組みではないが、IdP から発行された ID Token や Access Token が利用可能。 ◦ https://www.cockroachlabs.com/docs/v26.1/sso-sql
IdP で認証されたユーザーを自動で作成できる • Automatic user provisioning ◦ IdP 側で認証されたユーザーを、自動的に CockroachDB
側に作成してくれ る。 ◦ CockroachDB 側での (手動での) ユーザー作成が不要になり、IdP 側での ユーザー情報の一元管理が可能になる。 ◦ DB Console ▪ https://www.cockroachlabs.com/docs/stable/sso-db-console#option- 1-automatic-user-provisioning-recommended ◦ SQL Interface ▪ https://www.cockroachlabs.com/docs/v26.1/sso-sql#configure-user-p rovisioning
Role の割り当ても IdP 側で管理できる 1. Configure OIDC Authorization for DB
Console ◦ ID Token 内の特定の claim (デフォルトは “groups” claim) の値を基に、認証 されたユーザーに Role を自動的に割り当ててくれる。 ◦ https://www.cockroachlabs.com/docs/v26.1/oidc-authorization 2. Configure JWT Authorization ◦ JWT 内の特定の claim (デフォルトは “groups” claim) の値を基に、認証され たユーザーに Role を自動的に割り当ててくれる。 ◦ https://www.cockroachlabs.com/docs/v26.1/jwt-authorization
Demo 環境 \ カンキョウ /
Demo 環境概要 (Pod) $ kubectl get pod NAME READY STATUS
RESTARTS AGE cockroachdb-0 1/1 Running 0 4m9s cockroachdb-1 1/1 Running 0 4m9s cockroachdb-2 1/1 Running 0 4m9s cockroachdb-client 1/1 Running 0 2m54s cockroachdb-init-zspqq 0/1 Completed 0 4m9s keycloak-0 1/1 Running 0 6m45s postgres-54d858b658-8jpqj 1/1 Running 0 6m45s
Kubernetes (minikube) PostgreSQL Keycloak Demo 環境概要 (DB Console へのログイン) CockroachDB
Cluster SQL CLI CockroachDB CockroachDB CockroachDB ブラウザ
PostgreSQL Kubernetes (minikube) Keycloak Demo 環境概要 (SQL Interface へのログイン) CockroachDB
Cluster SQL CLI CockroachDB CockroachDB CockroachDB ターミナル ブラウザ
Demo \ デモ /
Keycloak 側にユーザー (goki と buri) を作成
goki の Role は “foo” と “bar” になっている
buri の Role は “bar” と “baz” になっている
CockroachDB 側に goki と buri は存在しない root@cockroachdb-public:26257/defaultdb> SHOW USERS; username
| options | member_of | estimated_last_login_time -----------+-----------+-----------+-------------------------------- admin | {} | {} | NULL bar | {NOLOGIN} | {} | NULL baz | {NOLOGIN} | {} | NULL foo | {NOLOGIN} | {} | NULL root | {} | {admin} | 2026-03-07 14:13:42.890919+00 (5 rows)
CockroachDB 側の Role は事前に作る必要がある root@cockroachdb-public:26257/defaultdb> SHOW USERS; username | options
| member_of | estimated_last_login_time -----------+-----------+-----------+-------------------------------- admin | {} | {} | NULL bar | {NOLOGIN} | {} | NULL baz | {NOLOGIN} | {} | NULL foo | {NOLOGIN} | {} | NULL root | {} | {admin} | 2026-03-07 14:13:42.890919+00 (5 rows)
DB Console \ コンソール /
ログイン画面で Log in with Keycloak を選択
Keycloak のログイン画面にリダイレクトされる
Keycloak 側でログインすると
CockroachDB の DB Console にログインできる
CockroachDB 側に “goki” が自動で作成される root@cockroachdb-public:26257/defaultdb> SELECT -> username, -> member_of
-> FROM -> [SHOW USERS] -> WHERE -> username = 'goki'; username | member_of -----------+------------ goki | {bar,foo} (1 row)
goki は Role “foo” と “bar” のメンバーになっている root@cockroachdb-public:26257/defaultdb> SELECT ->
username, -> member_of -> FROM -> [SHOW USERS] -> WHERE -> username = 'goki'; username | member_of -----------+------------ goki | {bar,foo} (1 row)
SQL Interface \ エスキューエル /
Device Authorization Grant での認証処理を開始する $ DEVICE_AUTHORIZATION_RESPONSE=$(curl -s -XPOST \ -d
'client_id=cockroachdb-sso-client' \ -d 'client_secret=cockroachdb-sso-sample-client-password' \ -d 'scope=openid crdb' \ -d 'nonce=cockroachdb-sso-nonce' \ http://keycloak/realms/cockroachdb-sso-realm/protocol/openid-connect/auth/device) $ echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.user_code' KHGM-JFEB $ echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.verification_uri' http://keycloak/realms/cockroachdb-sso-realm/device
Verification URL (Keycloak) にアクセス
ユーザーコードを入力する
buri ユーザーでログインする
認可を求められるので Yes を選択する
ログイン完了画面が表示される
ID Token を取得する $ DEVICE_ACCESS_TOKEN_RESPONSE=$(curl -s -XPOST \ -d 'client_id=cockroachdb-sso-client'
\ -d 'client_secret=cockroachdb-sso-sample-client-password' \ -d 'grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code' \ -d "device_code=$(echo "${DEVICE_AUTHORIZATION_RESPONSE}" | jq -r '.device_code')" \ http://keycloak/realms/cockroachdb-sso-realm/protocol/openid-connect/token) $ COCKROACHDB_SSO_JWT=$(echo "${DEVICE_ACCESS_TOKEN_RESPONSE}" | jq -r '.id_token') $ echo ${COCKROACHDB_SSO_JWT} eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJuQmotLWdFQjNHSENyNnFkQXF3TjZXMGt4S256Ti1N ZUZoRGxRenROdTdFIn0.eyJleHAiOjE3NzI4OTgyODUsImlhdCI6MTc3Mjg5Nzk4NSwiYXV0aF90aW1lIjoxNzcyODk3 OTQ5LCJqdGkiOiJiOGU3ODlkOS01NTVmLTQ1NTItNzM0MC00MGY3YWUyMzk3N2QiLCJpc3MiOiJodHRwOi8va2V5Y2xv YWsvcmVhbG1zL2NvY2tyb2FjaGRiLXNzby1yZWFsbSIsImF1ZCI6ImNvY2tyb2FjaGRiLXNzby1jbGllbnQiLCJzdWIi OiI3Mzg3YjFlOC1lNDkzLTQ4MjY... (omit)
ID Token を指定して SQL CLI でログインできる $ kubectl exec -it
cockroachdb-client -- ./cockroach sql --url "postgresql://buri: ${COCKROACHDB_SSO_JWT} @cockroachdb-public:26257?options=--crdb:jwt_auth_e nabled=true" --certs-dir=./cockroach-certs # # Welcome to the CockroachDB SQL shell. # All statements must be terminated by a semicolon. # To exit, type: \q. (omit) buri@cockroachdb-public:26257/defaultdb> buri@cockroachdb-public:26257/defaultdb> SELECT current_user; current_user ---------------- buri (1 row)
CockroachDB 側に “buri” が自動で作成される root@cockroachdb-public:26257/defaultdb> SELECT -> username, -> member_of
-> FROM -> [SHOW USERS] -> WHERE -> username = 'buri'; username | member_of -----------+------------ buri | {bar,baz} (1 row)
buri は Role “bar” と “baz” のメンバーになっている root@cockroachdb-public:26257/defaultdb> SELECT ->
username, -> member_of -> FROM -> [SHOW USERS] -> WHERE -> username = 'buri'; username | member_of -----------+------------ buri | {bar,baz} (1 row)
まとめ \ マトメ /
まとめ • CockroachDB は SSO でのログインができる! • IdP で認証されたユーザーを、自動的に CockroachDB
側に 作ってくれる! • Role の割り当てもいい感じに IdP 側で管理できる!
Thank you!