Czym jest Keycloak i jak go zainstalować krok po kroku

W prawie każdej nowoczesnej aplikacji, z której korzystasz na co dzień (poczta e-mail, media społecznościowe, firmowe intranety, panele klienta itp.) – za kulisami działa system, który decyduje, kim jesteś i do czego masz dostęp. Kiedy firmy zaczynają gromadzić aplikacje, usługi i interfejsy API, ręczne zarządzanie użytkownikami, hasłami, uprawnieniami i sesjami staje się prawdziwym bólem głowy.

Keycloak pojawia się w samą porę, aby rozwiązać ten bałaganKeycloak to platforma do zarządzania tożsamością i dostępem, która centralizuje uwierzytelnianie, autoryzację i logowanie jednokrotne dla wielu aplikacji. Zamiast implementacji przez każdą aplikację własnego systemu logowania, roli i odzyskiwania hasła, Keycloak zajmuje się tym wszystkim, a aplikacje po prostu ufają mu, korzystając ze standardów takich jak OAuth 2.0, OpenID Connect czy SAML 2.0.

Czym jest Keycloak i jaką rolę odgrywa w bezpieczeństwie IAM?

Keycloak to dostawca tożsamości (IdP) o otwartym kodzie źródłowymNapisany w Javie i utrzymywany przez Red Hat (dawniej JBoss), jest objęty licencją Apache 2.0, dzięki czemu można go swobodnie używać i adaptować nawet w środowiskach komercyjnych. Istnieje płatna wersja korporacyjna o nazwie Red Hat Single Sign-On, ale podstawowa funkcjonalność jest taka sama.

Ten serwer tożsamości zapewnia logowanie jednokrotne (SSO), federację i obsługę wielu dzierżawUmożliwia użytkownikowi jednorazowe zalogowanie się i dostęp do wielu aplikacji, przy czym aplikacje te delegują uwierzytelnianie do Keycloak, a zarządzanie użytkownikami, grupami, atrybutami i uprawnieniami odbywa się centralnie, bez konieczności ponownej implementacji koła w każdym projekcie.

Keycloak wyróżnia się na tle innych rozwiązań IAM (darmowe, open source lub zastrzeżone) w oparciu o ich dojrzałość, adopcję i zgodność ze standardowymi protokołami. Mimo to, właściwe rozwiązanie dla każdej organizacji będzie zależeć od jej potrzeb (wsparcie komercyjne, SLA, konkretne funkcjonalności, wdrożenie lokalne lub SaaS itp.).

Jedna z mocnych stron Keycloaka Łączy w sobie kilka komponentów: uwierzytelnianie oparte na OAuth 2.0 i OpenID Connect, obsługę SAML 2.0, logowanie społecznościowe (Google, Facebook, GitHub itp.), integracja z LDAP i Active Directory, administracja poprzez konsolę internetową, CLI i REST API, a także elastyczny model użytkowników, grup i ról, które znajdują odzwierciedlenie w tokenach wydawanych dla aplikacji.

Wymagane podstawy: OAuth 2.0, OpenID Connect i JWT

Aby w pełni zrozumieć działanie Keycloak, pomocne będzie wyjaśnienie trzech pojęć.OAuth 2.0, OpenID Connect (OIDC) i JSON Web Tokens (JWT). Nie musisz być ekspertem, ale musisz rozumieć ogólną koncepcję, bo wszystko kręci się wokół nich.

OAuth 2.0 jako struktura autoryzacji

OAuth 2.0 to standardowa struktura autoryzacji APIZ rozwiązania tego korzystają tacy giganci jak Google, Facebook, Microsoft, GitHub i LinkedIn. Jego główną funkcją jest umożliwienie aplikacji (klientowi) dostępu do zasobów użytkownika w innej aplikacji lub interfejsie API, za wyraźną zgodą użytkownika, bez konieczności ciągłego udostępniania danych uwierzytelniających.

Zamiast wysyłania nazwy użytkownika i hasła w każdym żądaniuOAuth 2.0 wprowadza koncepcję tokena dostępu: krótkotrwałego tokena dostępu, który jest wysyłany w wywołaniach HTTP do API i weryfikowany przez API. Dostawca tożsamości (IdP, na przykład Keycloak) wydaje ten token po zweryfikowaniu tożsamości i zgody użytkownika.

Norma definiuje kilka przepływów autoryzacji (typów przyznawania) dostosowanie procesu do typu klienta: bezpieczne aplikacje back-end, aplikacje SPA oparte na przeglądarce, mobilne i webowe urządzenia mobilne, urządzenia o ograniczonej liczbie urządzeń, komunikacja maszyna-maszyna itd. Każdy przepływ oznacza to, co jest wymieniane na każdym etapie (kody autoryzacyjne, tokeny, dane uwierzytelniające itd.).

Cztery podstawowe role OAuth 2.0 dźwięk:

• Właściciel zasobów:zwykle użytkownik, którego dane chcesz skonsultować lub zmodyfikować.
• klientem:aplikacja (internetowa, mobilna, IoT, backend…), który chce działać w imieniu użytkownika.
• serwer zasobów:API, które udostępnia dane i weryfikuje tokeny dostępu.
• Serwer autoryzacji:dostawca tożsamości (Keycloak), który uwierzytelnia użytkownika i wydaje tokeny.

Ponadto OAuth 2.0 wprowadza koncepcję zakresówDefiniują one zakres uprawnień, jakie użytkownik przyznaje aplikacji: odczytywanie wiadomości e-mail, publikowanie w sieci społecznościowej, dostęp do podstawowego profilu itd. Wydany token koduje, jakie uprawnienia zostały faktycznie przyznane klientowi.

OpenID Connect: warstwa tożsamości oparta na OAuth 2.0

OpenID Connect (OIDC) dodaje tożsamość do OAuth 2.0Podczas gdy OAuth zajmuje się autoryzacją (tym, co aplikacja może zrobić), OIDC zajmuje się standardową identyfikacją uwierzytelnianego użytkownika i sposobem uzyskania jego podstawowych danych.

OIDC definiuje dobrze znane punkty końcowe i metadane, takie jak dokument odkrywczy opublikowany na trasie /.well-known/openid-configuration gdzie dostawca określa adresy URL autoryzacji, token, klucze publiczne, informacje o użytkowniku itp. Dzięki temu aplikacje mogą być konfigurowane niemal automatycznie.

Zapewnia również punkt końcowy UserInfo.Służy do pobierania informacji od uwierzytelnionego użytkownika (imię, adres e-mail itp.) za pomocą ważnego tokena dostępu. W integracjach opartych na Keycloak bardzo często odczytuje się te dane po zalogowaniu, aby uzupełnić profile użytkowników w aplikacji.

Access_token i tokeny internetowe JSON (JWT)

W wielu nowoczesnych implementacjach access_token jest tokenem JWT (JSON Web Token). Jest to standard (RFC 7519) do reprezentowania oświadczeń jako cyfrowo podpisanego pliku JSON, składającego się z trzech części oddzielonych kropkami: nagłówka, treści i podpisu, wszystkie zakodowane w Base64URL.

Nagłówek zawiera informacje techniczne na temat tokena. (algorytm podpisu, typ tokena i często identyfikator użytego klucza, kidŁadunek zawiera roszczenia, takie jak:

• exp:data ważności.
• Iat:czas emisji.
• ISS: wystawca, zwykle adres URL dostawcy tożsamości.
• poniżej: unikalny identyfikator użytkownika.
• aud:odbiorcy, do których skierowany jest token.
• jti:unikalny identyfikator tokena.

Podpis generowany jest przy użyciu klucza prywatnego lub tajnego.W związku z tym każda modyfikacja tokena powoduje uszkodzenie podpisu i jest wykrywana podczas walidacji. API pobiera klucz publiczny od dostawcy tożsamości dzięki właściwości jwks_uri z dokumentu odkrycia, który wskazuje na plik JSON zawierający listę kluczy publicznych i ich kid.

Keycloak umożliwia również personalizację wydawanych tokenówDodatkowe roszczenia można dodawać na podstawie atrybutów użytkownika, grup, ról, a nawet stałych wartości. Odbywa się to za pomocą maperów skonfigurowanych dla każdego klienta lub zakresu klienta, co ułatwia interfejsom API otrzymywanie dokładnie tych informacji, których potrzebują.

Architektura Keycloak: domeny, użytkownicy, grupy i role

Keycloak organizuje swoją konfigurację w RealmsDziałają one jak „wirtualne serwery tożsamości” w ramach jednej instalacji. Inni dostawcy nazywają coś podobnego dzierżawcą lub katalogiem. Każda domena ma swoich niezależnych użytkowników, grupy, klientów, zasady i ustawienia.

Domyślnie istnieje specjalna dziedzina zwana głównąTo konto powinno być zarezerwowane do globalnych zadań administracyjnych, takich jak tworzenie i zarządzanie innymi domenami. Użytkownik z uprawnieniami administratora może zarządzać wieloma domenami z tej samej konsoli, bez konieczności logowania się na różne konta dla każdej z nich.

Użytkowników lokalnych można definiować w obrębie domenyPrzypisując im niestandardowe atrybuty, grupując je i powiązując z rolami. Model jest starannie zaprojektowany, aby istotne informacje ostatecznie znalazły odzwierciedlenie w tokenach wykorzystywanych przez aplikację (role, grupy, dane profilowe, flagi bezpieczeństwa itp.).

Grupy pozwalają użytkownikom na hierarchiczną organizację.Grupa może mieć podgrupy (podgrupy), a użytkownik dziedziczy atrybuty i role wszystkich grup, do których należy, w tym nadrzędnych. Pozwala to na bardzo elastyczne modele autoryzacji bez konieczności powtarzania konfiguracji dla każdego użytkownika.

Jeśli chodzi o role, istnieją dwa główne poziomy:

• Role w królestwie:globalne zmienne w obrębie domeny, często używane w przypadku uprawnień międzywłasnościowych.
• Role klientów:specyficzne dla konkretnego zastosowania, umożliwiające szczegółową szczegółowość dla każdej usługi.

Keycloak obsługuje role złożoneOznacza to role, które z kolei obejmują inne role. Pomaga to grupować uprawnienia i przypisywać je jednocześnie użytkownikom lub grupom, choć najlepiej nie nadużywać tej funkcji, aby uniknąć komplikacji w zarządzaniu lub pogorszenia wydajności.

Instalowanie Keycloaka w trybie programistycznym: Docker, Kubernetes i VM

Aby skonfigurować środowisko laboratoryjne z Keycloak Istnieje kilka prostych opcji: kontener Docker, wdrożenie na Kubernetes (na przykład za pomocą Minikube) lub klasyczna instalacja na maszynie wirtualnej z systemem Linux i OpenJDK.

Keycloak w Dockerze

Najszybszy sposób na uruchomienie Keycloak w celach testowych Polega ona na uruchomieniu kontenera z oficjalnym obrazem, udostępnieniu portu 8080 i przekazaniu nazwy użytkownika i hasła administratora za pomocą zmiennych środowiskowych, a następnie uruchomieniu w trybie start-dev (bez HTTPS i z wbudowaną bazą danych H2):

Za pomocą jednego polecenia Dockera uzyskuje się funkcjonalny serwer http://localhost:8080, wystarczająco dużo, aby majstrować przy konsoli administracyjnej, tworzyć domeny, użytkowników, klientów i testować podstawowe integracje.

Keycloak w Kubernetes z Minikube

Jeśli już pracujesz z Kubernetes, możesz łatwo wdrożyć Keycloak. Korzystając z przykładowych manifestów z oficjalnego repozytorium, tworzysz wdrożenie i usługę, a następnie otwierasz tunel za pomocą Minikube, aby uzyskać dostęp do usługi ze swojego komputera, zwykle ponownie na porcie 8080.

To podejście idealnie sprawdza się w przypadku symulowania środowisk bliższych środowisku produkcyjnemu. (z kontenerami, usługami, konfiguracją zewnętrzną itd.) oraz eksperymentować z kontrolowanymi wdrożeniami, skalowaniem i aktualizacjami Keycloak w klastrach K8s.

Keycloak na Ubuntu z OpenJDK i PostgreSQL (zaawansowany tryb deweloperski)

Inną możliwością jest instalacja Keycloaka na maszynie wirtualnej Ubuntu Używamy OpenJDK i lokalnej bazy danych PostgreSQL z certyfikatem podpisanym przez siebie i niestandardową nazwą hosta. Chociaż to wciąż scenariusz testowy, coraz bliżej topologii produkcyjnej.

Typowe kroki obejmują::

• Zaktualizuj system operacyjny i zainstaluj Javę (na przykład OpenJDK 11 lub nowszą).
• Zainstaluj PostgreSQL (najlepiej na osobnym serwerze, choć w laboratorium może to być ta sama maszyna).
• Utwórz konkretnego użytkownika i bazę danych dla Keycloak i przyznaj mu odpowiednie uprawnienia.
• Utwórz użytkownika systemowego bez uprawnień (np. keycloak) aby uruchomić usługę.
• Pobierz oficjalną dystrybucję Keycloak i rozpakuj ją do /opt/keycloak i dostosuj uprawnienia.
• Wygeneruj certyfikat X.509 podpisany przez siebie za pomocą openssl i ustaw to keycloak.conf wraz z parametrami połączenia PostgreSQL i hostname pożądane.
• Zdefiniuj jednostkę systemd Aby uruchomić Keycloak w trybie programistycznym podczas uruchamiania systemu, należy ustawić uprawnienia administratora za pomocą zmiennych środowiskowych.

Gdy usługa będzie już uruchomionaDostęp do niego odbywa się zazwyczaj przez HTTPS na porcie 8443 ze skonfigurowaną nazwą hosta. Jeśli używany jest certyfikat podpisany samodzielnie, należy go uznać za zaufany w przeglądarce (poprzez zaimportowanie urzędu certyfikacji lub samego certyfikatu do zaufanego magazynu certyfikatów komputera).

Zaawansowane wdrożenia: wysoka dostępność, PostgreSQL i odwrotny serwer proxy

Kiedy przechodzimy z laboratorium do produkcjiObraz się zmienia: trzeba myśleć o wysokiej dostępności, solidnym zabezpieczeniu danych, ważnych certyfikatach, a często także o odwrotnym serwerze proxy, który centralizuje dostęp HTTPS i równoważenie obciążenia.

Dość powszechnym wzorcem jest wdrażanie wielu węzłów Keycloak za modułem równoważenia obciążenia (np. Nginx) i wykorzystując bazę danych PostgreSQL w trybie HA jako zaplecze utrwalające. Celem jest wyeliminowanie pojedynczych punktów awarii zarówno dla warstwy aplikacji, jak i danych.

W tym typie architektury zazwyczaj wykonuje się następujące kroki::

• Przygotuj zaktualizowane serwery Linux (Debian/Ubuntu) i zainstaluj zależności: unzip, wget, openjdk, openssl, itp.
• Utwórz użytkownika systemu keycloak z domem w /opt/keycloak i bez uprawnień do interaktywnego logowania.
• Pobierz potrzebną wersję Keycloak, rozpakuj ją i przypisz własność dedykowanemu użytkownikowi.
• Utwórz określoną bazę danych w programie PostgreSQL z odpowiednim użytkownikiem i uprawnieniami, dostosowując również właściciela schematu i domyślne uprawnienia do tabel.
• Wygeneruj certyfikaty podpisane samodzielnie (lub użyj certyfikatów z wewnętrznego urzędu certyfikacji) dla węzłów Keycloak i skonfiguruj protokół HTTPS na serwerze aplikacji.
• Dostosuj keycloak.conf aby połączyć się z serwerem VIP PostgreSQL, zdefiniuj porty HTTP/HTTPS, certyfikaty, parametry serwera proxy, nazwę hosta, stos klastra (np. UDP) i poziomy rejestrowania.
• Zdefiniuj usługę systemd to proste boot Peleryna z kluczem kc.sh start o kc.sh start --optimizedzarządzanie automatycznym ponownym uruchamianiem w przypadku awarii.

Nginx jest zwykle wdrażany na warstwie publikacji i równoważenia obciążenia. jako odwrotny serwer proxy HTTPS z własnym certyfikatem TLS i konfiguracją nadrzędną wskazującą na węzły Keycloak na jego portach zaplecza (zwykle 8080, jeśli TLS jest zakończony w Nginx).

Aby wyeliminować pojedyncze punkty awarii w urządzeniu wyważającymKonfigurowanie dwóch węzłów Nginx w trybie wysokiej dostępności za pomocą Keepalived jest powszechną praktyką. Narzędzie to zarządza zmiennym wirtualnym adresem IP (VIP), który jest reklamowany na jednym z serwerów jako serwer główny i w przypadku awarii przełącza się na węzeł zapasowy, zapewniając ciągłość usługi.

Konfigurowanie domeny, użytkowników i rejestracji aplikacji (klienta)

Gdy już uruchomimy Keycloak, następnym logicznym krokiem będzie Polega ona na stworzeniu domeny dla naszych użytkowników i aplikacji, a następnie zdefiniowaniu użytkowników, grup, ról i klientów (aplikacji, które będą delegować uwierzytelnianie do Keycloak).

Nowe królestwo jest tworzone w Konsoli administracyjnej. Wystarczy wpisać jego nazwę. Od tego momentu będziemy mieli oddzielną przestrzeń z własnymi ustawieniami. Wśród pierwszych zmian, przydatne będą następujące:

• Skonfiguruj protokół SMTP do wysyłania wiadomości e-mail (weryfikacja adresu e-mail, odzyskiwanie hasła, powiadomienia).
• Włącz, jeśli chcesz Deklaratywny profil użytkownika, który umożliwia deklaratywne zdefiniowanie atrybutów, które będzie posiadał użytkownik, jakie walidacje będą stosowane i czy będą one edytowalne przez użytkownika.
• Dostosuj parametry logowania: zezwól lub nie zezwól na samodzielną rejestrację, zapamiętuj sesję pomiędzy restartami przeglądarki, zezwól na odzyskiwanie hasła itp.

Utworzenie użytkownika w domenie jest tak proste, jak wypełnienie formularza Będziesz potrzebować nazwy użytkownika, adresu e-mail, imienia i nazwiska. Następnie ustaw hasło (tymczasowe lub stałe) na karcie danych logowania. Tam możesz przypisać grupy, role i dodatkowe atrybuty.

Keycloak oferuje dedykowaną Konsolę Konta dla użytkowników końcowych.gdzie mogą przeglądać i modyfikować dane swojego profilu, zmieniać hasło, przeglądać aktywne sesje lub zarządzać dodatkowymi czynnikami uwierzytelniania. To bardzo wygodny sposób na delegowanie użytkownikowi części podstawowych czynności administracyjnych związanych z kontem.

Kolejną ciekawą funkcją jest podszywanie się.Administrator mający odpowiednie uprawnienia może „podszywać się” pod innego użytkownika z poziomu konsoli, aby odtworzyć problemy, sprawdzić uprawnienia itp., bez konieczności podawania hasła użytkownika.

Aby aplikacja mogła używać Keycloak jako dostawcy tożsamościMusi zostać zarejestrowany jako klient. W sekcji Klienci tworzony jest nowy identyfikator klienta, typ jest wskazywany jako OpenID Connect (chyba że ma być używany SAML), a następnie wybierane są dozwolone przepływy OAuth 2.0: Przepływ standardowy (kod autoryzacji), Bezpośrednie uprawnienia dostępu (hasło), Domyślny, Dane uwierzytelniające klienta (konta usług), Kod urządzenia, CIBA itd.

Konfiguracja klienta również decyduje Jeśli wymagane jest uwierzytelnienie klienta (tajny klucz klienta lub certyfikaty), które adresy URI przekierowań są prawidłowe i które źródła internetowe są dozwolone (bardzo ważne w aplikacjach SPA ze względu na zasady CORS). Następnie aplikacja może skorzystać z oficjalnych lub zewnętrznych bibliotek, aby delegować uwierzytelnianie do Keycloak za pośrednictwem OIDC.

Integracja z katalogami zewnętrznymi i innymi dostawcami tożsamości

Keycloak może pełnić funkcję lokalnego źródła tożsamości (użytkownicy, grupy i role zdefiniowane w obrębie własnej bazy danych) lub może pełnić rolę brokera tożsamości dla jednego lub większej liczby zewnętrznych dostawców.

Bardzo powszechną integracją jest integracja z usługą Azure Active DirectoryUsługa Azure AD przechowuje użytkowników i grupy korporacyjne, a Keycloak łączy się jako klient OIDC, aby pobrać tożsamości i grupy, mapując je na lokalnych użytkowników i role. Pozwala to uniknąć duplikowania tożsamości i zadań administracyjnych w wielu lokalizacjach.

Ogólnie rzecz biorąc, aby używać usługi Azure AD jako zewnętrznego dostawcy tożsamości wykonano następujące czynności:

• Zarejestruj aplikację w usłudze Azure AD, uzyskaj jej identyfikator klienta i utwórz klucz tajny klienta.
• Skonfiguruj w usłudze Azure AD adresy URI przekierowania do Keycloak (punkt końcowy brokera OIDC w odpowiednim obszarze).
• Dostosuj oświadczenia, które zostaną wydane w tokenie w aplikacji Azure AD, na przykład poprzez uwzględnienie grup użytkowników.
• W Keycloak utwórz dostawcę tożsamości OpenID Connect wskazującego na punkty końcowe platformy Azure (autoryzacja, token, wylogowanie, informacje o użytkowniku) i skonfiguruj identyfikator klienta, tajny klucz klienta oraz żądane parametry logowania.

Gdy już między nimi nawiąże się zaufanieGdy użytkownik loguje się za pośrednictwem usługi Azure AD, Keycloak tworzy (lub synchronizuje) użytkownika lokalnie i może mapować grupy Azure na role Keycloak za pomocą zaawansowanych maperów. Na przykład grupa „Deweloperzy” w usłudze Azure może zostać przekształcona w rolę „Deweloperzy” w Keycloak, która następnie jest wdrażana w zintegrowanych aplikacjach i usługach (takich jak Jenkins).

Oprócz Azure AD, Keycloak umożliwia federację tożsamości z LDAP, klasyczna usługa Active Directory, inni dostawcy tożsamości OIDC, dostawcy mediów społecznościowych (Google, Facebook, GitHub itp.) i wiele innych, możliwość jednoczesnego łączenia kilku źródeł w ramach tej samej domeny.

Dodatkowe zabezpieczenia: boty, CAPTCHA i najlepsze praktyki

Chociaż Keycloak znacznie wzmacnia bezpieczeństwo uwierzytelniania Strony logowania, rejestracji i odzyskiwania hasła (MFA, zasady dotyczące haseł, blokada kont, kontrola sesji itp.) pozostają oczywistymi celami botów i zautomatyzowanych ataków.

Aby złagodzić tego typu zagrożeniaZaleca się połączenie Keycloak z mechanizmami antybotowymi, takimi jak rozwiązania CAPTCHA zgodne z RODO, które rozróżniają ruch ludzki od automatycznego, nie wpływając negatywnie na komfort użytkowania. Rozwiązania te są zazwyczaj zintegrowane z formularzami logowania i rejestracji, zapewniając dodatkową warstwę ochrony przed atakami typu credential stuffing, masowym tworzeniem kont lub nadużyciami w zakresie odzyskiwania haseł.

Oprócz CAPTCHA, do dobrych praktyk należą: monitor dzienniki Aby uzyskać dostęp, skonfiguruj alerty dotyczące nietypowych skoków liczby nieudanych prób dostępu, okresowo przeglądaj wydane tokeny i ich okres ważności, upewnij się, że na zewnątrz są udostępniane tylko niezbędne punkty końcowe, a także aktualizuj Keycloak i jego zależności, stosując najnowsze poprawki zabezpieczeń.

Cały ten ekosystem funkcjonalności (SSO, obsługa wielu dzierżaw, integracja z zewnętrznymi katalogami, konfigurowalne tokeny, wdrożenia o wysokiej dostępności i ochrona przed botami) sprawiają, że Keycloak jest niezwykle wydajnym narzędziem do centralizacji uwierzytelniania i autoryzacji w nowoczesnych aplikacjach. Pomaga firmom wzmocnić poziom bezpieczeństwa bez poświęcania doświadczenia użytkownika lub ciągłego unowocześniania zarządzania tożsamościami.