Сравнение версий

Старая версия 3

changes.mady.by.user Эдуард Столяр

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Эдуард Столяр

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Для настройки работы с Keycloak необходимо выполнить следующие шаги:

  1. Запустите Keycloak на сервере с помощью следующей команды:
    sudo docker run --name keycloak -e KEYCLOAK_USER=admin -e KEYCLOAK_PASSWORD=password -p 8080:8080 jboss/keycloak
    где
    KEYCLOAK_USER – логин, который используется для входа в консоль администратора в Keycloak.
    KEYCLOAK_PASSWORD – пароль для входа в консоль администратора в Keycloak.
    8080 – стандартный порт Keycloak для работы по HTTP. При работе с HTTPS используется порт 8443.

  2. Откройте в браузере консоль администратора Keycloak по адресу: {домен_Keycloak}/auth/admin

  3. На платформе Visiology в панели администрирования перейдите на вкладку Основные > Авторизация > OpenID Connect > Основные настройки:

    Image Added

    На вкладке Основные настройки заполните следующие поля (звездочкой помечены обязательные поля):

Поле

Описание

UserName claim*

Можно указать любое наименование из токена, например, preferred_username.

Repsonse type*

Проверка аутентификации, Доступные значения: id_token (проверка аутентификации через Implicit Flow) или code (проверка аутентификации через Authorization Code Flow).

Authentication scheme*

Схема аутентификации.

Authority*

http(https)://{домен Keycloak}/auth/realms/{наименование_Realm}

Client id*

Наименование клиента из Keycloak.

Client secret

Скопируйте секрет в настройках клиента в Keycloak на вкладке Credentials и вставьте в это поле.

Image Added

Callback path*

Необязательный ограниченный путь для обработки обратного вызова аутентификации.

Scope*

Список запрашиваемых разрешений.

Resourse

Идентификатор ресурса, к которому будет запрошен доступ.

Claim sourse

Выберите userinfo endpoint при подключении через Keylcoak, или id_token при подключении через ADFS.

Примеры настройки с использованием различных Response type

Проверка аутентификации через Implicit Flow (id_token)

Настройки в Keycloak

Image Added

Настройки на платформе Visiology

Image Added

Проверка аутентификации через Authorization Сode (code)

Image AddedImage Added

(информация) При необходимости маппировать атрибуты или роли, необходимо ввести значение id_token token в поле Response type и настроить мапперы в клиенте Keycloak для ролей и атрибутов.

Настройка мапперов для ролей:

...

Настройка мапперов для атрибутов:

...

Если вы настроили что-то неверно, то можно выключить, а затем включить внешнюю авторизацию с помощью скрипта.
Для этого на сервере нужно выполнить следующие команды:

Блок кода
ID=$(sudo docker ps | grep visiology_admin | awk '{print $1}')
sudo docker exec -it $ID sh
node administrator-tools/change-auth-type/index.js
Информация

По умолчанию скрипт работает на выключение.

...

Смотрите также

Выборка
hiddentrue

Настройка параметров авторизации для Keycloak:

  1. UserName claim – можно установить любое наименование из токена, например, preferred_username.

  2. Repsonse type 

    • Проверка аутентификации через Implicit Flow (id_token)
      Image Modified

    • Проверка аутентификации через Authorization Code Flow (code)
      Image Modified

  3. Authentication scheme – схема аутентификации.

  4. Authority – путь до сервиса авторизации (например, для Keycloak: {протокол}://{домен Провайдера>}/auth/realms/{наименование_Realm}).

  5. Client id – идентификатор клиента из Провайдера.

  6. Client secret – скопировать из настроек клиента у Провайдера (например, в Keycloak - вкладка credentials).

  7. Callback path – путь для обработки обратного вызова аутентификации (заполните, если отличается от "/signin-oidc").

  8. Scope – список запрашиваемых разрешений (например, «openid profile role»).

  9. Resource – идентификатор ресурса (не обязательно).

  10. Claims source источник клеймов, userinfo endpoint - для Keycloack.