Сравнение версий

Версия Старая версия 2 Новая версия 3
Изменения, внесенные

Андрей Куринский

Андрей Куринский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Раскрыть
titleДобавление сертифката

Положите сертификат с именем external.crt в папку /var/lib/visiology/certs

Переименуйте файл 40-new_ssl_cert.ym_

Блок кода
languagebash
mv /var/lib/visiology/scripts/v3/extended-services/40-new_ssl_cert.ym_ /var/lib/visiology/scripts/v3/extended-services/40-new_ssl_cert.yml

  1. Экспортировать Экспортируйте пространство (realm) Visiology , используя “Настройки Realm->Действие->Partial export (Include groups and roles и Include clients)” в консоли keycloak платформы. Полученный json импортировать во внешний keycloak. Импорт частичный и может отличаться в зависимости от версий, поэтому необходимо убедиться в правильности полученных настроек, сравнив с оригинальными в платформе. Особенно обратите внимание на перенос Client scopes, наличие в них mapper c подобными настройками, а также настроек client scopes для всех клиентов c соответствующими assigned type. Роли и группы также должны соответствовать.

  2. Для импортированных клиентов исправьте значения ROOT URL на URL внешнего keycloak. В поле Valid redirect URIs и Valid post logout redirect URIs добавьте запись http(s)://URL_ПЛАТФОРМЫ_VISIOLOGY3/*, а в поле Web origins поставьте +

  3. Перегенерируйте секреты для клиентов visiology_m2m, visiology_public_dashboard_access, grafana в веб-интерфейсе внешнего keycloak.

  4. В файле /var/lib/visiology/scripts/v3/external-keycloak.env заполните данные для подключения к внешнему Keycloak.

    Пример файла с шаблонными значениями:

    Блок кода
    languagetext
    KEYCLOAK_EXTERNAL_REALM_PATH=<KEYCLOAK_URL>/realms/<VISIOLOGY_REALM>
KEYCLOAK_INTERNAL_REALM_PATH=<KEYCLOAK_URL>/realms/<VISIOLOGY_REALM>
KEYCLOAK_INTERNAL_TOKEN_ENDPOINT=<KEYCLOAK_URL>/realms/<VISIOLOGY_REALM>/protocol/openid-connect/token
KEYCLOAK_INTERNAL_KEYCLOAK_ENDPOINT=<KEYCLOAK_URL>
KEYCLOAK_EXTERNAL_KEYCLOAK_ENDPOINT=<KEYCLOAK_URL>
# Cookie
Authorization__CookieSameSite=None
Authorization__CookieSecurePolicy=SameAsRequest
# Metadata
Authentication__Keycloak__RequireHttpsMetadata=false
Authorization__RequireHttpsMetadata=false
Authorization__BaseClient__ClientSecret=<KEYCLOAK_M2M_SECRET>
Authorization__ClientSecret=<KEYCLOAK_M2M_SECRET>
Authentication__Keycloak__ClientSecret=<KEYCLOAK_M2M_SECRET>
Authorization__DashboardPublicAccessClient__ClientSecret=<KEYCLOAK_PUBLIC_DASHBOARD_ACCESS_SECRET>

    где

    KEYCLOAK_URL - путь до Keycloak

    VISIOLOGY_REALM - название Realm для платформы Visiology

    KEYCLOAK_M2M_SECRET - значение секрета от клиента visiology_m2m из внешнего Keycloak

...