Пример настройки keycloak

Owned by Александр Дмитриев (Unlicensed)
окт. 03, 2022
4 min read

Вводные данные:

  1. Keycloak поднят на одном хосте с платформой.

  2. Насторен HTTPS.

Настройка на стороне keycloak

  1. Заходим в консоль администратора и создаём нового клиента keycloak:

     

  2. Главные настройки - выбираем тип клиента - OpenID Connect и ID клиента.

3.

Клиент для платформы создан, переходим к его настройке.

4. Включаем использование клиента. Прописываем настройки для логина и логаута.

5. Во вкладке Credentials выбираем способ аутентификации и сохраняем Client secret - это значение нужно будет прописать в настройках платформы.

Настройка на стороне платформы

На портале администрирования платформы в левом боковом меню переходим в раздел Авторизация - OpenID Connect.

  1. UserName claim – можно установить любое наименование из токена, например, preferred_username.

  2. Repsonse type - проверка аутентификации через Implicit Flow (id_token)

  3. Authentication scheme – схема аутентификации.

  4. Authority – путь до сервиса авторизации (для Keycloak: {протокол}://{домен Провайдера>}/auth/realms/{наименование_Realm}).

  5. Client id – идентификатор клиента из Провайдера.

  6. Client secret – скопировать из настроек клиента у Провайдера (например, в Keycloak - вкладка credentials).

  7. Callback path – путь для обработки обратного вызова аутентификации (заполните, если отличается от "/signin-oidc").

  8. Scope – список запрашиваемых разрешений (например, «openid profile role»).

  9. Resource – идентификатор ресурса (не обязательно).

  10. Claims source источник клеймов

После применения настроек не забудьте сменить тип авторизации в левом боковом меню.

Настройка соответствия OpenID Connect

При создании и последующей авторизации пользователя возможна настройка импорта данных, полученных из используемой внешней системы авторизации.

Настройка атрибутов

Для настройки соответствия атрибутов:

  1. Перейдите на вкладку “Сопоставление атрибутов“.

  2. Включите сопоставление атрибутов, нажав кнопку "Включить сопоставление атрибутов".

  3. Задайте параметры сопоставления:

    1. Фамилия – атрибут, в котором хранится фамилия пользователя;

    2. Имя – атрибут, в котором хранится имя пользователя;

    3. Отчество – атрибут, в котором хранится отчество пользователя;

    4. Email – атрибут, в котором хранится email пользователя.

    5. Дополнительные атрибуты – используются для разграничения прав доступа к данным. Подробно описание см. в Разграничение прав доступа к данным

  4. Для сохранения настроек нажмите “Сохранить“.

Если сопоставление атрибутов не включено, то при создании пользователей, Фамилия будет получена из атрибута для "UserName claim" на вкладке Настройка внешней авторизации.

Настройка ролей

Для настройки соответствия ролей пользователей во внешнем провайдере и ролям в Visiology:

  1. Перейдите на вкладку  “Сопоставление ролей“.

  2. Выберите "Включить сопоставление ролей".

  3. Задайте параметр "JMESPath", по которому будут получены роли во внешнем Провайдере. Пользователям будут присваиваться значения ролей, полученные из этого параметра.

  4. Не удалять уже установленные роли пользователей:

    1. если опция включена, то в случае удаления роли пользователя во внешнем Провайдере, при авторизации в Visiology, удаленная роль не будет отозвана из назначенных ранее Пользователю ролей;

    2. если опция отключена, то удаленные у пользователя роли во внешнем Провайдере будут также удалены у пользователя в Платформе.

  5. Для сохранения настроек нажмите “Сохранить“.

Если Сопоставление ролей выключено, то при создании пользователя из внешнего Провайдера, новому пользователю будет присвоена роль "Все авторизованные пользователи".

Разграничение прав доступа к данным

Вы можете настроить разграничение на доступ к данным в  Visiology на основе атрибутов Пользователей, хранящихся во внешнем провайдере. Для этого необходимо:

  1. Задать необходимые ограничения прав доступа в Платформе.

  2. Задать соответствие атрибута платформы (соответствующего настроенному ограничению) атрибуту внешнего провайдера.

Добавить атрибут

Чтобы задать разграничение прав доступа к данным на основе данных внешнего провайдера OpenID Connect:

  1. Перейдите на вкладку  “Сопоставление атрибутов“.

  2. Нажмите “Добавить сопоставление“ (должно быть выбрано "Включить сопоставление атрибутов").

  3. Задайте наименование "Атрибута платформы", который был создан в Настройках ограничения прав доступа в Платформе и для которого уже настроены права доступа. Для этого "Атрибута платформа" задайте наименование "Атрибута LDAP", который был предварительно настроен в LDAP.  Именно по его значениям и будут сравниваться настроенные права доступа в "Атрибут платформы".

  4. Для сохранения настроек нажмите “Сохранить“.

Удалить атрибут

Чтобы удалить соответствие для атрибутов:

  1. Выберите сопоставления для удаления и нажмите на кнопку "Удалить".

Фильтрация при автоматическом создании новых пользователей (OpenID Connect)

Чтобы ограничить возможность автоматического создания Пользователей, задайте JMESPath выражение, по которому будет происходить фильтрация при получении данных из внешнего Провайдера. Для этого:

  1. Перейдите в раздел "OpenID Connect", "Создание новых пользователей".

  2. Выберите "Использовать JMESPath выражение".

  3. Задайте "JMESPath выражение".

  4. Сохраните настройки нажатием на “Сохранить“.