Una identidad para todo Keycloak

Una identidad para todo Keycloakcontenido
  1. Una identidad para todo Keycloak
  2. Sencillo y seguro
  3. conclusión
  4. leer en un lado

Keycloak es un software de código abierto, Red Hat ha publicado como una implementación de OpenID Connect. Los desarrolladores pueden utilizar con facilidad y flexibilidad para la autenticación para aplicaciones de usuario.

Los requisitos para los servicios de Internet han cambiado drásticamente en los últimos años. Los tiempos en los que los usuarios están recién registrados para cada servicio se han ido. En su lugar, se desea administrar la identidad de hoy una vez cuando los proveedores como Google o Facebook y conceder acceso solamente a esta identidad nuevos servicios. La aplicación práctica de acceso haciendo clic en un botón de Google o Facebook para acceder al sistema dentro del servicio. Este enfoque tiene varias ventajas: Entre otras cosas, la centralización de todo el proceso de autenticación a un solo proveedor de identidad facilita el inicio de sesión único. Sin embargo, el daño potenciada si una cuenta aterriza con éxito en las manos de los atacantes.

Gracias al protocolo OpenID 2014 Conectar publicado y Keycloak Red Hat como una aplicación certificada del Protocolo, el proceso de solicitud puede ser relativamente fácil y rápidamente implementar en sus propios entornos de sistema. Los fabricantes de Keycloak se han fijado con su software tiene como objetivo simplificar el tema de la seguridad para los desarrolladores de aplicaciones y servicios de manera significativa. El software no sólo se hace cargo de la autorización puro, pero además también se encarga de la autenticación del usuario. Los administradores deben esto al instalar Keycloak en una infraestructura existente no editar, sino que simplemente se pueden utilizar de cualquier LDAP o servidores de Active Directory.

Seguridad a través del aislamiento

Keycloak es esencialmente un servidor de aplicaciones JBoss pre-configurada, que se ejecuta por separado de las aplicaciones de cubiertas. La Figura 1 muestra cómo las aplicaciones o el cliente, los delanteros de usuario para iniciar sesión en Keycloak que acepta las credenciales y procesado. El procedimiento aísla la aplicación de las credenciales de usuario protegidas. Esto no sólo reduce las posibles vulnerabilidades de seguridad en el tratamiento y la transmisión de las credenciales sensibles, pero también ofrece la oportunidad de poseer usuario en aplicaciones exteriores a través de una instancia Keycloak central para autenticar. La ventaja es que se puede conectar estas aplicaciones externas sin revelar así las credenciales actuales o la información de sus propios usuarios.

El cliente pasa los datos de usuario para autenticar a Keycloak. La aplicación recibe el ID de acceso y token (Fig. 1) después de la autenticación exitosa. El cliente pasa los datos de usuario para autenticar a Keycloak. La aplicación recibe después de la autenticación exitosa, el acceso & token de ID (Fig. 1).

En cuanto al tipo de autenticación Keycloak es muy flexible. Entre otras cosas, los usuarios pueden autenticarse en Keycloak contra un servidor LDAP o Active Directory. Opcionalmente Keycloak ser utilizado como puente de Kerberos para autenticar automáticamente a los usuarios que se han registrado, por ejemplo, a través de la contraseña de Windows ya en el servidor de Kerberos. Del mismo modo, el uso de Keycloak como Identidad Broker es posible que los delegados de autenticación a un proveedor de identidad externa oa una red social como Facebook, Google y GitHub. En el caso más simple, los administradores utilizan la base de datos suministrado y poner al usuario a través de una interfaz de administración de nuevo o los trasladaron a registrarse.

Después de la autenticación exitosa, un usuario proporciona un token de acceso Keycloak próximo a la Identidad Token en forma de un Web Token JSON (JWT) para el usuario a la aplicación (cf .. Paso 4 en la Fig. 1). El token de acceso permite a la aplicación invocar servicios en nombre del usuario. sin embargo, el testigo de identidad contiene principalmente información sobre la identidad del usuario. Se constituye la diferencia esencial entre OAuth 2.0 y su extensión OpenID conexion: A diferencia clásico protocolo OAuth 2.0 que tiene en cuenta no sólo los derechos en forma de tokens de acceso, sino también la identidad de los usuarios. Acerca de las aplicaciones de código personal de identidad puede leer directamente la información tal como el nombre completo o usuarios de correo electrónico. Según las necesidades, el testigo de identidad a través de Keycloak personalizado adicional para agregar atributos.

Debido a múltiples aplicaciones (clientes) están conectados a una instancia Keycloak que los usuarios se registran en la aplicación automáticamente en todos los clientes conectados y por lo tanto no necesitan iniciar sesión para cada aplicación adicional. Desde el punto de vista del usuario, por lo que la usabilidad de las aplicaciones mejorada. Para los operadores, el proceso se simplifica en gran medida la administración de usuarios, ya que no mantener sus derechos y el papel varias veces y tienen que manejar.