Wenn Systeme miteinander kommunizieren, stellt sich immer die Frage: Wie weist sich ein System gegenüber einem anderen aus?
Ein Microservice, der nachts einen Batchjob ausführt, ein CI/CD-System, das Deployments anstößt, oder ein Backend, das im Hintergrund auf eine API zugreift – all diese Szenarien brauchen eine Systemidentität.
Die klassischen Lösungen für dieses Problem – API-Keys, technische Benutzerkonten oder Shared Secrets – haben alle ihre Schwächen.
Keycloak bietet mit Service Accounts eine deutlich bessere Alternative, die auf dem bewährten OAuth 2.0 Standard aufbaut.
Bei der Erstinstallation von Keycloak wird im Master-Realm ein Benutzerkonto für einen globalen Administrator angelegt, der über alle Rechte verfügt.
Dieser Benutzer darf neue Realms anlegen und alle Realms verwalten.
Er ist ungefähr vergleichbar mit dem Superuser root unter Linux.
Der Zugang erfolgt über die Admin-Konsole des Master-Realms unter <base_url>/admin bzw. <base_url>/admin/master/console.
Der Master-Realm ist ein spezieller Realm, der es Administratoren erlaubt, mehr als einen Realm auf dem System zu verwalten. Daneben verfügt aber jeder Realm, der in Keycloak erstellt wird, über eigene Admin-Konsole, von der aus dieser Realm verwaltet werden kann.
Sowohl im Master-Realm als auch in jedem anderen Realm können weitere Benutzer mit abgestuften administrativen Rechten angelegt werden.
Im Auslieferungszustand von Keycloak umfassen Benutzerinformationen den Benutzernamen, Vor- und Zunamen sowie die E-Mail-Adresse. Diese Felder waren bis einschließlich Version 23 fest vorgegeben. Kundenspezifische Key-Value-Paare für Benutzer, Rollen und Gruppen konnten zwar definiert werden, aber Keycloak bot weder Validierung noch die Möglichkeit für Benutzer, diese in der Account-Konsole selbst zu ändern. Mit der Einführung von Version 24 werden Benutzerprofile wesentlich flexibler. Deklarative Benutzerprofile, bisher nur hinter einem Feature-Flag verfügbar, werden nun voll unterstützt und erlauben es Administratoren, beliebige Felder zu definieren und zu bestimmen, wer sie bearbeiten darf.
In einer Welt, in der technologische Innovationen das Tempo vorgeben, ist es entscheidend, stets auf dem neuesten Stand zu bleiben und aus erster Hand von den Besten zu lernen. Diesen Monat haben wir bei trion einen besonderen Grund zum Feiern: Drei unserer Top-Experten, Thomas Kruse, Karsten Sitterberg und Stefan Reuter, haben im Java Magazin einen bemerkenswerten Schwerpunkt gesetzt. Ihre Beiträge reflektieren nicht nur ihr tiefgreifendes Verständnis für moderne Softwareentwicklung, sondern bieten auch praxisnahe Lösungen für aktuelle und zukünftige Herausforderungen.
Seit Version 23 werden Passkeys in der Dokumentation von Keycloak offiziell erwähnt.
Keycloak übernimmt dabei die Rolle einer Passkeys Relying Party (RP).
Zur Umsetzung von Passkeys mit Keycloak nutzt man die Unterstützung von WebAuthn in Keycloak, die es schon länger gibt.
Für zukünftige Versionen von Keycloak ist damit zu rechnen, dass die Unters…
Geschrieben von Stefan Reuter am 29. November 2023
Ein starkes Identity and Access Management (IAM) ist entscheidend für die Sicherheit und Effizienz moderner Anwendungen. In diesem Blogbeitrag tauchen wir in die Welt der Konfiguration von Salesforce als Identity Provider für Keycloak ein, insbesondere wie du nahtlos Salesforce integrieren kannst, um ein robustes Authentifizierungssystem zu schaffe…
In der heutigen digitalen Welt, in der Passwortlecks, Phishing-Angriffe und Identitätsdiebstahl an der Tagesordnung sind, ist die Sicherheit unserer Online-Konten von größter Bedeutung.
Gleichzeitig streben Nutzer nach bequemen und nahtlosen Anmeldeprozessen, ohne sich eine Vielzahl von Passwörtern merken zu müssen.
Hier kommt WebAuthn ins Spiel - ein Web-Standard für die passwortlose Authentifizierung, der eine sichere und benutzerfreundliche Lösung bietet.
Magic Links sind ein Authentifizierungsverfahren, das eine passwortlose Anmeldung ermöglicht. Statt eines Passworts erhalten Benutzer per E-Mail einen speziellen Link, der eine Sitzung mit ihrem Konto startet. Indem sie einfach auf den Link klicken, werden sie direkt in ihr Konto eingeloggt, ohne ein Passwort eingeben zu müssen.
Magic Links biete…
Passwordless-Authentifizierung, auch als passwortlose Authentifizierung bezeichnet, bietet einige Vorteile gegenüber klassischen Authentifizierungsverfahren und kann aus verschiedenen Gründen implementiert werden.
Häufige Gründe für den Wunsch passwortlose Authentifizierung mit Tools wie Keycloak zu nutzen sind:
Erhöhte Sicherheit
Passwörter können anfällig für Diebstahl, Phishing-Angriffe und Brute-Force-Angriffe sein. Passwordless-Authentifizierung bietet eine sicherere Alternative, da keine Passwörter im Umlauf sind, die gestohlen oder kompromittiert werden könnten.
OpenID Connect und OAuth2 sind vielleicht etwas moderner und hipper als das bereits etwas in die Jahre gekommene SAML 2 Protokoll.
Soll jedoch im Enterpriseumfeld eine Anwendung in bestehende Landschaften integriert werden, führt selten ein Weg an SAML 2 vorbei.
Das gilt um so stärker, wenn es sich um eine Branche mit hohem Sicherheitsbedarf wie Luftfahrt, Banken oder Versicherungen handelt.
Keycloak hat sich als zuverlässige und gleichzeitig sehr leicht zugängliche Plattform zur Umsetzung von OpenID Connect oder SAML erwiesen.
Dabei kann Keycloak sowohl produktiv eingesetzt werden, als auch sehr komfortabel als lokale Testumgebung für Entwicklung und Test verwendet werden.
Zur Integration von Keycloak in Spring Boot existieren neben einem Keycloak Modul auch Spring-Security-SAML bzw. OAuth2 Client und Resourceserver.
Gerade wenn es um das Thema Security geht, bringen automatisierte Tests ein wichtiges Sicherheitsnetz für die Software.
Wir wollen Keycloak als SAML 2 IdP verwenden und mit einer Spring Boot Anwendung Authentifizierung mit SAML 2 als Beispielanwendung für automatisierte Integrationstests verwenden.
Ein - relativ einfacher - Weg wäre, Keycloak als Docker Container im Rahmen der CI-Pipeline mit Jenkins, Bamboo oder GitLab-CI bereitzustellen, so dass die zu testende Software darauf zugreifen kann.
Allerding verliert man damit die Möglichkeit, die Tests lokal genauso zu entwickeln und zu validieren, wie sie nachher in der Buildserver Umgebung laufen.
Eine Alternative stellen Testcontainers dar.
Die allgemeine Verwendung von Testcontainers wurde bereits in Testcontainers mit JUnit 5 erläutert.
Nun schauen wir uns an, wie Keycloak, Testcontainers und Spring Boot SAML 2 zusammen eingesetzt werden kann.
