Wenn Systeme miteinander kommunizieren, stellt sich immer die Frage: Wie weist sich ein System gegenüber einem anderen aus? Ein Microservice, der nachts einen Batchjob ausführt, ein CI/CD-System, das Deployments anstößt, oder ein Backend, das im Hintergrund auf eine API zugreift – all diese Szenarien brauchen eine Systemidentität.

Die klassischen Lösungen für dieses Problem – API-Keys, technische Benutzerkonten oder Shared Secrets – haben alle ihre Schwächen. Keycloak bietet mit Service Accounts eine deutlich bessere Alternative, die auf dem bewährten OAuth 2.0 Standard aufbaut.

Wer seine Anwendungen sicher und flexibel in Bezug auf Authentifizierung und Autorisierung gestalten möchte, findet im Open Source Identity Provider Keycloak häufig die passende Softwarelösung.

Beim Login über Keycloak werden Nutzer auf dessen Anmeldeseite weitergeleitet. Wer jedoch bereits mit Keycloak gearbeitet hat, weiß, dass das standardmäßige Styling der Login-Maske oft nicht zur visuellen Identität der eigenen Anwendung oder Website passt.

In den folgenden Abschnitten werfen wir einen genaueren Blick auf die verschiedenen Ansätze, mit denen sich das Erscheinungsbild der Keycloak-Seiten anpassen lässt. Dabei unterscheiden sich die Möglichkeiten nicht nur im Funktionsumfang, sondern auch im Grad der Flexibilität und im benötigten Implementierungsaufwand.

Bei der Erstinstallation von Keycloak wird im Master-Realm ein Benutzerkonto für einen globalen Administrator angelegt, der über alle Rechte verfügt. Dieser Benutzer darf neue Realms anlegen und alle Realms verwalten. Er ist ungefähr vergleichbar mit dem Superuser root unter Linux. Der Zugang erfolgt über die Admin-Konsole des Master-Realms unter <base_url>/admin bzw. <base_url>/admin/master/console.

Der Master-Realm ist ein spezieller Realm, der es Administratoren erlaubt, mehr als einen Realm auf dem System zu verwalten. Daneben verfügt aber jeder Realm, der in Keycloak erstellt wird, über eigene Admin-Konsole, von der aus dieser Realm verwaltet werden kann.

Sowohl im Master-Realm als auch in jedem anderen Realm können weitere Benutzer mit abgestuften administrativen Rechten angelegt werden.

Im Auslieferungszustand von Keycloak umfassen Benutzerinformationen den Benutzernamen, Vor- und Zunamen sowie die E-Mail-Adresse. Diese Felder waren bis einschließlich Version 23 fest vorgegeben. Kundenspezifische Key-Value-Paare für Benutzer, Rollen und Gruppen konnten zwar definiert werden, aber Keycloak bot weder Validierung noch die Möglichkeit für Benutzer, diese in der Account-Konsole selbst zu ändern. Mit der Einführung von Version 24 werden Benutzerprofile wesentlich flexibler. Deklarative Benutzerprofile, bisher nur hinter einem Feature-Flag verfügbar, werden nun voll unterstützt und erlauben es Administratoren, beliebige Felder zu definieren und zu bestimmen, wer sie bearbeiten darf.

In der heutigen digitalen Welt, in der Passwortlecks, Phishing-Angriffe und Identitätsdiebstahl an der Tagesordnung sind, ist die Sicherheit unserer Online-Konten von größter Bedeutung. Gleichzeitig streben Nutzer nach bequemen und nahtlosen Anmeldeprozessen, ohne sich eine Vielzahl von Passwörtern merken zu müssen. Hier kommt WebAuthn ins Spiel - ein Web-Standard für die passwortlose Authentifizierung, der eine sichere und benutzerfreundliche Lösung bietet.

Passwordless-Authentifizierung, auch als passwortlose Authentifizierung bezeichnet, bietet einige Vorteile gegenüber klassischen Authentifizierungsverfahren und kann aus verschiedenen Gründen implementiert werden. Häufige Gründe für den Wunsch passwortlose Authentifizierung mit Tools wie Keycloak zu nutzen sind: