Správa identit nasazením open source Keycloak

Keycloak dovoluje samostatně spravovat svěřené identity nebo je přebírat od existujících poskytovatelů. Dále poskytuje vůči cílovým aplikacím jednotné a zabezpečené komunikační rozhraní postavené na různých autentizačních protokolech - např. SAML, OAuth2 či jiných jako samostatná formulářová autentizace, OTP a další.

Keycloak (produkt společnosti Red Hat) lze bez problému provozovat ve stávajících virtualizovaných infrastrukturách nebo na kontejnerových platformách. Jeho předností je flexibilita nastavení či škálovatelnost, a tím je umožněno nasazení takového řešení pro různě variabilní potřeby našich klientů.

Společnost GEM System a.s. - Red Hat Advanced Business Partner, realizovala řadu projektů řešících problematiku správy identit či flexibilitu jejich federace v podnikových informačních systémech. Jedním z řešení realizovaných GEM System je nasazení opensource systému Keycloak (Red Hat SSO ve variantě se subskripcí Red Hat).

Keycloak představuje softwarový produkt s otevřeným zdrojovým kódem, který umožňuje jednotné přihlášení pomocí správy identit a přístupu zaměřené na moderní aplikace a služby. Od března 2018 je tento komunitní projekt pod správou společnosti Red Hat, která jej používá jako upstreamový projekt Red Hat Single Sign-On (RH-SSO).

Podstatou SSO je, že namísto množství přihlašovacích atributů (zpravidla přihlašovací jméno a heslo do každé aplikace nebo služby), si uživatel musí pamatovat pouze atributy pro jeden druh přihlášení. Ostatní případné atributy si za něj pamatuje systém SSO a zároveň jsou přihlašovací údaje v souladu se všemi politikami a požadavky.

Keycloak umožňuje jednotné přihlášení (IdP) pomocí správy identit a správy přístupu pro moderní aplikace a služby. Tento software je napsán v jazycích Java a ve výchozím nastavení podporuje protokoly federace identity SAML v2 a OpenID Connect (OIDC) / OAuth2. Je licencován společností Apache a podporován společností Red Hat.

Implementace GEM System byly realizovány např. v prostředí lékárenského řetězce, kde Keycloak slouží pro správu identit v rámci e-commerce řešení klienta. Dále pak specifické řešení schvalování interních nařízení v prostředí státní správy (Generální finanční ředitelství a Ministerstvo zemědělství), kde Keycloak představuje integrační modul mezi poskytovateli identit (primárně Active Directory) a sofistikovanou správou organizační struktury instituce.

Kecloak je narozdíl od jiných SSO řešení volně k použití s možností přikoupit enterprise podporu, což řešení dává významný náskok při zavádění anebo při nahrazování původního SSO řešení.

Zákazníci platí odborníky, kteří systém Keycloak zavedou do provozu a dále již žádné licence / poplatky - tento způsob dělá z Keycloak nejvýhodnější SSO řešení posledních let o čemž vypovídá jeho masivní nasazování u světově významných společností.

Hlavní výhody řešení Keycloak:

• Témata nastavení vzhledu a lokalizace - Keycloak umožňuje snadné stylování přihlašovací stránky, administrátorské konzole, konzole pro správu účtů, e-mailů a navíc celý systém je plně lokalizovaný

• V rámci enterprise prostředí klienta dovoluje Keycloak získat nebo propojit identity a sociální brokery - např. Twitter, Google, Facebook atp. anebo delegovat požadavky přes SAML 2.0 a OIDC

• Moderní řešení - Keycloak obsahuje REST API pro volání všech funkcí SSO jako je přihlášení, odhlášení, refresh tokenu uživatele apod.

• Impersonace - možnost autentizovaného přihlášení administrátorů za uživatele pro snadné a rychlé řešení problémů uživatelů

• Integrace se stávajícím řešením - možnost integrovat Open LDAP a Active Directory pomocí konektoru

• Moderní technologie - OpenID Connect a SAML 2.0 SSO pro Single Log Out v aplikacích v prohlížeči

• Bezpečnostní politiky - možnost snadno nastavit politiky hesel a revokací

Článek GEM System a.s. ze dne čtvrtek 2. června 2022

Další články od GEM System a.s.