Keycloak: LDAP users group access
Keycloak – программное обеспечение с открытым исходным кодом, для реализации single sign-on с управлением идентификацией и управлением доступом для современных приложений и сервисов. Это программное обеспечение написано на Java и по умолчанию поддерживает протоколы федерации удостоверений SAML и OpenID Connect (OIDC)
Дано: Keycloak сервер с настроенной федерацией с MS Active Directory и SSO Kerberos авторизацией. В Keycloak добавлен client. В Web-приложение добавлены настройки Keycloak клиента для авторизации по протоколу OpenID или SAML.
Требуется: Разрешить доступ к Web-приложению определенному списку пользователей из MS Active Directory.
Выбираем наше пространство имен (realm)
- В настройках клиента (во вкладке “Roles”) создаем роль
Clients > myclient > Tab "Roles" > Button "Create role":
Role name: access
Description: Разрешенные пользователи
2. Настраиваем область действия клиента (Client scopes):
Selectel — ведущий провайдер облачной инфраструктуры и услуг дата-центров
Компания занимает лидирующие позиции на рынке на рынке выделенных серверов и приватных облаков, и входит в топ-3 крупнейших операторов дата-центров в России.
- Выбираем на область, которая необходима нашему клиентскому приложению (например email)
- Переходим во вкладку Scope
- Назначаем роль (Assign role)
- Фильтруем по клиентам
- Выбираем созданную в первом шаге роль
Client scopes > email > Tab "Scope" > Assign role > Filter by client > access
3. Создаем группу доступа “mygroup”
Groups > Create group > mygroup
4. Настраиваем группу доступа. Добавляем пользователей
Groups > mygroup > Tab "Members" > Add member
5. Настраиваем группу доступа. Добавляем сопоставление ролей (Role mapping)
- Переходим во вкладку Role mapping
- Назначаем роль (Assign role)
- Фильтруем по клиентам
- Выбираем созданную в первом шаге роль
Groups > mygroup > Tab "Role mapping" > Assign role > add "it_access"