![[Решено] Управление группой доступа в Keycloak 1](https://itdraft.ru/wp-content/uploads/2023/03/analytics_ai_x-ray.png "[Решено] Управление группой доступа в Keycloak 1")
Keycloak: LDAP users group access
Keycloak – программное обеспечение с открытым исходным кодом, для реализации single sign-on с управлением идентификацией и управлением доступом для современных приложений и сервисов. Это программное обеспечение написано на Java и по умолчанию поддерживает протоколы федерации удостоверений SAML и OpenID Connect (OIDC)
Дано: Keycloak сервер с настроенной федерацией с MS Active Directory и SSO Kerberos авторизацией. В Keycloak добавлен client. В Web-приложение добавлены настройки Keycloak клиента для авторизации по протоколу OpenID или SAML.
Требуется: Разрешить доступ к Web-приложению определенному списку пользователей из MS Active Directory.
Выбираем наше пространство имен (realm)
- В настройках клиента (во вкладке “Roles”) создаем роль
![[Решено] Управление группой доступа в Keycloak 2](https://itdraft.ru/wp-content/uploads/2023/03/image-49.png "[Решено] Управление группой доступа в Keycloak 2")
![[Решено] Управление группой доступа в Keycloak 3](https://itdraft.ru/wp-content/uploads/2023/03/image-38.png "[Решено] Управление группой доступа в Keycloak 3")
Clients > myclient > Tab "Roles" > Button "Create role":
Role name: access
Description: Разрешенные пользователи2. Настраиваем область действия клиента (Client scopes):
Selectel — ведущий провайдер облачной инфраструктуры и услуг дата-центров
Компания занимает лидирующие позиции на рынке на рынке выделенных серверов и приватных облаков, и входит в топ-3 крупнейших операторов дата-центров в России.
- Выбираем на область, которая необходима нашему клиентскому приложению (например email)
- Переходим во вкладку Scope
- Назначаем роль (Assign role)
- Фильтруем по клиентам
- Выбираем созданную в первом шаге роль
![[Решено] Управление группой доступа в Keycloak 4](https://itdraft.ru/wp-content/uploads/2023/03/image-45.png "[Решено] Управление группой доступа в Keycloak 4")
![[Решено] Управление группой доступа в Keycloak 5](https://itdraft.ru/wp-content/uploads/2023/03/image-46.png "[Решено] Управление группой доступа в Keycloak 5")
Client scopes > email > Tab "Scope" > Assign role > Filter by client > access3. Создаем группу доступа “mygroup”
![[Решено] Управление группой доступа в Keycloak 6](https://itdraft.ru/wp-content/uploads/2023/03/image-41.png "[Решено] Управление группой доступа в Keycloak 6")
Groups > Create group > mygroup4. Настраиваем группу доступа. Добавляем пользователей
![[Решено] Управление группой доступа в Keycloak 7](https://itdraft.ru/wp-content/uploads/2023/03/image-42.png "[Решено] Управление группой доступа в Keycloak 7")
Groups > mygroup > Tab "Members" > Add member5. Настраиваем группу доступа. Добавляем сопоставление ролей (Role mapping)
- Переходим во вкладку Role mapping
- Назначаем роль (Assign role)
- Фильтруем по клиентам
- Выбираем созданную в первом шаге роль
![[Решено] Управление группой доступа в Keycloak 8](https://itdraft.ru/wp-content/uploads/2023/03/image-47.png "[Решено] Управление группой доступа в Keycloak 8")
![[Решено] Управление группой доступа в Keycloak 9](https://itdraft.ru/wp-content/uploads/2023/03/image-48.png "[Решено] Управление группой доступа в Keycloak 9")
Groups > mygroup > Tab "Role mapping" > Assign role > add "it_access"