Keycloak单点登录

2018-03-08 本文已影响3398人彭金虎

在企业众多的应用系统中，如果每个应用都有独立的用户认证和权限管理，这不仅需要维护多套用户管理系统，用户使用每个系统也非常的不便。如果能够将所有应用系统的用户集中管理，用户使用一套用户名登录所有系统，将会大大改善用户体验。下面将基于Keycloak搭建单点登录系统。

GitHub

https://github.com/pjhu/keycloak

Keycloak介绍

Keycloak是为现代应用和服务提供了开源IAM(Identity and Access Management)解决方案。下面简单的介绍几种功能：

SSO
通过Keycloak处理用户认证，意味着你的应用不需要处理登录界面，认证用户，存储用户信息。一旦登录Keycloak, 用户不需要再次登录Keycloak管理下的其它应用。实现一次登录，多处登录不同应用，一处登出，所有应用登出。
Identity Brokering and Social Login
Keycloak通过配置，可实现对不同身份认证服务的集成，通过这些身份认证服务登录应用。
User Federation
在企业系统中有使用LDAP/AD管理用户，同样，Keycloak 提供了对LDAP/AD的集成方案，可以方便的同步用户。
Client Adapters
Keycloak提供了不同平台多种语言的支持，支持标准的OpenID Connect, OAuth 2.0, and SAML等。
后台管理
Keycloak不仅提供了后台管理界面，同时还有CLI，和RESTFul API方式管理后台。
集群方案

Keycloak Setup

创建Client: login-app, login-backup
创建client Roles
创建用户, 并分配角色

如果需要获取所有用户信息，配置realm-management
启动Keycloak standalone 模式，端口号为8180
```
./standalone.sh -Djboss.socket.binding.port-offset=100
```
如果需要配置连接postgresql，请参考Github

Spring Security集成Keycloak

配置application.properties

keycloak.realm=demo
keycloak.resource=login-app
keycloak.auth-server-url=http://localhost:8180/auth
keycloak.ssl-required=external
keycloak.public-client=true
keycloak.use-resource-role-mappings=true
keycloak.confidential-port=0
keycloak.principal-attribute=preferred_username

其中keycloak.resource根据不同的client配置不同的变量，内容请参考Keycloak client installation，如下图

启动Keycloak客户端

启动client: login-app, login-backup，端口号分别为8081，8082，在keycloak client 配置页面 ‘Valid Redirect URIs’ 填写相应的端口号
```
java -Dserver.port=8081 -jar login-app.jar
java -Dserver.port=8082 -jar login-backup.jar
```

SSO授权码模式访问过程

访问login-app，图中http://rp.example.com，当浏览器登录Keycloak(OP)后，会在浏览器保存KEYCLOAK_SESSION
当访问login-backup时，图中http://rp-2.example.com，浏览器将KEYCLOAK_SESSION一起请求Keycloak(OP), Keycloak(OP)根据KEYCLOAK_SESSION判断用户已登录，直接授权，不需要用户再次输入用户名和密码。
登录login-app页面跳转，包的抓取

总结

keycloak有对应的单点登出，通过postman请求测试
集成LDAP，测试可进行连接，用户属性Map，并可选择用户数据同步方式
使用keycloak docker时偶尔不能获取client role, 没有解决
使用keycloak docker时不能获取用户列表, 没有解决，即使配置了相应的获取权限
keycloak session没有持久化的postgresql数据库中，没有解决