Zum Hauptinhalt gehen

Einrichten eines OpenID-Clients für BlueMind mit einem Keycloak eines Drittanbieters

Präsentation

OpenID Connect (OIDC) ist eine Identitätsschicht, die auf dem OAuth 2.0 Protokoll aufbaut und es einem Nutzer ermöglicht, sich über einen sicheren und standardisierten Prozess bei einem Autorisierungsserver wie Keycloak zu authentifizieren.

Wo OIDC den Prozess des Identitätsmanagements vereinfacht, ist Keycloak eine Authentifizierungslösung.

In Keycloak stellt ein "Client" eine Anwendung dar, die mit Keycloak zur Authentifizierung oder zum Zugriff auf sicher geschützte Ressourcen interagiert und die Verwaltung von Benutzersitzungen ermöglicht.

Ab Version 5 enthält BlueMind OpenID Connect, das die einfache Integration von sicheren Authentifizierungsdiensten über OpenID-Clients ermöglicht. Daher ist seine Verwendung in Keycloak für die Implementierung einer standardisierten, sicheren und interoperablen Authentifizierungslösung in Unternehmensumgebungen von entscheidender Bedeutung.

Hinweis

Dieser Vorgang muss für jeden Bereich von BlueMind durchgeführt werden, der eine Authentifizierung bei einem dritten Keycloak erfordert.

Voraussetzungen

Eine externe URL muss definiert werden für die überwachte Domäne.

Vorgehensweise bei der Konfiguration

Benennung

In diesem Handbuch werden wir die folgenden Namen als Beispiele verwenden:

  • die Domäne: domain.tld.
  • die URL des BlueMind Servers: mail.domain.tld.
  1. Erstellen Sie ein neues Königreich (realm) in Keycloak: Öffnen Sie die Dropdown-Liste oben links und klicken Sie auf "Create realm":

    💡 Für eine bessere Sichtbarkeit in Keycloak ist es am besten, dem Königreich den Namen der BlueMind-Domäne zu geben:

  2. OpenID-Kunde erstellen: Wählen Sie das erstellte Königreich aus und klicken Sie auf "Create" oben auf der Registerkarte "Clients list":
  3. Konfigurieren Sie den Keycloak openID Client und klicken Sie dann auf "Next" ("Weiter"), um fortzufahren:
    • Client type: Wählen Sie den Typ "OpenID Connect".
    • Kunden-ID: Wie oben, für eine bessere Sichtbarkeit ist es ratsam, den Namen der BlueMind-Domäne als Kunden-ID zu wählen.
    • Name :
    • Beschreibung :
    • Always display in UI : Aktivieren Sie den Selektor, um den Client im Authentifizierungsmuster von Keycloak anzuzeigen.
  4. Stellen Sie die Fähigkeiten ein ("Capability config") und klicken Sie dann auf "Next" ("Weiter"), um fortzufahren:
    • Client Authentication: Aktivieren Sie den Selektor, um Authentifizierungen zu ermöglichen - der Client (hier der BlueMind Server) muss einen geheimen Schlüssel bereitstellen, um seine Identität während der Kommunikation zu beweisen.
    • Direct access grant: Deaktivieren Sie dieses Kontrollkästchen, um den direkten Zugriff zu verbieten.
  5. Verbindungen einrichten ("Login settings"): Geben Sie die externe URL der BlueMind-Domain in alle URL-Felder ein und klicken Sie dann auf "Next" ("Weiter"), um fortzufahren:

Abrufen von Informationen vom Keycloak-Adapter

Die Aktivierung des Authentifizierungstyps "OpenID" in BlueMind erfordert 3 Elemente der Client-Konfiguration, die Sie beachten sollten.

  1. Die URL des Drittanbieter-OpenID-Servers: Gehen Sie zu "Realm settings" und klicken Sie auf "OpenID Endpoint Configuration":
    Die URL ist wie folgt formatiert:
  2. OpenID Kundenkennung und Geheimnis des OpenID-Client: Gehen Sie zu Manage > Clients > domain.tld , gehen Sie zum Menü Action in der oberen rechten Ecke der Seite und klicken Sie auf "Download adpater config". Es öffnet sich ein Popup mit der Konfiguration, in der die gewünschten Elemente enthalten sind:
    • resource : OpenID Kundenkennung
    • secret : Geheimnis des OpenID-Clients

Verbindung zu einer externen Quelle für die Benutzerverwaltung

Der Teil "User Federation" ermöglicht die Verbindung und Integration von externen Quellen für die Benutzerverwaltung, wie z.B. einem LDAP-Server oder einer Datenbank, mit Keycloak. Dies ermöglicht es Keycloak, Benutzer aus bestehenden Systemen zu föderieren, ohne sie in Keycloak neu erstellen zu müssen:

Im BlueMind-Kontext kann das Keycloak eines Drittanbieters LDAP als Hauptquelle für die Verwaltung von Benutzerinformationen verwenden.

In diesem Zusammenhang wird empfohlen, dass alle BlueMind-Konten Konten sind, die aus einem LDAP-Verzeichnis importiert wurden.

Weiterführende Informationen

Um BlueMind zu konfigurieren, lesen Sie bitte die entsprechende Dokumentation: Einrichten von SSO mit einem externen OpenID-Authentifizierungsserver

Letztes Update