Einrichten eines OpenID-Clients für BlueMind mit einem Keycloak eines Drittanbieters
Präsentation
OpenID Connect (OIDC) ist eine Identitätsschicht, die auf dem OAuth 2.0 Protokoll aufbaut und es einem Nutzer ermöglicht, sich über einen sicheren und standardisierten Prozess bei einem Autorisierungsserver wie Keycloak zu authentifizieren.
Wo OIDC den Prozess des Identitätsmanagements vereinfacht, ist Keycloak eine Authentifizierungslösung.
In Keycloak stellt ein "Client" eine Anwendung dar, die mit Keycloak zur Authentifizierung oder zum Zugriff auf sicher geschützte Ressourcen interagiert und die Verwaltung von Benutzersitzungen ermöglicht.
Ab Version 5 enthält BlueMind OpenID Connect, das die einfache Integration von sicheren Authentifizierungsdiensten über OpenID-Clients ermöglicht. Daher ist seine Verwendung in Keycloak für die Implementierung einer standardisierten, sicheren und interoperablen Authentifizierungslösung in Unternehmensumgebungen von entscheidender Bedeutung.
Dieser Vorgang muss für jeden Bereich von BlueMind durchgeführt werden, der eine Authentifizierung bei einem dritten Keycloak erfordert.
Voraussetzungen
Eine externe URL muss für die überwachte Domäne definiert werden.
Vorgehensweise bei der Konfiguration
In diesem Handbuch werden wir die folgenden Namen als Beispiele verwenden:
- die Domäne:
domain.tld. - die URL des BlueMind Servers:
mail.domain.tld.
- Créer un nouveau royaume (realm) dans Keycloak : ouvrir la liste déroulante en haut à gauche et cliquer sur "Create realm" :
💡 Pour une meilleure visibilité dans Keycloak, il est préférable de donner au royaume le nom du domaine BlueMind :

- Créer le client openID : sélectionner le royaume créé et cliquer sur "Create" (« Créer ») en haut de l'onglet "Clients list" (« Liste des clients ») :

- Configurer le client openID de Keycloak puis cliquer sur "Next" (« Suivant ») pour continuer :
- Client type: Wählen Sie den Typ "OpenID Connect".
- Kunden-ID: Wie oben, für eine bessere Sichtbarkeit ist es ratsam, den Namen der BlueMind-Domäne als Kunden-ID zu wählen.
- Name :
- Beschreibung :
- Always display in UI : Aktivieren Sie den Selektor, um den Client im Authentifizierungsmuster von Keycloak anzuzeigen.
- Paramétrer les capacités ("Capabilty config") puis cliquer sur "Next" (« Suivant ») pour continuer :
- Client Authentication: Aktivieren Sie den Selektor, um Authentifizierungen zu ermöglichen - der Client (hier der BlueMind Server) muss einen geheimen Schlüssel bereitstellen, um seine Identität während der Kommunikation zu beweisen.
- Direct access grant: Deaktivieren Sie dieses Kontrollkästchen, um den direkten Zugriff zu verbieten.
- Paramétrer les connexions ("Login settings") : renseigner l'URL externe du domaine BlueMind (voir la Allgemeine Konfiguration du domaine) dans tous les champs d'URL puis cliquer sur "Next" (« Suivant ») pour continuer :

Abrufen von Informationen vom Keycloak-Adapter
Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver erfordert 3 Elemente der Clientkonfiguration, die Sie beachten sollten.
- L'URL du serveur OpenID tiers : se rendre dans "Realm settings" et cliquer sur "OpenID Endpoint Configuration" :

L'URL est formatée comme suit : - OpenID Kundenkennung und Geheimnis des OpenID-Client: Gehen Sie zu Manage > Clients > domain.tld , gehen Sie zum Menü Action in der oberen rechten Ecke der Seite und klicken Sie auf "Download adpater config". Une popup s'ouvre contenant la configuration dans laquelle on retrouve les éléments souhaités :
- resource : OpenID Kundenkennung
- secret : Geheimnis des OpenID-Clients
Verbindung zu einer externen Quelle für die Benutzerverwaltung
Der Teil "User Federation" ermöglicht die Verbindung und Integration von externen Quellen für die Benutzerverwaltung, wie z.B. einem LDAP-Server oder einer Datenbank, mit Keycloak. Dies ermöglicht es Keycloak, Benutzer aus bestehenden Systemen zu föderieren, ohne sie in Keycloak neu erstellen zu müssen:

Im BlueMind-Kontext kann das Keycloak eines Drittanbieters LDAP als Hauptquelle für die Verwaltung von Benutzerinformationen verwenden.
Weiterführende Informationen
Um BlueMind zu konfigurieren, lesen Sie bitte die entsprechende Dokumentation : Einrichtung von SSO mit einem externen OpenID-Authentifizierungsserver