Установка и настройка Keycloak

Что такое Keycloak

Keycloak — это open-source решение для управления идентификацией и доступом (IAM) с поддержкой SSO (Single Sign-On), OAuth2, OpenID Connect, SAML 2.0 и других стандартов. Оно часто используется DevOps- и enterprise-средой (де-факто стандарт в крупном энтерпрайзе) для централизованной аутентификации и авторизации пользователей в приложениях.

Если вам понравилась настоящая статья, то можете поддержать автора став спонсором на бусти (ссылка в разделе контакты).

Зачем нужен Keycloak

Keycloak позволяет централизованно управлять аутентификацией пользователей:

Единый вход (SSO) для всех приложений
Поддержка внешних провайдеров (Google, GitHub и др.)
Подключение LDAP и Active Directory
Удобная админка
OpenID Connect и OAuth 2.0

Что понадобится

Docker + Docker Compose
Обратный прокси (Traefik)
Домен с настройкой DNS (auth.example.ru)
SSL-сертификат (через Let’s Encrypt)

Возможности Keycloak

Аутентификация и авторизация

Single Sign-On (SSO) — единый вход во все подключенные приложения.
Поддержка социальных логинов — Google, Facebook, GitHub и др.
Поддержка стандартов — OAuth2, OpenID Connect, SAML 2.0.
Поддержка MFA (многофакторная аутентификация) — TOTP (Google Authenticator и аналоги).

Управление пользователями и ролями

Создание и управление пользователями, группами и ролями.
Делегированное администрирование (разграничение доступа между администраторами).
Импорт и экспорт пользователей (LDAP, CSV, REST API).

Интеграция с корпоративной инфраструктурой

Интеграция с LDAP / Active Directory.
SCIM-подобные возможности через REST API.
Поддержка клиента CLI и Admin REST API.

Multi-tenancy и реалмы

Поддержка множественных реалмов (изолированных доменов аутентификации).
Каждый реалм имеет свои настройки, пользователей, клиентов и политик.

Кастомизация

Кастомизация UI экранов входа и регистрации.
Расширяемость через Java SPI/плагины.
Локализация интерфейса.

Аудит и безопасность

Аудит логов входа и действий.
Настраиваемые политики паролей.
Поддержка ограничений IP, блокировка по IP, brute-force защита.

Docker compose файл, который используется в ролике

1
services:
2
    postgres:
3
        image: postgres:16-alpine
4
        container_name: keycloak-db
5
        restart: always
6
        expose:
7
            - 5432
8
        volumes:
9
            - /home/path/to/keycloak/database:/var/lib/postgresql/data
10
        environment:
11
            POSTGRES_DB: ${POSTGRES_DB}
12
            POSTGRES_USER: ${POSTGRES_USER}
13
            POSTGRES_PASSWORD: ${POSTGRES_PASSWORD}
14
        healthcheck:
15
            test:
16
                [
17
                    "CMD",
18
                    "pg_isready",
19
                    "-q",
20
                    "-d",
21
                    "${POSTGRES_DB}",
22
                    "-U",
23
                    "${POSTGRES_USER}",
24
                ]
25
            interval: 10s
26
            timeout: 5s
27
            retries: 3
28
            start_period: 60s
29
        networks:
30
            - keycloak
31

32
    keycloak:
33
        image: quay.io/keycloak/keycloak
34
        container_name: keycloak
35
        command: start
36
        environment:
37
            KC_HOSTNAME: ${KEYCLOAK_HOSTNAME}
38
            KC_BOOTSTRAP_ADMIN_USERNAME: ${KC_BOOTSTRAP_ADMIN_USERNAME}
39
            KC_BOOTSTRAP_ADMIN_PASSWORD: ${KC_BOOTSTRAP_ADMIN_PASSWORD}
40
            KC_DB: postgres
41
            KC_DB_URL: jdbc:postgresql://postgres/${POSTGRES_DB}
42
            KC_DB_USERNAME: ${POSTGRES_USER}
43
            KC_DB_PASSWORD: ${POSTGRES_PASSWORD}
44
            KC_PROXY_HEADERS: "xforwarded"
45
            KC_HTTP_ENABLED: true
46
            KC_HEALTH_ENABLED: true
47
            PROXY_ADDRESS_FORWARDING: "true"
48
        healthcheck:
49
            test:
50
                - "CMD-SHELL"
51
                - |
52
                    exec 3<>/dev/tcp/localhost/9000 &&
53
                    echo -e 'GET /health/ready HTTP/1.1\r\nHost: localhost\r\nConnection: close\r\n\r\n' >&3 &&
54
                    cat <&3 | tee /tmp/healthcheck.log | grep -q '200 OK'
55
            interval: 10s
56
            timeout: 5s
57
            retries: 3
58
            start_period: 90s
59
        #ports:
60
        #  - 8080:8080
61
        #expose:
62
        #  - 8080 # web ui http
63
        #  - 9000 # health endpoint
64
        restart: always
65
        depends_on:
66
            postgres:
67
                condition: service_healthy
68
        networks:
69
            - keycloak
70
            - proxy
71
        labels:
72
            - "traefik.enable=true"
73
            - "traefik.http.routers.keycloak.entrypoints=http"
74
            - "traefik.http.routers.keycloak.rule=Host(`keycloak.domain.ru`)"
75
            - "traefik.http.middlewares.keycloak-https-redirect.redirectscheme.scheme=https"
76
            - "traefik.http.routers.keycloak.middlewares=keycloak-https-redirect"
77
            - "traefik.http.routers.keycloak-secure.entrypoints=https"
78
            - "traefik.http.routers.keycloak-secure.rule=Host(`keycloak.domain.ru`)"
79
            - "traefik.http.routers.keycloak-secure.tls=true"
80
            - "traefik.http.routers.keycloak-secure.service=keycloak"
81
            - "traefik.http.services.keycloak.loadbalancer.server.port=8080"
82
            - "traefik.docker.network=proxy"
83

84
networks:
85
    keycloak:
86
        internal: true
87
    proxy:
88
        external: true

Значения в файле переменных

1
# define FQDN hostname
2
KEYCLOAK_HOSTNAME=keycloak.stilicho.ru
3

4
# define login credentials
5
KC_BOOTSTRAP_ADMIN_USERNAME=admin
6
KC_BOOTSTRAP_ADMIN_PASSWORD=password
7

8
# define database credentials
9
POSTGRES_DB=keycloak_db
10
POSTGRES_USER=keycloak_db_user
11
POSTGRES_PASSWORD=keycloak_db_user_password

Ссылки

Откуда я узнал, как настраивать Portainer

Prohomelab