Настройка Keycloak
Keycloak — это мощная открытая платформа класса Identity and Access Management (IAM), которая позволяет централизованно управлять аутентификацией и авторизацией пользователей. Благодаря поддержке современных протоколов (OpenID Connect, OAuth 2.0, SAML 2.0) она становится универсальным решением для реализации Single Sign-On (SSO), социальной авторизации и сложных политик доступа. В этой статье мы подробно разберем пошаговую настройку Keycloak для вашего проекта.
Первый вход в панель управления
После установки Keycloak перейдите по адресу админ-панели из вашего приветственного письма. Адрес имеет формат: https://{IP_вашего_сервера}:8443. На странице авторизации введите логин и пароль, предоставленные в письме после установки ПО.
После успешной авторизации вы попадете в системный realm «Master». Это основная административная зона для управления самой платформой.
Создание нового Realm
Никогда не используйте «Master» для рабочих приложений! Для каждого проекта необходимо создавать отдельное изолированное пространство — Realm.
- В левом верхнем углу нажмите на «Manage realms».
- Нажмите кнопку «Create realm».
В открывшемся окне заполните следующие поля:
- «Realm name» — укажите название вашего realm (например:
myapp). - «Enabled» — убедитесь, что переключатель находится в положении «On».
После ввода данных нажмите кнопку «Create».
Готово! Вы автоматически перешли в созданную рабочую область. Теперь вся дальнейшая настройка пользователей и ролей будет происходить именно в ней.
Регистрация приложения (Client)
В терминологии Keycloak «Client» — это ваше приложение (сайт, сервис или API), которому разрешено использовать платформу для аутентификации пользователей.
В левом боковом меню выберите раздел «Clients» и нажмите кнопку «Create client».
В мастере создания на первом шаге заполните поля:
- «Client type» — выберите «OpenID Connect».
- «Client ID» — введите уникальный идентификатор приложения.
- «Name» — введите понятное название клиента.
Нажмите кнопку «Next».
Конфигурация возможностей (Capability config)
На втором шаге настройки возможностей для стандартного серверного веб-приложения установите следующие параметры:
- «Client authentication» — включите (**ON**). Это сделает клиент конфиденциальным и позволит получить секретный ключ.
- «Authorization» — оставьте выключенным (**OFF**).
- «Authentication flow» — отметьте «Standard flow».
Остальные опции (например, «Implicit flow» или «Direct access grants») рекомендуется оставить выключенными (**OFF**). Нажмите «Next».
Интеграция с приложением
При интеграции важно правильно указать адреса вашего приложения в настройках доступа (Access settings). Для связи вашего кода с Keycloak потребуется секретный ключ. Перейдите во вкладку «Credentials» и скопируйте значение из поля «Client secret».
Теперь при обращении к защищенным ресурсам вашего приложения Keycloak будет автоматически перенаправлять пользователей на страницу авторизации.
Создавать новых пользователей и управлять их правами можно в разделе «Users» админ-панели.