Identity Manager avanzado basado en Keycloak

En la nueva release 3.0.0-jailbreak, hemos incorporado un nuevo módulo con las funciones de Identity Manager. Este nuevo módulo está construido sobre la solución open source de Keycloak.

En escenarios que requieren una pieza de identity management más compleja y configurable, este módulo pretende ser un sustituto del actual (identity manager básico) que está basado en Spring Security Oauth2.

Principales ventajas sobre el identity manager básico

  • SSO: Single Sign On entre múltiples aplicativos (incluyendo la Plataforma) a través de Oauth2/Open ID.
  • Múltiples repositorios de usuarios: para el proceso de autenticación, es posible configurar varios tipos de repositorios de usuarios simultáneamente. Por defecto, viene configurado el repositorio de usuarios de la Plataforma, pero se podría añadir un LDAP, Kerberos, o incluso uno personalizado desarrollando un pequeño plugin en Java.
  • Identity brokering: en escenarios en los que es necesario integrar la Plataforma con otros servidores de autenticación de cliente, es posible configurarlos mediante la funcionalidad de «identity brokering», de tal forma que a través de este módulo podemos autenticarnos en otros servidores de autenticación de una forma centralizada y a través de una interfaz común (Oauth2/Open ID). Un ejemplo sería un IdP de SAML 2, o un IdP social como Google o LinkedIn.
  • Auditoría avanzada: la auditoría que genera este módulo es mucho más granular y además está integrada con la auditoría de plataforma, lista para ser explotada.
  • Configuración avanzada de los claims JWT: es posible configurar claims extras en el token JWT que se genera para la autenticación Oauth/Open ID, pudiendo añadir atributos extras.

Transparente para el usuario final

De cara al usuario final, la existencia de este módulo es transparente, al logarse aparecerá una pantalla de Log In con el mismo look-n-feel, indicando el reino de Keycloak donde se va a logar:

Pantalla Log In IM avanzado.

En el caso de que exista Identity Brokering configurado, el usuario verá varios métodos para la autenticación:

Pantalla Log In IM avanzado con IB SAML2.

Integración completa con las funcionalidades de la Plataforma

Este módulo se integra tanto con el concepto de Multitenancy como con el de Realm de la Plataforma.

Para cada vertical de la Plataforma existente, existirá un reino de Keycloak, de tal forma que se puede lograr una configuración específica y asilada para cada vertical (diferentes repositorios, configuraciones, identity brokering, etc.).

Por otro lado, para cada Realm de la Plataforma, se genera un cliente en el reino correspondiente de Keycloak, disponible para ser usado en el proceso de autenticación de Oauth2/Open ID.

Realm GovConsole plataforma.
Cliente GovConsole IM avanzado.

Además, existe una sincronización IM-Plataforma de tal forma que, si se produce algún cambio en un Realm o Vertical, éste se refleja de manera inmediata en el IM.

YouTube | Release 3.0.0 Feature – Advanced Identity Manager based on Keycloak

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *