keycloak 微服务认证_VMware vRA8集成KeyCloak认证

最新推荐文章于 2024-05-26 09:54:27 发布
最新推荐文章于 2024-05-26 09:54:27 发布
阅读量430 收藏
点赞数
文章标签: keycloak 微服务认证
a588e0279d11818cf63580c8c417db36.png

概述

企业中一般都有自己的单点登录认证(SSO)服务器负责业务系统(移动端、应用服务器、Web等)的认证,而VMware产品通常与vIDM集成,这样企业就有两个SSO服务器,用户体验非常不好;

伴随信息化的发展,企业内部的管理系统也越来越多,每次都进行登录,影响使用和运维效率,更有用户每套系统一套账户和密码,只能靠Excel记录了,不仅登录繁琐,且存在安全隐患;所以一套统一身份认证系统和单点登录系统能够帮助企业更好的控制权限,提高安全性和用户体验。

实现效果

用户无论是访问业务系统(例如:OA、Email)还是访问信息化管理系统(例如:vRA、vRLi、vRops)都统一通过Keycloak(也可以是其他SSO平台)进行认证,认证通过后,再访问其他系统,就不再需要进行登录,支持单点登录和单点注销。

提示:Keycloak必须使用SSL,我的环境中是通过Nginx反向代理KeyCloak,并通过ACME申请免费的Let’s Encrypt证书,关于Keycloak的部署、LDAP集成配置和证书本手册不进行介绍,可以参考我之前写的Blog。

登录流程概述

  1. 用户通过浏览器访问vRA8;
  2. vRA8将认证转发给vIDM;
  3. vIDM将认证转发给KeyCloak;
  4. KeyCloak检测到用户未认证,重定向到登录页面;
  5. 用户通过账户密码完成认证;
  6. 浏览器重定向会vRA8页面;
  7. 完成认证;

注销流程概述

  1. 用户通过vRA8页面注销;
  2. 注销转发给vIDM;
  3. vIDM转发给KeyCloak进行注销;
  4. Keycloak完成注销,并返回Client中预设的注销后重定型URL;
  5. 用户返回到vRA登录页面;

单点登录流程概述

  1. 用户通过企业应用系统完成了KeyCloak登录认证;
  2. 用户访问vRA8;
  3. 浏览器将认证转发给vIDM;
  4. vIDM将认证转发给KeyCloak;
  5. KeyCloak检测到用于已认证,返回认证成功;
  6. 浏览器打开vRA8页面;
  7. 完成单点登录;

登录vIDM获取服务提供商(SP)元数据

登录到VMware Identity Manager(简称vIDM),进入到管理控制台->目录->Web应用程序->设置。

24315b538e1da9c85605f8696d0af4de.png

点击”服务提供商(SP)元数据”。

ce32d773378f61b39d230be3613d91ec.png

我们需要获取到SP的两个URL地址,后续在配置KeyCloak中使用。

https://mgmt-vidm.corp.local/SAAS/API/1.0/GET/metadata/sp.xml

https://mgmt-vidm.corp.local/SAAS/auth/saml/response

16c2ec8eb265bf8f140bddf329cc400e.png

添加KeyCloak客户端

登录KeyCloak管理控制台,进入Clients页面,添加Client,按下图进行配置。

提示,本示例采用vRA8单租户模式,如果您使用多租户模式,需要为每个租户添加Client。

5813bce2b915b2dd21db154efc660d27.png
0cafe77ce76b9a796d96ce56da2286c1.png

从KeyCloak获取元数据(Metadata)

进入到Realm Settings,点击SAML 2.0 Identity Provider Metadata链接

044c4c349f2a7ba698173f032921c956.png


按照下图拷贝Metadata内容。

注意,不是完整的内容。

制作vIDM可识别的IDP元数据

打开一个在线xml格式化工具,并按照下图进行修改,再进行格式化。

931c5595dde99981e1aa80c83f47ca9a.png

vIDM中配置KeyCloak集成

登录到vIDM管理控制台,身份和访问管理->身份提供程序->添加身份提供程序->创建第三方IDP

571b5a3f6e92939715e4ce3a2566b844.png

粘贴上一步生成的Metadata后点击处理IDP元数据,修改SAML身份验证请求绑定为“HTTP POST”,其实配置什么都可以;

注意1:我使用userName作为身份传递,如果使用email需要修改vIDM和KeyCloak中的ID策略;注意2:要选择启用“单点注销”,使用单点注销功能,配置留空,是为了使用KeyCloak中的配置;

ea884b0ef1bc08ba127b318c6a35d0d5.png
989e5f7ec568d3186adce62168af0c08.png

(可选)添加域用户到管理员组中

(重要)一旦修改了认证方法后,vIDM的本地用户无法登录,将失去vIDM的管理权限,所以建议将AD用户添加到Super Admin组中,避免尴尬;

1026b8e1da080a2db5a9f11f1a2e3c69.png

修改vIDM默认认证策略,转到到KeyCloak认证

进入身份访问管理->策略->编辑默认策略,更改第一认证方法为keycloak-unspecified

b13210f9ed9d17169b7220f0490f898d.png
8a886e4afb354e1c149f4fa57b043b39.png

验证vRA8认证

完成默认认证策略修改后,打开一个新浏览器(或打开隐私窗口),访问vRA8登录地址,成功转发到KeyCloak认证,输入认证信息后,跳转回vRA8页面。

提示1:推荐换一个浏览器,这样即使配置错误,当前浏览器也可以继续修改vIDM配置;

提示2:如果出现异常无法打开vIDM管理控制台,可通过 https://mgmt-vidm.corp.local/auth/0 进行登录;

提示3:虽然认证调整是工作的,但如果您的vRA8、vIDM和KeyCloak使用自签名证书,用户依然需要手工点击“忽略警告”,推荐采用企业CA签名证书,或者购买受信任证书。

c347b7b2ef9ea53a9074743aa5ae7fa9.png
e552758184cdcbbf6faa80415663f897.png

完成

至此,我们完成了vRA8与KeyCloak单点登录集成,可以极大提升用户使用体验。

weixin_39967938
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
keycloak 微服务认证_【在家办公】keycloak认证客户端示例程序
weixin_39959192的博客
11-26 1222
如果你在测试keycloak的快速入门程序,会发现大部分代码是在3年前写的。多数情况是,下载下来以后跑不通的。这里以一个sso的例子,调试通quickstart的代码,并理解其中的原理。一、 简要原理Realm:Keycloak作为认证授权服务器,使用realm区分认证域,不同的reaml不能互相认证。Client:在同一个realm下,需要创建client,一个client是一个...
VMware vRA解决方案详解
05-11
VMware vRA解决方案详解,云管平台VRA解决方案详解,有助于了解VM云管产品及方案
微服务架构下的安全认证与鉴权
低代码开发,数据,中间件,企业架构原创技术分享
06-19 2985
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
推荐开源项目:Keycloak Organizations
最新发布
gitblog_00038的博客
05-26 286
推荐开源项目:Keycloak Organizations 项目地址:https://gitcode.com/p2-inc/keycloak-orgs :rocket: 多租户管理的利器 —— Keycloak Organizations Keycloak Organizations 是一个针对 Keycloak 的扩展,专为解决多租户SaaS应用的常见问题而设计。这个项目源自 Phase Two...
微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
热门推荐
macrozheng的专栏
07-09 4万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cl...
keycloak 微服务认证_走进微认证 | 搭建我的世界游戏服务器 让游戏更high
weixin_39922749的博客
11-09 255
当“吃鸡”成为年轻人社交的主题词,“荣耀”成为学生的日常语,我们可以看到,网游影响并改变着我们的娱乐和社交方式。你知道为何现在游戏体验在日益提升吗?你想提高自己的游戏部署能力吗?华为云微认证“搭建我的世界游戏服务器”将解答你的疑问。游戏上云成为趋势在游戏风行的时代,高并发、高性能、安全风险高和精准定位难等成为游戏行业所面临的一系列挑战,不过这些在云上都可以找到完善的解决方案。在Cloud...
keycloak 微服务认证_Spring Cloud Alibaba 实战(十一) - Spring Cloud认证授权
weixin_39667398的博客
12-03 343
欢迎关注全是干货的技术公众号:JavaEdge本文主要内容:如何实现用户认证与授权?实现的三种方案,全部是通过画图的方式讲解.以及三种方案的对比最后根据方案改造Gateway和扩展Feign0 相关源码1 有状态 vs 无状态1.1 有状态也可使用粘性会话,即:对相同IP的请求,NGINX总 会转发到相同的Tomcat实例,这样就就无需图中的Session Store了。不过这种方式有很多缺点:比...
vRA_8_YAML:vRA 8的蓝图
03-04
在这个"vRA_8_YAML"主题下,我们将重点讨论vRA 8中的蓝图设计和YAML语言的应用。 蓝图是vRA的核心概念之一,它定义了IT服务的结构、配置和依赖关系。蓝图允许IT管理员创建、管理和部署包括虚拟机、网络、存储在内的...
Vra5Abs_hurst_Vra_
09-30
《视觉回归分析与Hurst指数在VRA中的应用》 在信息技术领域,数据的分析和理解是至关重要的。本文将探讨一种名为“Visual Recurrence Analysis”(视觉回归分析,简称VRA)的方法,并重点关注其中涉及的Hurst指数,...
vmware-vra
03-19
VMware vRealize Automation(简称vRA)是VMware公司的一款强大的自动化云管理平台,它为企业提供了一种统一的方式来自动化数据中心和多云环境的资源和服务交付。vRA通过结合基础设施即代码(IAC)、应用程序部署和...
terraform-provider-vra7:Terraform VMware vRA7提供程序
02-06
Terraform和vRealize Automation(vRA)之间的独立可部署集成,允许Terraform用户使用Terraform请求/提供标题为vRA的目录项。 支持Terraform销毁vRA配置的资源。 要求 [vRealize Automation 7.4或更低版本]自提供...
keycloak-services-social-wechatwork:Keycloak企业微信登录插件(Social Provider)
04-25
keycloak-services-social-wechat-work Keycloak企业微信登录插件 注意只在Keycloak 6.0.1版本下使用过,其他版本情况未知。 构建: mvn clean package 要安装社交微信工作,您必须: 将jar添加到Keycloak服务器(如果需要,请创建providers文件夹): $ cp target/keycloak-services-social-wechat-work-{xyz}.jar _KEYCLOAK_HOME_/providers/ 将配置页面模板添加到Keycloak服务器: $ cp themes/base/admin/resources/partials/realm-identity-provider-wechat-work.html _KEYCLOAK_HOME_/themes/base/admin
keycloak 微服务认证_开源微服务项目认证中心增加移动端认证
weixin_39968309的博客
12-01 215
欢迎关注点赞转发留言!想获取学习资料关注WX GZH(IT小分享),回复 学习即可获取!最近研究了开源微服务项目Ruoyi-Cloud,发现安全框架使用spring securit+oauth2。很好奇怎么不用轻量级shiro(大家猜猜什么原因?) ?下面谈谈对spring securit+oauth2 的理解。项目需要定义认证服务配置,资源服务配置。认证服务配置作用指定token存储位置,用户账...
开源认证和访问控制的利器keycloak使用简介
程序那些事
11-26 1万+
keycloak是一个开源的进行身份认证和访问控制的软件。是由Red Hat基金会开发的,我们可以使用keycloak方便的向应用程序和安全服务添加身份认证,非常的方便。 keycloak还支持一些高级的特性,比如身份代理,社交登录等等。 本文将会带领大家进入keycloak的神秘世界。
微服务统一登陆认证怎么做?JWT ?
Java团长的博客
02-19 293
来源:cnblogs.com/zhenghongxin/p/10006697.html无状态登录原理什么是有状态?有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根...
keycloak 认证服务
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
VMware Identity Manager 与CAS, Keycloak集成
weixin_34117211的博客
01-16 640
VMwareIdentity Manager (简称vIDM)是VMware开发的一套功能强大的身份管理系统。用户利用这套系统可以实现企业级应用的(包括SAAS,虚拟应用和桌面,原生的移动应用,Windows10应用等)单点登录,自助式应用商店,多种设备支持,基于策略的访问控制等等。简单点讲:客户可以利用这套系统在各种设备上,随时随地,访问企业在私有数据中心或者公有云平台上的...
【Django-keycloak认证keycloak认证
Season CSDN博客
07-28 357
【Django-keycloak认证keycloak认证
什么是Keycloak?怎么样使用Keycloak实现登录和权限验证?
m0_63144319的博客
05-14 1828
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享和官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
VMware vRA云自动化解决方案详解
VMware vRA解决方案详解 VMware vRA解决方案是基于云管理平台VRA的解决方案,旨在帮助用户了解VM云管产品及方案。该解决方案主要解决传统数据中心IT交付挑战,包括批复、选型、设备采购、建设、测试、部署、立项、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值