Camunda8微服务流程引擎搭建实战 -- camunda-identity接入keycloak,使用mysql数据库以OpenID Connect的方式实现用户的权限管理

最新推荐文章于 2024-05-21 15:03:36 发布
最新推荐文章于 2024-05-21 15:03:36 发布
阅读量1.4k 收藏 19
点赞数 24
文章标签: 中间件 后端 低代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuexiahunone/article/details/135407269
版权

准备需要:

docker最新版,camunda官方建议使用容器且最好能使用k8s,而且jar包启动失败时不能停止
mysql8.0+,keycloak默认使用postgresql,我不会
提前启动好其他组件,es,tasklis,operate,zeebe,偷个懒,我使用的jar包运行,也可以容器
组件下载地址,版本8.3.4
因为容器通信的问题(应该是通信/网络的问题),我使用了局域网ip,而非localhost

identity是什么?

Identity是Camunda8部署负责身份验证和授权的标识组件,可以管理的有:

- Applications 
- APIs
- Permissions
- Roles

Identity不是comunda8必要的6个组件(官网列出来的,但是如果使用Self-Managed也那就是8个组件),我搭建身份认证系统是因为使用user-service创建表单时看到了用户授权的字段

什么是keycloak?

keycloak是一款开源的功能丰富、易用且灵活的身份和访问管理软件,为开发人员提供了快速集成身份认证、授权和用户管理的解决方案

特点和功能
  1. 单点登录(Single Sign-On,SSO):Keycloak支持SSO,用户只需登录一次,即可访问多个通过Keycloak保护的应用程序。
  2. 集中式身份认证和授权:Keycloak充当一个认证和授权服务器,负责在不同应用程序间验证用户身份和授权访问权限。
  3. 多种身份验证方式:Keycloak支持多种身份验证方式,如用户名/密码、LDAP、Active Directory、社交登录(Google、Facebook等)、OpenID Connect等。
  4. 用户管理和组织结构:Keycloak提供了用户管理和组织结构管理功能,包括用户创建、更新、删除,以及组织结构的定义和管理。
  5. 多因素身份验证(Multi-Factor Authentication,MFA):Keycloak支持多因素身份验证,增加了额外的安全层,如短信验证码、电子邮件验证码等。
  6. 客户端适配器:Keycloak提供了各种客户端适配器,使得应用程序能够与Keycloak进行无缝集成,实现身份认证和授权。
  7. 客户端角色和权限管理:Keycloak允许定义和管理客户端角色和权限,精确控制用户对特定资源的访问权限。
  8. 基于标准的协议支持:Keycloak支持OpenID Connect、OAuth 2.0、SAML2.0等开放标准协议,与其他标准兼容的应用程序进行集成。

准备需要

camunda8版本对照,要求keycloak为21.x, 22.x,我用过的版本为22.0.5

在这里插入图片描述

keycloak版本要求22.0.5,对应数据库版本,mysql8.0

在这里插入图片描述

开始集成

keyclock

  • 拉取keycloak镜像

    docker pull keycloak/keycloak:22.0.5

  • 创建数据库
    这里要注意,我使用的是mysql,因为字符集和排序规则的问题,需要设置为utf8/utf8_unicode_ci,否则会因为"行"字段长度过长,注意,是"行"字段长度问题
    不需要创建表,keycloak第一次启动时会自己创建表

  • 启动命令

    docker run -d -p 18080:8080 \
--name keycloak -p 18443:8443 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
-e KC_HTTP_PORT=8080 \
-e KEYCLOAK_DATABASE_VENDOR=mysql \
-e KC_DB=mysql \
-e KC_DB_DRIVER=com.mysql.cj.jdbc.Driver \
-e KC_TRANSACTION_XA_ENABLED=false \
-e KC_DB_USERNAME=root \
-e KC_DB_PASSWORD=12345678 \
-e KC_DB_URL='jdbc:mysql://192.168.2.205:3306/keycloak?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=UTF-8&useSSL=false&allowPublicKeyRetrieval=true&autoReconnect=true' \
keycloak/keycloak:22.0.5 start-dev \

  • 注意事项
    18080是对外暴露的端口,给identity使用
    然后默认管理员密码
    设置mysql数据库,驱动,关闭 XA 事务(分布式事务)

    数据库配置链接
    https://www.keycloak.org/server/db

  • 配置权限
    camunda添加已存在keycloak服务的地址
    https://docs.camunda.io/docs/self-managed/identity/user-guide/configuration/connect-to-an-existing-keycloak/
    说明一下,identity官网的配置有问题,只能作为参考

    1. 首先创建一个名为camunda-platform的realm,realm可以看做是机构或者"工作空间"
      在这里插入图片描述

    2. 创建名为camunda-identity的client,下一步
      在这里插入图片描述

    3. 启用Client authentication,选择 Service accounts roles,下一步
      在这里插入图片描述

    4. 配置root url,也就是identity的地址,保存
      就配置一个就可以了,其他信息会有默认信息的,等到identity启动后会创建一些列的权限和配置
      在这里插入图片描述

    5. 选择Service account roles选项卡,点击Assign role ,在弹窗中修改Fileter by roles为Filter by clients,选中manage-realm,manage-users,manage-clients, 点击Assign
      在这里插入图片描述

    6. 点击Credentials,复制保存IDENTITY_CLIENT_SECRET,在下边启动identity使用
      坑人的部分来了,官网没有提到的地方,这个步骤可以在identity启动后设置

    7. 创建用户,这个是作为identity的管理用户,否则启动identity后没有用户进入不了
      我默认为camunda了,选择role mapping选项卡,根据client分配角色
      这里有个问题,可能有的权限还没有,这个可以在identity启动后再设置
      在这里插入图片描述

    8. 添加identity providers(这个也是没有提到的地方)

       选择Keycloak OpenID Connect 或者OpenID Connect
 Discovery endpoint:
 http://192.168.2.106:18080/realms/camunda-platform/.well-known/openid-configuration
 Client ID: camunda-identity
 Client Secret: 这个就是上边保存的秘钥
identity

  • 拉取镜像

    默认最新版,或者自己指定版本也行
docker pull camunda/identity

    这里默认其他camundaz组件都是按照官方配置默认接口启动的

  • 变量配置
    官方启动配置变量
    https://docs.camunda.io/docs/self-managed/identity/deployment/configuration-variables/
    这里要注意三个变量值,官网提供的有问题,没有/auth
    KEYCLOAK_URL
    IDENTITY_AUTH_PROVIDER_BACKEND_URL
    IDENTITY_AUTH_PROVIDER_ISSUER_URL

  • 启动命令

    docker run -d --name camunda-identity1 \
-p 8080:8080 camunda/identity \
java -jar /app/identity.jar \
--KEYCLOAK_URL=http://192.168.2.106:18080 \
--KEYCLOAK_REALM=camunda-platform \
--KEYCLOAK_SETUP_CLIENT_ID=camunda-identity \
--KEYCLOAK_SETUP_REALM=master \
--KEYCLOAK_SETUP_USER=admin \
--KEYCLOAK_SETUP_PASSWORD=admin \
--IDENTITY_CLIENT_ID=camunda-identity \
--IDENTITY_CLIENT_SECRET=3fZ15uFCODaMTiZbUx7vNfqz7FO6oDCV \
--IDENTITY_DATABASE_HOST=192.168.2.205 \
--IDENTITY_DATABASE_PORT=3306 \
--IDENTITY_DATABASE_NAME=keycloak \
--IDENTITY_DATABASE_USERNAME=root \
--IDENTITY_DATABASE_PASSWORD=12345678 
--IDENTITY_AUTH_PROVIDER_BACKEND_URL=http://192.168.2.106:18080/realms/camunda-platform \
--IDENTITY_AUTH_PROVIDER_ISSUER_URL=http://192.168.2.106:18080/realms/camunda-platform \
--IDENTITY_URL=http://192.168.2.106:8080

    注意:
    KEYCLOAK_REALM, 这个是realm的名字
    IDENTITY_CLIENT_ID, 这个是client的名字
    IDENTITY_CLIENT_SECRET, 这个是上边的秘钥
    IDENTITY_AUTH_PROVIDER_BACKEND_URL官方

  • 搞定
    访问identity,输入账号密码就好了,如果这里登录提示没有账号或密码,那就是上边的权限没配好,重新创建一个用户就好了

题外话

可以看看bitnami/keycloak,我一开始配置的有问题,一直以为是bitnami的问题

相关地址:

docker地址
https://hub.docker.com/r/keycloak/keycloak
github地址
https://github.com/bitnami/containers/tree/main/bitnami/keycloak
keycloak官网数据库配置
https://www.keycloak.org/server/db
keycloak启动docker
https://www.keycloak.org/getting-started/getting-started-docker
identity地址
https://docs.camunda.io/docs/self-managed/identity/what-is-identity/
identity添加keycloak独立服务
https://docs.camunda.io/docs/self-managed/identity/user-guide/configuration/connect-to-an-existing-keycloak/

衫燃愚下
关注
  • 24
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
camunda-keycloak-docker:具有Keycloak身份验证的Dockerized Camunda服务
03-27
camunda-keycloak-docker 具有Keycloak身份验证的Dockerized Camunda服务 该项目运行Postgres,PGadmin和Camunda的实例。 这里使用Camunda映像的版本,并将复制到构建过程中的配置目录中。 先决条件 码头工人 Keycloak的正在运行的实例,被配置为描述与 客户端的访问类型设置为“ Confidential 为客户端启用的服务帐户,并分配了以下服务角色(从master-realm或从realm-management ) query-users query-groups view-users 创建了一个名为camunda-admin 配置 docker-compose文件将两个文件复制到Camunda容器conf/default.yml和conf/production.yml 。 这些文件都需要为身份服务器
Camunda如何配置和使用mysql数据库
06-04 4828
Camunda默认使用已预先配置好的H2数据库数据库模式和所有必需的表将在引擎第一次启动时自动创建。如果你想使用自定义独立数据库,如何给Camunda配置mysql数据库,请遵循以下步骤: 一、新建mysql数据库Camunda平台创建一个数据库模式,名称为camunda715 二、导入SQL脚本 执行创建所有必需的表和默认索引的SQL DDL脚本。这些脚本可以在configuration/sql/create文件夹中找到。共2个脚本,都需要导入。 导入完成后的表结构,共40张表: 三、配置数据
Camunda8 能不能免费使用
liochaoo的专栏
03-17 1355
通过分析,可以看到,Camunda8 仅最底层的组件做了开源,最核心的Tasklist、Operate、Optimize 是需要企业许可证的。如果要使用 Camunda8 强大的功能,要么付费购买企业许可证,要么自研Tasklist、Operate、Optimize功能,但这绝非易事。
Camunda八】Camunda网关
菜鸟逆袭之路
04-25 4778
排他网关与驳回专讲
camunda8开发
u010711867的博客
04-02 1093
总的来看Zeebe与流程配置型的微服务是相当契合的,但是在部署Zeebe的过程中也发现了一系列的问题,比如Zeebe的Client是服务端控制的,扩容与伸缩是十分简单的,但是相应的Zeebe本身的Cluster在部署后,不支持resize,官方github的issue中也提到了相应的问题,后续可能会添加集群的resize功能,目前来看是可用的。作为Zeebe架构的核心模块,Zeebe Broker在实现集群的情况下,每个节点通过组成对等网络来保证不会出现单点故障,也就是说在网络中的所有节点都有相同的职责。
camunda流程引擎如此简单「三」用户及权限系统
qq_35789269的博客
12-26 2772
package com.camunda.demo.controller; import io.swagger.annotations.ApiOperation; import org.camunda.bpm.engine.IdentityService; import org.camunda.bpm.engine.identity.*; import org.camunda.bpm.engine.impl.identity.Account; import org.camunda.bpm.engine.im
spasso-example:示例项目演示了使用Keycloak和Spring Boot资源服务器进行基于浏览器的OpenID Connect身份验证
05-14
该存储库提供了一个示例项目,以演示基于浏览器的OpenID Connect身份验证过程,该过程涉及单个页面应用程序,外部身份提供程序和受保护的资源服务器。 单页应用程序直接在浏览器中执行授权代码流,并从身份提供者...
openunison-k8s-idm-oidc:Kubernetes的自助服务门户。 自动化名称空间的配置和访问,使用您的OpenID Connect Identity Provider验证用户
03-04
Orchestra将用户身份集成到Kubernetes中,从而实现: API服务器和LDAP基础结构之间的SSO Kubernetes仪表板的SSO 自助访问现有命名空间自助创建新的命名空间在不让系统管理员参与的情况下自动执行访问批准的工作流程...
django-oidc-provider:Djangonauts的OpenID Connect和OAuth2提供程序实现
02-04
用户以可互操作且类似于REST的方式使用。 例如 。 关于包装 django-oidc-provider可以帮助您直接提供将OpenID Connect(和OAuth2)功能添加到Django项目所需的所有端点,数据和逻辑。 支持Python 3和2。也是django...
nginx-openid-connect:NGINX Plus的OpenID Connect集成的参考实现
05-26
High level components of an OpenID Connect environment 此实现假定以下环境: 身份提供者(IdP)支持OpenID Connect 1.0 授权码流程正在使用中NGINX Plus被配置为依赖方IdP知道NGINX Plus是使用PKCE的机密客户...
3scale-security-oidc-demo:使用3scale API管理和Red Hat Single Sign On通过OpenID Connect保护API
05-06
使用3scale API管理和Red Hat Single Sign On演示使用OpenID Connect保护API的安全性是一个多产品演示,展示了如何使用Red Hat 3scale API Management和Red Hat Single Sign On来发展API的安全性。 产品与项目 ...
camunda-template:具有Spring Boot Camunda BPM集成的模板项目
02-08
camunda-template:具有Spring Boot Camunda BPM集成的模板项目
搭建Camunda工作流引擎的生产环境
06-12 1372
Camunda是一个业界著名的工作流引擎平台,其7.0社区版可以提供免费的工作流平台。这里记录以下搭建一个生产环境的过程从以下网址下载最新的7.17版本, https://downloads.camunda.cloud/release/camunda-bpm/run/7.17/下载到本地目录中Demo环境是运行自带的H2数据库,生产环境建议连接到一个独立的数据库。这里我选择的是Postgres,创建一个名为camunda数据库。获取Liquibase的镜像,docker pull liquibase/li
Camunda工作流平台与Keycloak的集成
09-28 1496
Camunda是一个流行的工作流平台,其自带了基本的用户管理功能。Keycloak是业界主流的一个提供OAUTH等协议标准的一个用户验证与授权的平台。这里介绍如何把CamundaKeycloak相集成,以实现通过Keycloak来统一管理用户的鉴权与授权,用户通过从Keycloak获取Token来调用Camunda的API。
Camunda教程|Camunda视频
热门推荐
分享牛
01-06 28万+
Camunda教程|Camunda视频因为Camunda资料是在是太少了,为此分享牛推出了一套Camunda视频 ,方便大家快速入手Camunda.目录 因为Camunda资料是在是太少了,为此分享牛推出了一套Camunda视频 ,方便大家快速入手Camunda. 课程学习地址:https://ke.qq.com/course/379585?tuin=171f2c 目录 Camunda视频目录如...
activiti5、activiti6、activiti7、flowable、camunda7、camunda8流程引擎对比分析和选型参考
03-31 4424
常见的开源工作流引擎有哪些?该如何选择?市场上比较有名的开源流程引擎有osworkflow、jbpm、activiti、flowable、camunda,其中activiti又有activiti5、activiti6、activiti7三个系列的版本,flowable分开源版和商业版,camundacamunda7和camunda8两个系列的版本,用户在OA、ERP等项目时均需要流程引擎组件,哪个功能和性能好,该如何选型呢?
如何在 ASP.NET Core 中实现中间件管道
最新发布
A_nanda的博客
05-21 4
ASP.NET Core 中的中间件是指拦截 HTTP 请求和响应的组件。它位于服务器和应用程序之间,允许您处理请求、执行逻辑和生成响应。将中间件想象成 Web 服务器和应用程序之间的友好看门人。这就像俱乐部的保镖,决定谁进去,谁不进去。ASP.NET Core 中的自定义中间件使开发人员能够将定制功能直接注入请求处理管道中。通过创建和实现中间件类,可以自定义应用程序处理传入请求和传出响应的方式。下面是自定义中间件类的示例:创建自定义中间件涉及使用遵循签名的方法实现类。
Gin框架中关于终止中间件的后续逻辑执行的讲解
qq_63644576的博客
05-17 285
当我们在中间件中终止后续逻辑执行后,Gin会停止调用下游的中间件和路由处理器。有些时候,我们可能需要在中间件中终止后续逻辑的执行,比如当用户没有登录或者请求的方法不支持时。在Gin中,我们可以通过返回一个错误来终止中间件的后续逻辑执行。这个错误会被传递给下游的中间件和路由处理器,如果它们也不能处理这个错误,那么最终会被传递给错误处理器。在Gin框架中,我们可以使用中间件来终止后续逻辑的执行,这对于实现某些业务逻辑非常有用。如果用户没有登录,中间件会返回一个401错误,并终止后续逻辑的执行。
中间件是什么?信创中间件有哪些牌子?哪家好用?
行云管家
05-21 91
当今社会,中间件的重要性日益凸显,尤其是在信创背景下,选择适合的中间件产品对于推动企业数字化转型和升级具有重要意义。今天我们就来聊聊中间件是什么?信创中间件有哪些牌子?哪家好用?仅供参考哈!
keycloak如何使用 使用OpenID Connect获取token
05-26
Keycloak是一个开源的身份认证和授权解决方案,支持多种协议,包括OpenID Connect。下面是使用OpenID Connect获取token的步骤: 1. 配置Keycloak 首先,你需要在Keycloak中创建一个Realm,并且在该Realm中创建一个Client。在创建Client时,需要选择Client Protocol为openid-connect,并设置其他相关参数。 2. 获取Authorization Code 然后,你需要使用浏览器访问Keycloak的授权页面,例如: ``` http://localhost:8080/auth/realms/<realm>/protocol/openid-connect/auth?client_id=<client-id>&response_type=code&redirect_uri=<redirect-uri>&scope=openid ``` 其中,`<realm>`是你创建的Realm名称,`<client-id>`是你创建的Client ID,`<redirect-uri>`是你的应用程序接收Authorization Code的URI。 访问该页面后,Keycloak会要求你登录,并请求授权。如果授权成功,Keycloak会将Authorization Code作为参数重定向到你的应用程序的Redirect URI处。 3. 获取Access Token 接下来,你需要使用Authorization Code向Keycloak请求Access Token。可以使用以下命令: ``` curl \ -d "grant_type=authorization_code" \ -d "client_id=<client-id>" \ -d "client_secret=<client-secret>" \ -d "code=<authorization-code>" \ -d "redirect_uri=<redirect-uri>" \ "http://localhost:8080/auth/realms/<realm>/protocol/openid-connect/token" ``` 其中,`<client-id>`是你创建的Client ID,`<client-secret>`是你创建的Client Secret,`<authorization-code>`是从Keycloak获取的Authorization Code,`<redirect-uri>`是你的应用程序接收Authorization Code的URI,`<realm>`是你创建的Realm名称。 如果一切顺利,Keycloak会返回一个包含Access Token和其他信息的JSON响应。 至此,你已经成功地使用OpenID Connect获取了Access Token。可以使用该Token访问Keycloak保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值