ادغام Keycloak به عنوان ارائه‌دهنده هویت من برای IAM Identity Centre: بخش دوم، پیکربندی Keycloak به عنوان ارائه‌دهنده هویت من

این پست بعدی یکپارچه‌سازی Keycloak به‌عنوان ارائه‌دهنده هویت من برای مرکز هویت IAM است: بخش اول، استقرار Keycloak در AWS، جایی که من به نحوه استقرار Keycloak در AWS نگاه کردم تا از یک Identity Provider در هنگام پیکربندی مرکز هویت AWS استفاده کنیم. . در این پست، من می‌خواهم از این تنظیمات استفاده کنم و به شما نشان دهم که چگونه آن را برای ادغام با AWS Identity Center برای دسترسی به منابع AWS خود پیکربندی کردم.

AWS Identity Center نام جدید AWS Single Sign On است

در این راهنما یک کاربر آزمایشی (“developer@bigdev.com”) دارم که در Keycloak پیکربندی کرده ام. معمولاً این ممکن است هر کاربری باشد که Keycloak مدیریت می‌کند (از طیف گسترده‌ای از فروشگاه‌های هویت فدرال پشتیبانی می‌کند) اما من آن را برای این کار ساده می‌کنم. من می خواهم بتوانم از این حساب کاربری برای ورود به حساب AWS خود استفاده کنم.

بیایید ببینیم چگونه این کار را انجام می دهیم.

پیش نیازها

برای اینکه این پست مفید باشد، به یک سرور Keycloak نیاز دارید. اگر این را ندارید، می‌توانید پست قبلی من را امتحان کنید. جدا از یک سرور Keycloak در حال اجرا، شما نیاز دارید:

• دسترسی ادمین به حساب AWS شما که می‌خواهید Keycloak را به عنوان Idp خود ادغام کنید
• من یک کاربر و گروه آزمایشی را در AWS IAM Identity Center راه‌اندازی کرده‌ام که به کاربر خارجی در Keycloak نقشه می‌دهد.

کاربران و گروه ها در مرکز هویت AWS IAM در محدوده این پست نیست، اما در مرکز هویت AWS IAM می‌توانید گروه‌ها و مجموعه‌های مجوزها را تعریف کنید و سپس آن‌ها را به کاربران ایجاد شده اختصاص دهید. وقتی یک Idp را با مرکز هویت AWS IAM ادغام می‌کنید، این نقطه کنترل شماست تا اطمینان حاصل کنید که این کاربران فدرال چه مجوزهایی برای انجام دارند را تعریف و کنترل می‌کنید.

در این راهنما ساده ترین راه اندازی را ایجاد کردم. گروهی به نام “Dev-Users” که دارای زیرمجموعه ای از مجوزهای AWS هستند (در مورد من، PowerUsers که می توانند کارهای زیادی انجام دهند، اما نه همه چیز) و کاربری به نام “developer@bigdev.com” را که من در محیط Keycloak خود ایجاد کرده ام اختصاص داده اند. . من می توانم به عنوان “developer@bigdev.com” وارد Keycloak شوم، اما این حساب در حال حاضر نمی تواند به حساب AWS من وارد شود.

شروع کار در مرکز هویت AWS IAM

از IAM Identity Centre، روی STEP 1: Choose your Identity Source کلیک می کنم.

از اولین گزینه ای که میاد، External Identity Provider را انتخاب می کنم

سپس فایل فراداده را در بخش فراداده ارائه دهنده خدمات دانلود می کنم. در بخش بعدی به این نیاز خواهم داشت.

جابجایی به Keycloak Administrator

من اکنون به Keycloak سوئیچ می‌کنم و به‌عنوان کاربر ادمین وارد می‌شوم.

از گزینه منوی Clients در سمت چپ روی IMPORT CLIENT کلیک می کنم. از صفحه ای که ظاهر می شود، از دکمه BROWSE برای انتخاب فایل فراداده ای که از قسمت فراداده ارائه دهنده خدمات AWS دانلود می کنم، استفاده می کنم.

این باید فیلد CLIENT-ID را محبوب کند. روی SAVE کلیک کنید که اکنون مجموعه جامع تری از تنظیمات پیکربندی را ارائه می دهد که می توانید تغییر دهید.

چند گزینه وجود دارد که باید اضافه کنیم:

• نام – من این را روی “amazon-aws” تنظیم کردم
• URL ریشه – از آنجایی که من از یک نصب جدید و وانیلی Keycloak استفاده می کنم، از Realm پیش فرض استفاده کردم. این بدان معنی است که من باید این گزینه را روی “https://keycloak.ricsue.dev/auth/realms/master/protocol/saml/clients/amazon-aws” تنظیم کنم – اگر قلمرو خود را تغییر دادید، سپس “master” را به روز کنید. به هر چه قلمرو شما نامیده می شود.
• نام URL SSO آغاز شده توسط IDP – روی “amazon-aws” تنظیم شده است

توجه داشته باشید! تنظیماتی که من استفاده کرده‌ام فقط برای هدف این پست وبلاگ توضیحی است و نشان می‌دهد که باید این کار را اجرا کنید. شما باید در تنظیم این گزینه ها کاملاً مراقب باشید و معنی آنها را درک کنید تا مطمئن شوید آنچه به دست می آورید همان چیزی است که انتظار دارید.

از منوی اصلی Keycloak به تنظیمات REALM بروید و در زیر برگه GENERAL، کلیک راست کرده و اطلاعات SAML2.0 IDENTITY PROVIDER METADATA را ذخیره کنید. من این را به عنوان “provider-idp-metadata.xml” ذخیره کردم.

بازگشت به مرکز هویت AWS IAM

به مرکز هویت AWS IAM بازگردیم، هنوز در صفحه “پیکربندی ارائه دهنده هویت خارجی” ما اکنون می توانیم از دکمه “Idp SAML Metadata” برای آپلود فایلی که به تازگی دانلود کرده ایم (“provider-idp-metadata.xml”) استفاده کنیم. پس از اتمام می توانید بر روی NEXT کلیک کنید.

اکنون از شما خواسته می شود که تغییرات را با تایپ کردن در کادر تأیید بررسی و تأیید کنید. مرور کنید و در صورت رضایت، ACCEPT را تایپ کنید و سپس روی دکمه “تغییر منبع هویت” کلیک کنید.

AWS IAM Identity Center اکنون تأیید می کند که فایل فراداده ارائه شده شما معتبر است و پیکربندی را در چند ثانیه تکمیل می کند. در صورت موفقیت آمیز بودن، به کنسول AWS IAM Identity Center بازگردانده می شوید.

تست تنظیمات

از داشبورد مرکز هویت AWS IAM، می‌توانم URL پورتال دسترسی AWS خود را ببینم که پیوندی است که شما به اشتراک می‌گذارید تا کاربران فدرال خود را قادر به ورود به سیستم کنید.

وقتی روی این کلیک می کنم، به صفحه ورود به سیستم Keycloak هدایت می شوم. پس از وارد کردن اطلاعات کاربری برای کاربر آزمایشی خود (“developer@bigdev.com”) به صفحه AWS هدایت می شوم که به من امکان می دهد منابع مختلفی را که به من اختصاص داده شده مشاهده و دسترسی داشته باشم. در این مورد این فقط یک حساب AWS است.

من می‌توانم از طریق کنسول یا از طریق cli به حساب AWS خود دسترسی داشته باشم و برای انجام این کار، نشانه‌های دسترسی موقت در اختیار من قرار می‌گیرد. به این کاربر آزمایشی مجموعه مجوزهای PowerUserAccess اختصاص داده شده است (که دسترسی زیادی را فراهم می کند، اما IAM را مسدود می کند. وقتی کنسول IAM را امتحان می کنم و مشاهده می کنم، می بینیم که امتیازاتی که به این کاربر اختصاص داده شده با مجوزهای PowerUserAccess مطابقت دارد.

نتیجه

در این دو پست وبلاگ به شما نشان دادم که چگونه می توانید Keycloak را در AWS مستقر کنید و سپس آن را با مرکز هویت AWS ادغام کنید تا SSO برای حساب های AWS خود ارائه دهید.

یکی از پیشرفت‌های این راه‌اندازی، خودکار کردن ارائه کاربران در مرکز هویت AWS IAM از Keycloak است. این معمولاً با استفاده از سیستم مدیریت هویت متقابل دامنه (SCIM) که مرکز هویت IAM از آن پشتیبانی می کند، به دست می آید. اگر این مورد مورد علاقه شما است به من اطلاع دهید و من آن را به عنوان پست سوم برای تکمیل مجموعه اضافه خواهم کرد.

اگر این پست وبلاگ را مفید یافتید، لطفاً با تکمیل این نظرسنجی بسیار کوتاه در اینجا، بازخوردی به من بدهید.