Недавно компания Red Hat выпустила новый сервер единой идентификации на основе технологий Keycloak. Теперь вы можете пользоваться готовым и полностью поддерживаемым поставщиком удостоверений на основе SAML 2.0 или OpenID Connect, который связывает корпоративный каталог пользователей или стороннего поставщика удостоверений с вашими приложениями при помощи стандартных маркеров. Keycloak — это система нового поколения, которая заменяет технологию PicketLink связующего программного обеспечения JBoss. В будущем Keycloak обеспечит единый вход в Red Hat Cloud Suite и такие системы управления, как Red Hat Satellite.
Обзор возможностей
По сути, Keycloak — это поставщик удостоверений на основе SAML 2.0 или OpenID Connect; его возможности и настройка подробно описаны на портале для пользователей.
Поддержка клиентов
В состав Keycloak входит центральный сервер идентификации, к которому клиенты, имеющие соответствующий адаптер или модуль, подключаются с помощью конфигурации управления удостоверениями.
Keycloak поддерживает множество различных клиентов, в числе которых:
● Red Hat JBoss Enterprise Application Platform версий 6.4 и 7.0;
● Red Hat JBoss Fuse 6.2 (в виде ознакомительной технической версии);
● Red Hat Enterprise Linux 7.2 (с помощью модуля mod_auth_mellon для SAML 2.0).
Интеграция удостоверений
Keycloak можно использовать для интеграции пользователей с помощью служб каталогов на основе LDAP, в числе которых:
● Microsoft Active Directory;
● RHEL Identity Management.
Keybloak также поддерживает Kerberos на основе SPNEGO при использовании Microsoft Active Directory и RHEL Identity Management.
Работа с посредниками по авторизации
Keycloak интегрируется с поставщиками входа в системы через социальные сети, в том числе:
● Facebook;
● Google;
● Twitter.
Интерфейсы администрирования
Управлять сервером Keycloak, областями идентификации и клиентами можно с помощью веб-интерфейса или набора REST API. Это позволяет решать весь комплекс задач при проектировании среды идентификации, в том числе назначать роли пользователям, регистрировать клиентов, интегрировать пользователей и обеспечивать авторизацию через посредников.
Цикл подписки и поддержки
На текущий момент единая идентификация пользователей доступна в составе пакета JBoss Core Services Collection с 3-летним циклом поддержки. Мы планируем предлагать систему единой идентификации пользователей на основе Keycloak в виде службы платформы контейнеров Red Hat OpenShift Container Platform и платформы приложений Red Hat Mobile Application Platform, а также в виде интегрированного поставщика удостоверений для платформы Red Hat OpenStack Platform.
В долгосрочной перспективе Keycloak станет центральным компонентом идентификации пользователей и клиентов, а также интеграции поставщиков удостоверений. Он охватит существующую инфраструктуру, в том числе внутренние каталоги пользователей или внешних облачных поставщиков удостоверений (например, социальные сети) и обеспечит единый вход в продукты Red Hat и интеграцию удостоверений.
