Jednotné přihlášení uživatelů s Keycloak SSO
Co je SSO (single sign-on)
Podstatou SSO je, že namísto množství přihlašovacích atributů (zpravidla přihlašovací jméno a heslo do každé aplikace/služby), si uživatel musí pamatovat pouze jeden atribut. Ostatní atributy si za něj pamatuje systém SSO, takže soulad se všemi politikami a požadavky není dotčen. SSO se může stát branou do systémů násobných, spojených, ale i zcela nezávislých.
Důvod vzniku a existence SSO je prostý. V reálném světě existuje silný tlak na různé přihlašovací atributy. Názorně je to vidět na problematice hesel, kde jsou kladené různé požadavky na jejich minimální délku, na strukturu (velká a malá písmena, speciální znaky, číslice apod.), na četnost změn, na nepoužívání již jednou použitých hesel ve stejném systému apod. Jenomže tato vynucená složitost je často kontraproduktivní. Opravdu je reálné, aby si běžný uživatel pamatoval desítky dlouhých a často měněných hesel? Nevede to naopak k obcházení bezpečnostních politik?
SSO tyto problémy řeší, což vede ke zvýšení produktivity, kdy dochází k automatickému přihlášení do různých systémů, takže uživatel se mezi nimi pohybuje jako by šlo o jednu aplikaci nebo službu. Dalším přínosem je menší počet zásahů technické podpory a nutnosti řešit problémy. K plusům lze připočíst i vyšší bezpečnost právě díky tomu, že nedochází k šizení bezpečnostních nastavení. V neposlední řadě je to pak soulad s bezpečnostními politikami nebo legislativou.
Naše řešení single sign-on? Podívejte se na krátké video!
Co je Keycloak SSO
Jednou z nejlepších implementací SSO je Keycloak. Keycloak je opensource řešení založené na Javě s enterprise podporou vyvíjené pod americkou firmou Red Hat Software. Keycloak je moderní projekt, který využívá technologie jako je sociální přihlášení, OAuth2 a OpenShift. Obsahuje management konzoli pro správu účtů, administrační konzoli a možnost definovat workflow pro účty.
Keycloak je možno integrovat s produkty třetích stran jako je např. Active Directory, Facebook, Twitter, LDAP atd. Je možné ho provozovat v clusteru (High Availability) a zaintegrovat ho do současných aplikací buď pomocí webových služeb nebo skinováním přihlašovací stránky SSO. Keycloak je schopen rychle a spolehlivě nahradit mnohonásobná přihlášení do různých systémů způsobem jednotného přihlášení do všech propojených systémů najednou.
Potřebuji SSO
SSO nabízí největší přidanou hodnotu ve chvíli, kdy používate alespoň dvě a více aplikací či služeb, které potřebují přihlášení uživatelů (nebo jiných služeb, které se musí autorizovat k systému).
Níže je uveden seznam pro volbu SSO:
- Vaši uživatelé se přihlašují ke 2 nebo více aplikacím/službám?
- Budete potřebovat přihlašovat uživatele k dalším aplikacím/službám v budoucnu?
- Chcete nabídnout uživatelům možnost použít více než jeden způsob přihlašování?
- Chcete nabídnout uživatelům možnost snadno používat vaše systémy a služby?
- Potřebujete mít přehled o všech uživatelích a jejich rolích?
- Chcete urychlit vývoj nových aplikací, které potřebují přihlášení?
- Chcete, aby nedocházelo k obcházení bezpečnostních politik?
Vyzkoušejte naši File Explorer Demo aplikaci s přihlášením přes Keycloak SSO!
Proč Keycloak SSO
Kecloak je narozdíl od jiných SSO řešení zdarma s možností přikoupit enterprise podporu. To mu dává obrovský náskok při zavádění a nebo při nahrazování starého SSO řešení. Zákazníci platí pouze odborníky, kterí dokáží systém Keycloak zavést do provozu a dále již žádné licence ani jiné poplatky neplatí. Tento způsob dělá z Keycloak nejvýhodnější SSO řešení posledních let o čemž vypovídá jeho masivní nasazování u světových společností.
Níže je uveden seznam pro volbu Keycloak SSO:
- Cena - finančně nejvýhodnější SSO řešení na trhu.
- Integrace se stávajícím řešením - možnost integrovat Open LDAP a Active Directory pomocí konektoru.
- Moderní technologie - OpenID Connect a SAML 2.0 SSO pro Single Log Out v aplikácích v prohlížeči
- Identity a sociální brokery - možnost snadno se napojit na Twitter, Google, Facebook atp. a nebo delegovat požadavky přes SAML 2.0 a OIDC.
- Bezpečnostní politiky - možnost snadno nastavit politiky hesel a revokací.
- Impersonace - možnost přihlášení administrátorů za uživatele pro snadné a rychlé řešení problémů uživatelů.
- Témata - Keycloak umožňuje snadné stylování přihlašovací stránky, administrátorské konzole, konzole pro správu účtů, emailů. Celý systém je plně lokalizovaný.
- Moderní řešení - Keycloak obsahuje REST API pro volání všech funkcí SSO jako je přihlášení, odhlášení, refresh tokenu uživatele atp.
Na stránkách Keycloak je možné se dozvědět více o výhodách tohoto řešení.
Naše řešení
Našim klientům nabízíme možnost zabudovat Keycloak SSO a integrovat ho se stávajícími systémy. Klientům dále pomáháme s napojením služeb a aplikací, které Keycloak používají pro autorizaci a autentizaci uživatelů, buď formou konzultací a školení nebo přímo vývojem v Java.
U některých projektů jsme také realizovali napojení Keycloak na systémy Big Data, kde se ukládají dodatečné informace o uživatelích a je možno dále generovat a analyzovat různé data a najít tak nové obchodní příležitosti pro naše klienty. Není ani vyjímkou realizovat veškerá volání na Keycloak přes Mule ESB a tím zpřehlednit infrastrukturu systémů klientů. Data získaná z volání Keycloak dále zpracovat a odeslat do dalších návazných systémů přímo z Mule ESB.
Stručně některé naše projekty a statistiky
- Nasazení a modifikace Keycloak - mnoho produkčních nasazení (včetně přizpůsobení), které našim klientům umožňujé používat SSO.
- 2-fázová autentizace - komponenta pro Keycloak umožňující použití 2-fázové autentizace pro koncové uživatele pomocí sms zpráv a emailů.
- Bezpečnost služeb - komponenta s vysokou propustností umožňující autentizaci a autorizaci služeb přes http/https proti Keycloak.
- Připojení na legacy systémy - skupina několika komponent přidávající možnosti autentizace a autorizace proti legacy systémům zákazníka.
- Federace Big Data - federace uživatelů a rolí z Elastic a OrientDB.
- Token cachování - nový subsystém pro Keycloak zajišťující cachování a nabízení SSO tokenů pro zákazníkovy uživatele a služby třetích stran.