Dubbi configurazione flusso autenticazione CNS about keycloak-cns-authenticator HOT 1 OPEN

Ciao, suppongo che abbiate anche fatto la configurazione dell'autenticazione CNS cliccando sul comando "Actions" > "Config".
Potete fare riferimento alla seguente immagine:

(Devo decisamente trovare il tempo di scrivere un po' di documentazione su questo plugin!)

Se Keycloak torna alla schermata iniziale, vuol dire che non ha trovato un certificato CNS valido per l'autenticazione. Vi consiglio anche di dare una occhiata al contenuto del file server.log , il plugin logga i principali errori lì dentro (es. policy mancanti, certificato non presente o non valido, etc.).

Una cosa importante da tenere a mente è questa: l'autenticazione CNS è in realtà una autenticazione mutual SSL, in cui il server presenta un certificato al client e opzionalmente una serie di root certificate trusted, e se il client trova un certificato rispondente ai root cert presentati, può fornire il proprio al client per l'autenticazione. E' quindi il webserver sottostante, e non Keycloak, a gestire l'autenticazione. Questo significa che l'autenticazione andrà configurata opportunamente anche a livello di file standalone.xml.

Molto probabilmente avrete configurato già il file indicando l'opzione mutual SSL come "requested" e non come "required", visto che avete su un singolo realm più tipi di autenticazione. In tal caso, il server invia al client la trusted list di root certificate, che quindi vanno caricati nel keystore. Problema: le CNS hanno una trustlist ENORME! Ci sono centinaia di certificati root abilitati a emettere CNS, e se inserisci tutti questi certificati nel keystore, il server li manderà tutti al browser e il browser rifiuterà la connessione https perché dal suo punto di vista supera i limiti di dimensione e sembra quasi un denial of service.

La soluzione è quindi impostare l'autenticazione SSL mutual come "required", e lasciare la trusted list del server vuota. In questo modo il server chiederà esplicitamente al client l'autenticazione SSL mutual, senza inviare alcun certificato di root suggerito. Sarà poi il mio plugin a valutare se il certificato è nella trustlist.

Nel vostro scenario, questo comporta però che gli altri meccanismi di autenticazione non funzioneranno più, visto che il webserver vorrà la presentazione di un certificato per l'autenticazione mutual SSL prima di arrivare a Keycloak. Ovviamente questo non è bello, e quindi ho trovato un workaround.
Nel file standalone.xml, si può mettere Keycloak in listening su una porta aggiuntiva, e configurare l'autenticazione mutual SSL "required" solo sulla porta aggiunta. Dopodiché definite un realm separato per l'autenticazione SSL e lo esponete su un URL differente tramite reverse proxy (ad es. https://logincns.company.com).
Create poi un identity provider sul realm principale e utilizzate il realm CNS come se fosse un autenticatore remoto.

Purtroppo per la natura della tecnologia sottostante il giro è un po' complesso, ma funziona.

from keycloak-cns-authenticator.