Comments (1)
Ciao, suppongo che abbiate anche fatto la configurazione dell'autenticazione CNS cliccando sul comando "Actions" > "Config".
Potete fare riferimento alla seguente immagine:
(Devo decisamente trovare il tempo di scrivere un po' di documentazione su questo plugin!)
Se Keycloak torna alla schermata iniziale, vuol dire che non ha trovato un certificato CNS valido per l'autenticazione. Vi consiglio anche di dare una occhiata al contenuto del file server.log , il plugin logga i principali errori lì dentro (es. policy mancanti, certificato non presente o non valido, etc.).
Una cosa importante da tenere a mente è questa: l'autenticazione CNS è in realtà una autenticazione mutual SSL, in cui il server presenta un certificato al client e opzionalmente una serie di root certificate trusted, e se il client trova un certificato rispondente ai root cert presentati, può fornire il proprio al client per l'autenticazione. E' quindi il webserver sottostante, e non Keycloak, a gestire l'autenticazione. Questo significa che l'autenticazione andrà configurata opportunamente anche a livello di file standalone.xml.
Molto probabilmente avrete configurato già il file indicando l'opzione mutual SSL come "requested" e non come "required", visto che avete su un singolo realm più tipi di autenticazione. In tal caso, il server invia al client la trusted list di root certificate, che quindi vanno caricati nel keystore. Problema: le CNS hanno una trustlist ENORME! Ci sono centinaia di certificati root abilitati a emettere CNS, e se inserisci tutti questi certificati nel keystore, il server li manderà tutti al browser e il browser rifiuterà la connessione https perché dal suo punto di vista supera i limiti di dimensione e sembra quasi un denial of service.
La soluzione è quindi impostare l'autenticazione SSL mutual come "required", e lasciare la trusted list del server vuota. In questo modo il server chiederà esplicitamente al client l'autenticazione SSL mutual, senza inviare alcun certificato di root suggerito. Sarà poi il mio plugin a valutare se il certificato è nella trustlist.
Nel vostro scenario, questo comporta però che gli altri meccanismi di autenticazione non funzioneranno più, visto che il webserver vorrà la presentazione di un certificato per l'autenticazione mutual SSL prima di arrivare a Keycloak. Ovviamente questo non è bello, e quindi ho trovato un workaround.
Nel file standalone.xml, si può mettere Keycloak in listening su una porta aggiuntiva, e configurare l'autenticazione mutual SSL "required" solo sulla porta aggiunta. Dopodiché definite un realm separato per l'autenticazione SSL e lo esponete su un URL differente tramite reverse proxy (ad es. https://logincns.company.com).
Create poi un identity provider sul realm principale e utilizzate il realm CNS come se fosse un autenticatore remoto.
Purtroppo per la natura della tecnologia sottostante il giro è un po' complesso, ma funziona.
from keycloak-cns-authenticator.
Related Issues (4)
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from keycloak-cns-authenticator.