Что такое Keycloak для управления доступом?

Что такое Keycloak?

Keycloak — это open source решение для управления идентификацией и доступом (Identity and Access Management, IAM), разработанное Red Hat. Keycloak предоставляет современные функции аутентификации и авторизации с поддержкой стандартов OpenID Connect, OAuth 2.0 и SAML 2.0.

Основные возможности Keycloak

Single Sign-On (SSO) — единая аутентификация для множества приложений
Identity Brokering — интеграция с внешними провайдерами (Google, GitHub, LDAP)
User Federation — синхронизация с LDAP и Active Directory
Social Login — вход через социальные сети
Multi-factor Authentication — двухфакторная аутентификация
Fine-grained Authorization — детальное управление правами доступа

Когда использовать Keycloak

Keycloak отлично подходит для:

Централизованного управления пользователями в микросервисной архитектуре
Реализации SSO для корпоративных приложений
Интеграции с существующими LDAP/AD системами
Обеспечения безопасности API через OAuth 2.0
Создания customer identity платформы

Установка Keycloak

Установка через Docker:

# Запуск Keycloak с PostgreSQL
docker run -d --name postgres \
  -e POSTGRES_DB=keycloak \
  -e POSTGRES_USER=keycloak \
  -e POSTGRES_PASSWORD=password \
  postgres:13

docker run -d --name keycloak \
  -p 8080:8080 \
  -e KEYCLOAK_ADMIN=admin \
  -e KEYCLOAK_ADMIN_PASSWORD=admin \
  -e KC_DB=postgres \
  -e KC_DB_URL=jdbc:postgresql://postgres:5432/keycloak \
  -e KC_DB_USERNAME=keycloak \
  -e KC_DB_PASSWORD=password \
  --link postgres:postgres \
  quay.io/keycloak/keycloak:latest start-dev

Docker Compose конфигурация:

version: '3.8'
services:
  postgres:
    image: postgres:13
    container_name: keycloak-postgres
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: password
    volumes:
      - postgres_data:/var/lib/postgresql/data
    restart: unless-stopped

  keycloak:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloak
    environment:
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin
      KC_DB: postgres
      KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: password
      KC_HOSTNAME_STRICT: false
    ports:
      - "8080:8080"
    depends_on:
      - postgres
    command: start-dev
    restart: unless-stopped

volumes:
  postgres_data:

Создание Realm и настройка

После запуска перейди по адресу http://localhost:8080 и создай новый realm:

# Создание realm через REST API
curl -X POST "http://localhost:8080/admin/realms" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "realm": "my-app",
    "enabled": true,
    "displayName": "My Application"
  }'

Создание клиента для приложения

# Создание OpenID Connect клиента
curl -X POST "http://localhost:8080/admin/realms/my-app/clients" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "clientId": "my-web-app",
    "enabled": true,
    "protocol": "openid-connect",
    "publicClient": false,
    "standardFlowEnabled": true,
    "directAccessGrantsEnabled": true,
    "redirectUris": ["http://localhost:3000/*"],
    "webOrigins": ["http://localhost:3000"]
  }'

Интеграция с приложением на Python

Установка библиотеки:

pip install python-keycloak
poetry add python-keycloak

Пример интеграции:

from keycloak import KeycloakOpenID

# Настройка клиента
keycloak_openid = KeycloakOpenID(
    server_url="http://localhost:8080/",
    client_id="my-web-app",
    realm_name="my-app",
    client_secret_key="your-client-secret"
)

# Получение токена по логину/паролю
token = keycloak_openid.token(username="user", password="password")
access_token = token['access_token']

# Получение информации о пользователе
userinfo = keycloak_openid.userinfo(access_token)
print(f"Пользователь: {userinfo['preferred_username']}")

# Проверка токена
token_info = keycloak_openid.introspect(access_token)
if token_info['active']:
    print("Токен активен")

# Обновление токена
new_token = keycloak_openid.refresh_token(token['refresh_token'])

# Выход
keycloak_openid.logout(token['refresh_token'])

Интеграция с Django

pip install django-keycloak-auth
poetry add django-keycloak-auth

Настройка в settings.py:

# settings.py
INSTALLED_APPS = [
    # ...
    'keycloak_auth',
]

AUTHENTICATION_BACKENDS = [
    'keycloak_auth.backends.KeycloakAuthenticationBackend',
    'django.contrib.auth.backends.ModelBackend',
]

KEYCLOAK_CONFIG = {
    'KEYCLOAK_SERVER_URL': 'http://localhost:8080/',
    'KEYCLOAK_REALM': 'my-app',
    'KEYCLOAK_CLIENT_ID': 'django-client',
    'KEYCLOAK_CLIENT_SECRET': 'your-client-secret',
}

Настройка LDAP интеграции

Keycloak может интегрироваться с существующими LDAP серверами:

# Создание LDAP федерации через API
curl -X POST "http://localhost:8080/admin/realms/my-app/components" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "ldap-provider",
    "providerId": "ldap",
    "providerType": "org.keycloak.storage.UserStorageProvider",
    "config": {
      "connectionUrl": ["ldap://ldap.company.com:389"],
      "usersDn": ["ou=Users,dc=company,dc=com"],
      "bindDn": ["cn=admin,dc=company,dc=com"],
      "bindCredential": ["admin-password"]
    }
  }'

Настройка социальных провайдеров

Добавление Google OAuth:

# Создание Google identity provider
curl -X POST "http://localhost:8080/admin/realms/my-app/identity-provider/instances" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "alias": "google",
    "providerId": "google",
    "enabled": true,
    "config": {
      "clientId": "your-google-client-id",
      "clientSecret": "your-google-client-secret"
    }
  }'

Настройка двухфакторной аутентификации

Включение OTP (One-Time Password):

# Настройка OTP policy
curl -X PUT "http://localhost:8080/admin/realms/my-app/authentication/required-actions/CONFIGURE_TOTP" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "enabled": true,
    "defaultAction": true
  }'

Мониторинг и метрики

Keycloak предоставляет метрики через Micrometer:

# Включение метрик
KC_METRICS_ENABLED=true
KC_HEALTH_ENABLED=true

# Доступ к метрикам
curl http://localhost:8080/metrics
curl http://localhost:8080/health

Настройка в Kubernetes

Пример Helm values для production:

# values.yaml для Keycloak Helm chart
postgresql:
  enabled: true
  auth:
    database: keycloak
    username: keycloak
    password: keycloak-password

auth:
  adminUser: admin
  adminPassword: admin-password

service:
  type: ClusterIP

ingress:
  enabled: true
  hostname: keycloak.example.com
  tls: true

resources:
  requests:
    memory: 512Mi
    cpu: 500m
  limits:
    memory: 1Gi
    cpu: 1000m

Best Practices

Используй отдельные realms для разных приложений или окружений
Настраивай правильные redirect URIs для безопасности
Включай логирование и мониторинг для аудита
Используй короткие сроки жизни токенов с refresh tokens
Регулярно обновляй Keycloak до последних версий

FAQ

Подходит ли Keycloak для продакшена?

Да, Keycloak широко используется в production средах и поддерживается Red Hat. Многие крупные компании используют Keycloak для управления миллионами пользователей.

Какие требования к инфраструктуре?

Минимальные требования: 2 ГБ RAM, 1 CPU core, внешняя база данных. Для production рекомендуется кластерная конфигурация с load balancer.

Можно ли мигрировать с других IAM систем?

Да, Keycloak поддерживает импорт пользователей и может интегрироваться с существующими системами через LDAP, SAML или custom SPI.

Что такое Keycloak для управления доступом?

Open source решение для управления идентификацией и доступом с поддержкой SSO и OIDC