开源身份认证与访问管理平台 - Keycloak(一)

原创 已于 2026-05-13 16:56:23 修改 · 537 阅读 · 11 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#开源 #云原生 #docker #kubernetes #devops
于 2026-04-29 15:55:58 首次发布

目录

一、简介

二、核心概念

2.1 Realm

2.2 Client

2.3 User与Group

2.4 Role

2.5 Identity Provider

2.6 Token

三、Keycloak架构

3.1 认证流程      

四、部署配置

4.1 部署Keycloak

4.2 反向代理(HTTPS)

4.3 管理员Web UI

五、Active Directory(AD)集成

5.1 准备AD测试用户和组

5.2 Keycloak配置LDAP用户联邦

5.3 LDAP属性映射

一、简介

        Keycloak是由Red Hat开源的企业级身份认证与访问管理(IAM)平台,基于OAuth 2.0、OpenID Connect(OIDC)和SAML 2.0协议,为应用提供统一的单点登录(SSO)解决方案。

        无论是内部研发工具(GitLab、Jenkins、Harbor、ArgoCD等),还是面向用户的Web应用,Keycloak都能作为统一的认证网关,实现"一处登录、全站通行"的效果。

        核心能力一览:

能力说明
单点登录 (SSO)一次认证,访问多个系统
多协议支持OAuth 2.0 / OIDC / SAML 2.0
多因素认证 (MFA)TOTP / WebAuthn / 短信验证码
用户联邦对接 LDAP / Active Directory
细粒度授权Role-Based / Attribute-Based 权限控制
Admin Console可视化管理界面

二、核心概念

        在深入实战之前,先理解Keycloak的几个关键概念:

2.1 Realm

        Realm是Keycloak的最顶层隔离单元,相当于一个独立的租户空间。每个Realm有自己的用户、客户端、角色和配置,互相隔离互不影响。

  • master Realm:管理员专用,用于管理其他Realm
  • 业务Realm:例如tools-devops,承载你的所有业务系统

2.2 Client

        Client代表需要接入Keycloa 的应用系统,例如GitLab、Jenkins都可以是Client。每个Client 有自己的Client ID、Secret和回调地址配置。

2.3 User与Group

        用户可以在Keycloak本地创建,也可以通过用户联邦从LDAP/AD同步。

        Group用于批量管理用户权限。

2.4 Role

        主要了解Role有两种类型:

  • Realm Role:全局角色,跨Client有效
  • Client Role:特定Client下的角色

2.5 Identity Provider

        允许Keycloak作为代理,接入外部IdP(如企业 LDAP、SAML IdP),实现身份联邦。

2.6 Token

        Keycloak颁发三种JWT Token给接入的Client:

  • ID Token: 包含用户身份信息,用于前端解析
  • Access Token: 访问资源服务器,短效(默认 5 分钟)
  • Refresh Token: 刷新 Access Token,长效(默认 30 分钟)

三、Keycloak架构

3.1 认证流程      

用户第一次访问的认证流程:  

        假设访问的是Gitlab,如架构图所示,会经过完整的①②③④⑤⑥⑦⑧流程,其中除了③用户提交账号密码,其他步骤都是用户无感知的。

用户第二次访问的认证流程:  

        假设访问的是Grafana,浏览器里已经存在Keycloak的Cookie和Gitlab的Cookie,没有Grafana的Cookie,显然可以推断出,会经过①②⑤⑥⑦⑧流程,静默完成登录认证,用户全程无感知。

        注意这里有前提:SSO Session还在有效期内(⑤流程的验证session),如果不在有效期内,会返回流程③。

四、部署配置

4.1 部署Keycloak

        本示例采用Docker Compose快速部署:

# docker-compose.yml

services:
  postgres:
    image: postgres:15
    container_name: keycloak-postgres
    restart: always
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: [*这里设置数据库密码*]
    volumes:
      - ./data/postgres:/var/lib/postgresql/data
    networks:
      - keycloak-net

  keycloak:
    image: quay.io/keycloak/keycloak:26.5
    container_name: keycloak
    command:
      - start
    restart: always
    environment:
      KC_DB: postgres
      KC_DB_URL_HOST: postgres
      KC_DB_URL_DATABASE: keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: [*这里填上面的数据库密码*]
      #前端代理的真实域名
      KC_HOSTNAME: https://keycloak.tools.devops.com
      KC_HTTP_ENABLED: true
      KC_PROXY_HEADERS: xforwarded
      # 管理员
      KC_BOOTSTRAP_ADMIN_USERNAME: admin
      KC_BOOTSTRAP_ADMIN_PASSWORD: [*这里填Keycloak管理员密码*]

      # metrics & health
      KC_METRICS_ENABLED: "true"
      KC_HEALTH_ENABLED: "true"
      KC_CACHE: local
      # 日志
      KC_LOG_LEVEL: INFO
      KC_LOG: console,file
      KC_LOG_FILE: /opt/keycloak/log/keycloak.log
    ports:
      - "8082:8080"
    volumes:
      - ./data/keycloak:/opt/keycloak/data
      - ./logs:/opt/keycloak/log
    depends_on:
      - postgres
    networks:
      - keycloak-net
networks:
  keycloak-net:
    driver: bridge

4.2 反向代理(HTTPS)

        由于我的测试环境不方便申请域名证书,我们准备自签名证书:

#!/bin/bash
set -e

# ========================
# 1. Root CA
# ========================
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=IT/CN=MyRootCA"

# ========================
# 2. Server certificate (for *.tools.devops.com)
# ========================
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr \
  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=IT/CN=*.tools.devops.com"

cat > server_ext.cnf <<EOF
subjectAltName=DNS:*.tools.devops.com,DNS:tools.devops.com
extendedKeyUsage=serverAuth
keyUsage=digitalSignature,keyEncipherment
EOF

openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial \
  -out server.crt -days 825 -sha256 -extfile server_ext.cnf

# ========================
# 3. Combine full chain (for OCI upload)
# ========================
# OCI 里需要:server.crt, server.key, certificate chain
# certificate chain = rootCA.pem
cp rootCA.pem ca-chain.pem

echo "✅ Done!"
echo "Upload to OCI LB:"
echo "  Certificate       -> server.crt"
echo "  Private Key       -> server.key"
echo "  Certificate Chain -> ca-chain.pem"
echo ""
echo "Install on client:"
echo "  Root CA -> rootCA.pem (导入到受信任的根证书颁发机构)"

        执行上面的脚本生成*.tools.devops.com域名证书,配置到反向代理上。

        我们以OCI负载均衡+Nginx为例:

#Nginx配置文件片段

http {
    upstream keycloak_web {
        server [Keycloak服务器IP地址]:8082;
    }
    server {
        listen 8080;
        server_name keycloak.tools.devops.com;
        location / {
            proxy_pass http://keycloak_web;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

        (可选步骤)根证书通过内网AD或者其他方式植入终端信任列表中。

4.3 管理员Web UI

        现在可以通过域名安全的访问管理员Web UI,进行后面的配置:

        新建realm:tools-devops,避免直接用master空间。然后切换到tools-devops,后续所有操作都在这个realm中。

五、Active Directory(AD)集成

        首先我们将Keycloak对接公司AD域,实现用户从AD同步,直接使用AD账号密码登录Keycloak,避免手动维护多套用户数据。

注意:

1.从AD同步到Keycloak的数据包含user、group、所属关系。

2.后续各个业务系统的RBAC权限控制都会绑定Groups(本示例以infra模拟管理员组,以dev模拟开发组)。

5.1 准备AD测试用户和组

        创建如下两个普通用户和两个安全组(zhangsan在infra组,lisi在dev组),创建Domain Users权限的keycloak用户给Keycloak配置使用。

5.2 Keycloak配置LDAP用户联邦

        找到User Federation菜单(不同版本位置可能稍有区别),填写LDAP配置:

        测试环境可以直接按照上面配置(生产建议用ldaps://ad.example.com:636),然后点击Test authentication,返回“Successfully connected to LDAP”即成功。

5.3 LDAP属性映射

        Mappers菜单可以根据需要定义属性映射,比如我们手动添加first name:

        手动添加groups:

        点击Sync菜单先把Groups同步过来:

        由于之前设置的Full sync period是86400,也就是每天自动同步一次。这里直接点击Sync all users立即手动触发全量同步:

        回到Users菜单,可以看到用户和所属组都正确同步过来了:

        接下来我们会在开源身份认证与访问管理平台 - Keycloak(二)中演示与各个系统的集成。

开源身份和访问管理方案之keycloak)快速入门
西京刀客
02-09 3830
Keycloak开源**身份和访问管理**。它为应用程序添加了身份验证,并以最少的工作量保护服务。此外,它还提供用户联合、强身份验证、用户管理、精细授权等。
Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
cr7258的博客
04-06 4958
API Server 作为 Kubernetes 的网关,是用户访问管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。 1 OpenID Connect(OIDC)介绍 OAuth(Open Authorization)是个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息
5分钟上手Keycloak:零代码搭建企业级身份认证服务
gitblog_01011的博客
09-24 571
你是否还在为应用系统的用户认证发愁?手动实现登录注册、权限管理不仅耗时耗力,还可能存在安全隐患。本文将带你使用Keycloak——开源的身份和访问管理(IAM)解决方案,在5分钟内完成从安装到配置的全流程,让你的应用轻松拥有企业级认证能力。读完本文后,你将掌握Keycloak的基本部署、 Realm 创建、用户管理和客户端配置方法。 ## Keycloak简介 Keycloak开源的...
本地使用 Keycloak 进行 Spring Boot 应用的身份验证的详细方法
weixin_45428910的博客
10-10 1589
本地使用 Keycloak 进行 Spring Boot 应用的身份验证的详细方法
Testcontainers Keycloak:Java微服务身份认证测试的容器化解决方案
最新发布
weixin_27268733的博客
05-12 353
在微服务架构中,身份认证授权是保障应用安全的核心环节,其实现原理通常基于OAuth 2.0、OpenID Connect等标准协议。为了确保安全机制的正确性,开发者需要在测试阶段验证令牌颁发、角色校验等关键流程。传统测试方法依赖共享的固定环境或模拟器,存在环境差异大、测试数据易污染等问题,难以保证测试的可靠性致性。Testcontainers技术通过容器化外部依赖,为这类集成测试提供了优雅的解决方案。它允许在测试代码中以编程方式启动、配置并管理Docker容器(如数据库、消息中间件),从而确保测试环境
Keycloak:现代应用的身份访问管理
weixin_42592399的博客
07-28 1260
Keycloak开源的IAM(身份和访问管理)解决方案,最初由Red Hat开发,旨在简化用户身份的管理工作。它为现代的Web应用、服务和微服务提供全面的认证和授权服务。Keycloak支持多种协议和标准,包括OpenID Connect、OAuth 2.0等,使得用户可以更方便地集成多种应用程序和服务。随着企业业务需求的多样化和用户期望的提高,自定义认证流程成为了IAM中个关键的需求。个性化用户体验能够提升系统的可用性和用户满意度。// 前端代码片段,用于动态调整界面主题颜色})
keycloak基于servlet的用户身份认证
weixin_42786532的博客
11-12 1229
keycloak基于servlet的用户身份认证 servlet基于AuthenticatorBase的安全认证 个servlet通过个叫authenticator的阀门(valve)来支持安全性限制。当容器启动的时候,authenticator被添加到容器的流水线上(整条流水线:StandardEngineValve->StandardHost->ErroReportValve->StandardContextValve->AuthenticatorValve->Sta
基于 kubernetes 部署 Keycloak 并集成 Harbor 实现统身份认证
qq_62935472的博客
08-12 1501
Keycloak开源的身份和访问管理(IAM)工具,支持OIDC、OAuth 2.0、SAML等协议。它通过领域(Realm)管理项目工作区,客户端(Client)管理应用程序,适配器(Adapter)实现集成。在Kubernetes集群中部署Keycloak时,可通过官方提供的yaml文件配置StatefulSet,设置管理员账号、代理头、缓存等参数,并配置健康检查、数据库连接等。部署完成后,Keycloak可作为统认证中心,为微服务架构提供身份验证和授权服务。
Keycloak介绍
weixin_44227567的博客
03-26 4788
Keycloak开源的身份和访问管理解决方案,它提供了单点登录(SSO)功能。Keycloak 支持多种标准协议,包括 OpenID Connect 和 OAuth 2.0,这使得它能够各种服务进行集成,以提供身份验证和授权功能。单点登录(SSO):允许用户使用单的凭证访问多个相关但独立的系统或应用。OpenID Connect 和 OAuth 2.0:支持这些行业标准协议,便于其他系统和服务集成,如GitHub、Google和Facebook等社交媒体平台。用户管理和身份验证。
用户鉴权方式keycloak
green hand的博客
10-21 2854
Keycloak 的客户端(Client)认证服务器进行交互的应用程序或服务。客户端使用认证务器颁发的访问令牌来访问受保护的资源。Keycloak支持各种类型的客户端,如Web 应用、移动用和后端服务。客户端是指代表应用程序或服务的实体,它可以是Web 应用程序、移动应用程后端 API或其他Keycloak进行身份认证和授权交互的实体。
开源身份认证访问管理平台 - Keycloak(二)
fzw1030的博客
04-29 612
本文介绍了Keycloak多个系统的集成配置方法,主要包括Jenkins、Gitlab、Kibana和Grafana。详细说明了每个系统在Keycloak中的客户端配置步骤,包括创建Client、设置groupsmapper和Credentials等关键参数。同时提供了各系统的具体配置示例,包括权限映射配置。最后验证了单点登录效果和权限控制功能,展示了Keycloak作为统身份认证平台实现跨系统无缝登录和基于用户组的权限管理能力。
Docker 安装 Keycloak 开源身份认证服务
花伤情犹在的博客
03-17 1369
Keycloak功能众多,可实现用户注册、社会化登录、单点登录、双重认证 、LDAP集成等功能。
Keycloak on AWS:构建高可用的身份认证访问管理系统
gitblog_00516的博客
09-15 827
Keycloak on AWS:构建高可用的身份认证访问管理系统 项目介绍 在当今的数字化时代,安全性和用户管理是每个应用程序的核心需求。为了满足这需求,Keycloak 应运而生,它是开源的身份和访问管理解决方案,旨在简化应用程序的安全性。然而,将 Keycloak 部署在云环境中,尤其是 AWS 上,需要考虑高可用性、资源隔离和安全性等多方面因素。 Keycloak on AWS 项目...
MinIO集成Keycloak实现统身份认证的技术实践
gitblog_07619的博客
06-25 555
在企业级对象存储解决方案中,身份认证是确保数据安全的重要环节。MinIO作为高性能的对象存储系统,支持Keycloak开源身份和访问管理解决方案集成,实现统认证。本文将详细介绍如何正确配置MinIOKeycloak的集成方案。 ## 环境准备 - MinIO版本:RELEASE.2024-03-10T02-53-48Z - Keycloak版本:24.0.1 - 部署方式:Docker容器...
Keycloak的使用
持之以恒2016
03-30 1822
简介 Keycloak以最小的麻烦为应用程序和安全服务添加身份验证。我们不需要再处理用户存储或者用户验证的事情,Keycloak可以开箱即用。 安装运行 方式:普通程序 下载 https://www.keycloak.org/downloads.html 执行 $ tar -xvzf keycloak-12.0.4.tar.gz $ cd bin $ ./standalone.sh 方式二:docker KEYCLOAK_USER=admin是创建的用户名 KEYCLOAK_PASSWORD=adm
Keycloak介绍(开源身份认证访问控制解决方案)Realm租户、User用户、身份代理、用户联合、LDAP、自定义SPI、多因素认证MFA、硬件密钥WebAuthn、自定义扩展SPI、IAM平台
Dontla的博客
04-30 592
Keycloak开源身份认证访问控制解决方案,由 Red Hat 主导开发。它的目标是:👉让开发者无需重复造轮子,就能快速为应用接入安全的认证授权能力单点登录(SSO)用户管理身份代理(Identity Brokering)社交登录(如 Google、GitHub)多因素认证(MFA)细粒度访问控制自定义认证流程自定义用户存储自定义事件监听SPI 服务提供者接口,是Java中的种扩展机制,允许开发者自定义实现特定接口来扩展系统功能。
Keycloak实战指南:从零搭建SSO系统高效用户认证方案
weixin_42539414的博客
04-15 162
本文详细介绍了如何使用Keycloak从零搭建SSO系统,实现高效用户认证方案。通过Docker快速部署、基础配置初始化、登录验证实现及高级功能实战技巧,帮助开发者掌握单点登录(SSO)集中式用户管理。特别适合多子系统登录、第三方登录对接及跨技术栈场景。
企业身份认证系统选型:Azure AD Keycloak 功能详解
nielilijy的专栏
09-30 1165
本文对比了Azure AD和Keycloak两大身份认证解决方案。Azure AD作为微软企业级服务,具有微软生态深度集成、SaaS模式、高安全性等特点,适合企业办公系统和混合云环境。Keycloak作为开源解决方案,支持高度定制化和私有化部署,更适合微服务架构和DevOps场景。主要差异体现在:协议支持、用户管理、运维模式、安全性和扩展性等方面。建议根据企业技术栈和需求选择,微软生态用户可选Azure AD,需要定制化的项目推荐Keycloak,也可考虑混合使用方案。
NoobGG游戏平台基于Keycloak身份认证架构设计实现
gitblog_07175的博客
06-16 480
NoobGG游戏平台基于Keycloak身份认证架构设计实现 引言 在现代Web应用开发中,安全可靠的身份认证系统是基础架构的重要组成部分。本文将详细介绍如何为NoobGG游戏平台设计和实现基于Keycloak身份认证架构,从基础环境搭建到生产环境部署的全过程。 Keycloak简介 Keycloak开源的身份和访问管理解决方案,由Red Hat开发维护。它提供了完整的单点登录(SSO...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值