Zugriffsverwaltung über Keycloak

Keycloak ist eine Open Source-Lösung zur Identitäts- und Zugriffsverwaltung. Keycloak fungiert auch als Identity Broker und unterstützt Benutzerkonten aus sozialen Netzwerken. Damit Sie Keycloak zur Benutzer-Anmeldung verwenden können, muss Keycloak Server-seitig konfiguriert und ein Keycloak-Client installiert werden.

Keycloak verwendet rollenbasierte Zugriffsberechtigungen. In Keycloak definieren Sie Rollen und Benutzer und ordnen diese zu. Die Keycloak-Rollen werden dann den ELIAS-Rollen Info, Benutzer und Administrator zugeordnet.

Keycloak konfigurieren

  1. Erstellen Sie in der Keycloak-Administrationskonsole einen Realm für Ihre Umgebung.

  2. Erstellen Sie Ihren Keycloak-Client.

  3. Erstellen Sie in Ihrem Client Rollen und Benutzer. Ordnen Sie jedem Benutzer eine Rolle zu.

    In ELIAS können nur Keycloak-Rollen (und keine Keycloak-Benutzer) zugeordnet werden. Um Differenzierungen bei den Zugriffsrechten oder dem zugewiesenen Container zu erreichen, definieren Sie für jede Kombination eine eigene Keycloak-Rolle.

  4. Laden Sie aus Ihrem Client im Register Installation die Keycloak-Konfigurationsdatei als Keycloak OIDC JSON herunter.

  5. Fügen Sie die Keycloak-Konfigurationsdatei keycloak.json im ELIAS-Installationsverzeichnis (Beispiel: C:\Program Files\Unicon\Scout\ELIAS) ein.
    Alternativ speichern Sie die Datei in einem anderen Verzeichnis, das Sie während der ELIAS-Installation angeben. Die Keycloak-Konfigurationsdatei wird dann als keycloak.json ins Installationsverzeichnis kopiert.

ELIAS nach der Installation für Keycloak konfigurieren

  1. Kopieren Sie die Keycloak-Konfigurationsdatei keycloak.json manuell in das ELIAS-Installationsverzeichnis.
  2. Aktivieren Sie in den ELIAS-Einstellungen > Authentifizierung die Option Keycloak-Anmeldung verwenden.

Zertifikate für HTTPS-Verbindung installieren

Voraussetzung 

Für die Keycloak-Anmeldung über einen gesicherten Keycloak-Server benötigen Sie Webserver-Zertifikate.

  1. Erstellen Sie im ELIAS-Installationsverzeichnis ein neues Verzeichnis mit Namen certificates.

  2. Kopieren Sie Ihre Webserver-Zertifikate (Intermediate und Root) in das Verzeichnis. Die Zertifikatdateien können vom Typ .pem oder .crt sein.

  3. Kopieren Sie die Zertifikate zusätzlich in den Zertifikatspeicher Ihres Browsers.