atrybuty Keycloak - Inero Software - Rozwiązania IT i Konsulting

Zaufane urządzenia w Keycloak

Marta Kuprasz — Thu, 06 Mar 2025 09:50:09 +0000

Uwierzytelnianie użytkowników w systemach IT wiąże się z koniecznością znalezienia kompromisu między wygodą a bezpieczeństwem. Z jednej strony użytkownicy oczekują jak najmniejszej liczby kroków przy logowaniu, z drugiej strony konieczne jest zabezpieczenie dostępu do systemu przed nieautoryzowanym użyciem. Jednym z rozwiązań pozwalających na elastyczne zarządzanie poziomem zabezpieczeń jest mechanizm zaufanych urządzeń, który umożliwia użytkownikowi ograniczenie liczby wymaganych kroków logowania dla znanych i bezpiecznych urządzeń.

Im bardziej zacieśniamy politykę bezpieczeństwa, tym większa uciążliwość dla użytkownika.– to odwieczny dylemat administratorów systemów. Długie i skomplikowane hasła, częsta ich zmiana, czy dodatkowe składniki uwierzytelniania zwiększają ochronę, ale jednocześnie prowadzą do tego, że użytkownicy szukają sposobów na obejście procedur – zapisują hasła w notatniku lub w przeglądarkach.

Zaufane urządzenia – jak to działa?

Domyślnie Keycloak nie rozpoznaje i nie zapamiętuje urządzeń, dlatego każda sesja traktowana jest niezależnie. Dzięki rozszerzeniom można jednak dodać obsługę zaufanych urządzeń, co pozwala użytkownikowi pominąć część kroków przy kolejnym logowaniu.

CTO Inero Software, Waldemar Korłub, podkreśla:

„Stąd właśnie koncepcja zaufanych urządzeń – za pierwszym razem musimy przejść przez wszystkie kroki, ale potem aplikacja może na przykład zrezygnować z pytania o kod logowania dwuskładnikowego.”

Po oznaczeniu urządzenia jako „zaufane” system może przechowywać jego status przez określony czas, co pozwala na uproszczone logowanie. Użytkownik może nadal być okresowo proszony o ponowne uwierzytelnienie w celu zapewnienia bezpieczeństwa.

Czy zapamiętywanie urządzeń jest bezpieczne?

Choć mechanizm zaufanych urządzeń poprawia komfort użytkowania, wprowadza także dodatkowe ryzyko. Największym zagrożeniem jest kradzież lub utrata urządzenia, któremu wcześniej nadano status zaufanego.

Jak zauważa Waldemar Korłub:

„Jeśli system nie wymaga dodatkowego składnika uwierzytelniania, atakujący może uzyskać dostęp do wszystkich zapisanych aplikacji. Dlatego kluczowe jest, aby użytkownik miał możliwość zarządzania zaufanymi urządzeniami – najlepiej z poziomu panelu, gdzie w każdej chwili można je usunąć.”

Wprowadzenie panelu zarządzania urządzeniami oraz opcji cofnięcia statusu zaufanego urządzenia w sytuacji jego utraty to niezbędne elementy zapewniające bezpieczeństwo.

Jak administratorzy mogą kontrolować dostęp w Keycloak?

Administratorzy mogą ograniczać mechanizm zapamiętywania urządzeń, np. do określonych sieci lub firmowych urządzeń.

Waldemar Korłub wyjaśnia:

„Możemy ten mechanizm ograniczyć na przykład do komputerów, które są w sieci lokalnej – jeśli użytkownicy korzystają z firmowego VPN-a, możemy rozpoznać sprzęt firmowy i tam udostępnić opcję zaufanych urządzeń.”

Dzięki takim rozwiązaniom można uniknąć sytuacji, w której użytkownicy nadają status zaufanego prywatnym urządzeniom, nad którymi organizacja nie ma kontroli.

Zaufane urządzenia w Keycloak – kluczowe wnioski

- Zaufane urządzenia pomagają w uproszczeniu logowania, ale wymagają odpowiednich zabezpieczeń

Mechanizm zaufanych urządzeń w Keycloak pozwala użytkownikom na pominięcie niektórych kroków uwierzytelniania, takich jak podawanie kodu 2FA. Jest to wygodne rozwiązanie, które usprawnia codzienną pracę, ale jednocześnie wymaga wdrożenia odpowiednich mechanizmów ochrony. Należy określić czas ważności zaufanego urządzenia, a także monitorować zmiany w sposobie logowania, aby nie dopuścić do nadużyć.

- Administratorzy mogą kontrolować politykę dostępu do zaufanych urządzeń

Nie każde urządzenie powinno być oznaczane jako zaufane, dlatego administratorzy mogą ograniczyć tę funkcję do firmowych komputerów lub wymagać połączenia z siecią VPN. W ten sposób można zapobiec sytuacji, w której użytkownik nadaje status zaufanego urządzenia prywatnemu komputerowi, nad którym organizacja nie ma kontroli.

- Panel zarządzania urządzeniami zwiększa bezpieczeństwo

Aby zapewnić użytkownikom większą kontrolę nad ich sesjami, warto wdrożyć panel pozwalający na przegląd i usuwanie zaufanych urządzeń. Dzięki temu w przypadku utraty sprzętu lub podejrzenia nieautoryzowanego logowania użytkownik może szybko cofnąć nadane uprawnienia.

- Możliwość usunięcia urządzenia chroni przed przejęciem konta

Jeśli urządzenie zostanie skradzione lub zgubione, a system nie wymaga dodatkowej autoryzacji, atakujący może uzyskać dostęp do konta użytkownika. Dlatego ważne jest, aby w każdej chwili można było usunąć zaufane urządzenie i wymusić ponowną weryfikację. Takie rozwiązanie pozwala na większą elastyczność, a jednocześnie zmniejsza ryzyko przejęcia konta przez osoby nieuprawnione.

Kiedy warto wykorzystać funkcje zaufane urządzenia w Keycloak?

Funkcja zaufanych urządzeń w Keycloak pozwala na zwiększenie wygody logowania, przy jednoczesnym utrzymaniu wysokiego poziomu bezpieczeństwa. To zastosowanie sprawdza się szczególnie w środowiskach korporacyjnych oraz modelach BYOD (Bring Your Own Device), gdzie użytkownicy regularnie korzystają z tych samych urządzeń. Oznaczenie urządzenia jako zaufanego pozwala zmniejszyć liczbę żądań drugiego czynnika uwierzytelniania (2FA), wydłużyć sesję oraz dynamicznie dostosować politykę bezpieczeństwa, np. wymagając ponownej autoryzacji przy podejrzanych logowaniach. Dzięki temu można ograniczyć ryzyko przejęcia konta przez atakujących, nawet jeśli uzyskają hasło i kod 2FA, ponieważ logowanie z nowego urządzenia może wymagać dodatkowej weryfikacji. Implementacja mechanizmu zaufanych urządzeń w Keycloak pomaga w równoważeniu bezpieczeństwa i wygody użytkowników.

Mechanizm zaufanych urządzeń w Keycloak to sposób na poprawę wygody logowania bez nadmiernego obniżenia poziomu cyberbezpieczeństwa. Odpowiednie wdrożenie polityki zapamiętywania urządzeń w Keycloak pozwala na zrównoważenie ochrony systemu i wygody użytkowników. Administratorzy powinni jednak zapewnić mechanizmy zarządzania listą zaufanych urządzeń oraz wymuszać okresowe potwierdzanie ich statusu, aby uniknąć potencjalnych zagrożeń

Pomożemy Ci we wdrożeniu Keycloak

Chcesz wdrożyć Keycloak lub dodać nowe funkcjonalności? Umów spotkanie, by poznać możliwości.

Umów spotkanie

Artykuł Zaufane urządzenia w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Zarządzanie tożsamościami dzięki federacjom użytkowników w Keycloak

Marceli Formela — Thu, 27 Jun 2024 10:03:17 +0000

W miarę jak organizacje się rozwijają i włączają różnorodne aplikacje oraz usługi, zarządzanie tożsamościami użytkowników w tych systemach staje się coraz bardziej skomplikowane. Keycloak, otwarte źródło dostawcy tożsamości, skutecznie rozwiązuje ten problem, oferując możliwości federacji użytkowników. Ta funkcja umożliwia serwerowi łączenie się z istniejącymi bazami użytkowników, ułatwiając integrację i scentralizowane zarządzanie tożsamościami użytkowników. W rezultacie organizacje mogą centralnie zarządzać tożsamościami bez konieczności migracji użytkowników z ich obecnych systemów.

Zrozumienie koncepcji federacji użytkowników

Federacja użytkowników w Keycloak odnosi się do możliwości połączenia z zewnętrznymi bazami użytkowników, takimi jak serwery LDAP (Lightweight Directory Access Protocol), Active Directory (AD) lub niestandardowe bazy danych. Dzięki temu połączeniu Keycloak może uwierzytelniać i zarządzać użytkownikami z zewnętrznych źródeł bez konieczności ich migracji wraz z poświadczeniami. Keycloak działa jako pośrednik, obsługując żądania uwierzytelnienia i pobierając informacje o użytkownikach z zewnętrznych baz danych w miarę potrzeby. To sprawia, że integracja Keycloak z LDAP oraz Active Directory jest prosta i skuteczna.

Kluczowe korzyści z używania Federacji Użytkowników:

- Centralizacja uwierzytelniania – użytkownicy mogą uwierzytelniać się w wielu aplikacjach, używając jednego zestawu poświadczeń. Zapewnia to spójność danych użytkowników w różnych domenach lub systemach, poprawiając doświadczenie użytkownika. Wspiera to scentralizowane zarządzanie tożsamościami.
- Bezproblemowa integracja – organizacje mogą integrować istniejące bazy użytkowników bez konieczności migracji użytkowników do nowego systemu. Pomaga to w procesie wprowadzania użytkowników do nowych środowisk poprzez bezpośredni eksport ich kont do docelowej domeny. Jest to szczególnie korzystne dla integracji SSO Keycloak oraz integracji z niestandardowymi bazami danych Keycloak.
- Zwiększone bezpieczeństwo – scentralizowane zarządzanie użytkownikami poprawia bezpieczeństwo poprzez umożliwienie konsekwentnego egzekwowania polityk bezpieczeństwa. Zapewnia to zgodność z politykami bezpieczeństwa Keycloak.
- Skalowalność – wspiera rozwój infrastruktury organizacyjnej, umożliwiając płynne przejścia i integracje między różnymi magazynami tożsamości. Pomaga to w rozwiązaniach skalowalności Keycloak oraz zarządzaniu konfiguracją wielu domen Keycloak.

Przykład zastosowania

Weźmy pod uwagę międzynarodową korporację, która utrzymuje odrębne domeny Keycloak dla różnych regionów, takich jak Europa i Ameryka Północna. Korzystając z koncepcji federacji użytkowników, firma może mieć pewność, że konta użytkowników utworzone w europejskiej domenie są bezproblemowo dostępne w domenie północnoamerykańskiej. Umożliwia to użytkownikom dostęp do usług w różnych regionach bez konieczności zarządzania wieloma zestawami poświadczeń, co zwiększa zarówno komfort użytkowania, jak i efektywność administracyjną. Jest to przykład zarządzania tożsamościami międzynarodowymi Keycloak oraz zarządzania użytkownikami regionalnymi Keycloak.

Łączenie się z zewnętrznymi magazynami użytkowników

Keycloak obsługuje różnych dostawców federacji użytkowników, w tym LDAP i Active Directory. Aby połączyć Keycloak z zewnętrznym magazynem użytkowników, postępuj zgodnie z poniższymi krokami:

1. Zaloguj się do konsoli administracyjnej Keycloak i wybierz odpowiednią domenę.
2. Przejdź do zakładki Federacja Użytkowników i dodaj odpowiedniego dostawcę, takiego jak LDAP lub Active Directory.
3. Wprowadź dane połączenia dla zewnętrznego magazynu użytkowników, takie jak URL połączenia i poświadczenia bind.

Konfigurowanie ustawień synchronizacji

Synchronizując z LDAP, Keycloak może wykorzystać istniejące poświadczenia użytkowników, umożliwiając im uwierzytelnianie się tym samym nazwą użytkownika i hasłem, których używają w innych systemach. Synchronizacja zapewnia, że dane, takie jak profile, role i uprawnienia, są konsekwentnie utrzymywane pomiędzy Keycloak a serwerem LDAP.

W trybie importu, Keycloak okresowo synchronizuje dane użytkowników z serwera LDAP do swojej wewnętrznej bazy danych. Oznacza to, że dane użytkowników są kopiowane między serwerami. Ponieważ dane są przechowywane lokalnie, użytkownicy mogą być uwierzytelniani, nawet jeśli serwer LDAP jest tymczasowo niedostępny. Ponadto dostęp do lokalnych danych może być szybszy niż zapytania do LDAP przy każdym żądaniu uwierzytelnienia. Jednakże, ze względu na okresową synchronizację, może wystąpić opóźnienie między aktualizacjami. Jest to lepsze rozwiązanie dla środowisk, gdzie dostępność serwera LDAP może stanowić problem, gdzie wydajność jest krytycznym czynnikiem oraz gdzie istnieje potrzeba dostosowania danych użytkowników w Keycloak. Rozważamy dwa typy synchronizacji użytkowników:

– Planowana pełna synchronizacja w regularnych odstępach czasu w celu zapewnienia, że wszystkie dane użytkowników są aktualne. Jest łatwa do skonfigurowania i zmniejsza ryzyko pominięcia aktualizacji lub niespójności z powodu przeoczonych zmian. Może jednak być zasobożerna i czasochłonna, szczególnie przy dużej bazie użytkowników.

– Synchronizacja przyrostowa w celu aktualizacji tylko tych użytkowników, których dane zmieniły się od ostatniej synchronizacji. Przy dużej liczbie użytkowników synchronizacja przyrostowa jest bardziej efektywna, ponieważ zmniejsza ilość przesyłanych danych. Jest idealna dla środowisk, gdzie minimalizacja zużycia zasobów jest ważna.

Jeśli tryb importu jest wyłączony, Keycloak działa jako proxy do serwera LDAP, bezpośrednio pytając go, w razie potrzeby o informacje o użytkownikach. Żadne dane użytkowników nie są przechowywane lokalnie. Zapewnia to dokładność danych w czasie rzeczywistym, ponieważ Keycloak zawsze pyta o najnowsze dane, a także zmniejsza wymagania dotyczące przechowywania, ponieważ żadne dane nie są duplikowane w Keycloak. W tym scenariuszu użytkownicy mogą doświadczyć opóźnień z powodu zapytań w czasie rzeczywistym. Ogólnie rzecz biorąc, rozwiązanie to zależy od dostępności serwera LDAP przy każdym żądaniu uwierzytelnienia. Jest to preferowane rozwiązanie, gdy spójność i dokładność danych są najważniejsze, a serwer LDAP jest niezawodny i zdolny do obsługi zapytań w czasie rzeczywistym bez pogorszenia wydajności.

Zarządzanie mapowaniem atrybutów

W LDAP istnieją pola zawierające informacje specyficzne dla użytkownika, takie jak 'uid’, 'cn’, 'sn’, 'mail’, itp. W Keycloak te atrybuty LDAP są mapowane na specyficzne atrybuty użytkownika Keycloak. Atrybuty LDAP mogą również definiować role użytkowników. Mogą być one synchronizowane, co pozwala użytkownikom na posiadanie tych samych uprawnień zarówno w LDAP, jak i w Keycloak.

Atrybuty mogą być używane do definiowania logiki warunkowej dla polityk uwierzytelniania i autoryzacji. Na przykład dostęp może być przyznawany na podstawie konkretnych wartości atrybutów. Mogą one być później dynamicznie aktualizowane na podstawie interakcji użytkowników lub innych zdarzeń, co pozwala na elastyczne i adaptacyjne egzekwowanie polityk. W większości przypadków synchronizujemy je w jednym kierunku, zazwyczaj z LDAP do Keycloak. Jednak w niektórych konfiguracjach atrybuty mogą być synchronizowane dwukierunkowo, co pozwala na propagowanie zmian z Keycloak do LDAP i odwrotnie. Wymaga to jednak starannej konfiguracji, aby zapobiec konfliktom.

LDAP mappers są używane do definiowania, w jaki sposób atrybuty LDAP są mapowane na atrybuty Keycloak. Można to skonfigurować za pomocą ustawień dostawcy LDAP. Jeśli domyślne mapery nie spełniają wymagań, można stworzyć niestandardowy mapper do obsługi specyficznych potrzeb synchronizacji atrybutów. Atrybuty mogą być również transformowane podczas synchronizacji. Na przykład atrybut LDAP przechowujący pełne imię i nazwisko może być podzielony na atrybuty firstName i lastName w Keycloak. W niektórych scenariuszach konieczne może być łączenie atrybutów z obu środowisk. Keycloak zapewnia mechanizmy do obsługi takich strategii łączenia.

Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach

Podsumowanie

Federacja użytkowników znacznie zwiększa funkcjonalność zarządzania użytkownikami w Keycloak. Zapewnia organizacjom potężne narzędzie do administrowania tożsamościami użytkowników w wielu środowiskach, gwarantując spójność danych, upraszczając wprowadzanie użytkowników i poprawiając ogólne bezpieczeństwo. Korzystając z Keycloak do federacji użytkowników i eksportu kont do federacyjnych domen, organizacje mogą usprawnić zarządzanie tożsamościami oraz wspierać skalowalne, bezpieczne i efektywne operacje.

Czy chcesz porozmawiać o cyberbezpieczeństwie swojej firmy? Skontaktuj się z nami.

[contact-form-7]

Artykuł Zarządzanie tożsamościami dzięki federacjom użytkowników w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.