sms - Inero Software - Rozwiązania IT i Konsulting

Tworzenie niestandardowego uwierzytelniania SMS w Keycloak

Marceli Formela — Fri, 14 Jun 2024 11:01:51 +0000

Wraz ze wzrostem liczby zagrożeń cybernetycznych, uwierzytelnianie wieloskładnikowe (MFA) stało się dla wielu firm standardem w politykach bezpieczeństwa. MFA zwiększa ochronę, wymagając od użytkowników weryfikacji tożsamości za pomocą wielu metod. Takie uwierzytelnianie stało się więc standardową praktyk, dodając dodatkową warstwę ochrony.

Wśród różnych metod, uwierzytelnianie oparte na SMS wyróżnia się równowagą między bezpieczeństwem a wygodą użytkownika. Jednak tworzenie niestandardowego uwierzytelnienia SMS w ramach dostawcy tożsamości, takiego jak Keycloak, może być skomplikowanym i złożonym procesem, wymagającym zrozumienia jego architektury i możliwości rozszerzania.

Interfejs Dostawcy Usług (SPI)

Keycloak ma na celu obsługę większości przypadków użycia bez konieczności tworzenia niestandardowego kodu. Oferuje także elastyczność w zakresie dostosowywania. W tym celu Keycloak udostępnia kilka SPI, które pozwalają na wdrażanie własnych rozwiązań. Zamierzamy wdrożyć uwierzytelnianie, które wymaga ważnego kodu SMS. Aby stworzyć tę funkcję, musimy zaimplementować interfejsy org.keycloak.authentication.AuthenticatorFactory i Authenticator. AuthenticatorFactory jest odpowiedzialny za tworzenie instancji Authenticatora. Oba interfejsy rozszerzają ogólny zestaw interfejsów Provider i ProviderFactory, które są używane przez inne komponenty Keycloak.

Pakietowanie klas

Będziemy pakietować nasze klasy do jednego projektu. Musi on zawierać plik o nazwie org.keycloak.authentication.AuthenticatorFactory, który powinien znajdować się w katalogu META-INF/services/. Plik ten musi zawierać pełne kwalifikowane nazwy klas każdej implementacji AuthenticatorFactory, którą masz w pliku JAR. Na przykład:

pl.inero.keycloakext.authenticator.sms.SmsAuthenticatorFactory
pl.inero.keycloakext.authenticator.custom.CustomUsernamePasswordFormFactory
pl.inero.keycloakext.authenticator.custom.CustomCookieAuthenticatorFactory

Plik services/ jest używany przez Keycloak do skanowania dostawców, których musi załadować do systemu.

CredentialModel i CredentialProvider

Pierwszym krokiem jest skonfigurowanie naszych klas związanych z poświadczeniami, ponieważ numer telefonu użytkownika powinien być przechowywany jako rekord poświadczeń. Jak widać poniżej, klasa Sms2faCredentialData jest prostym kontenerem danych do przechowywania numeru telefonu powiązanego z użytkownikiem.

public class Sms2faCredentialData {

private String phoneNumber;

@SuppressWarnings("unused") //used for credentials deserialization
public Sms2faCredentialData() {
}

public Sms2faCredentialData(String phoneNumber) {
     this.phoneNumber = phoneNumber;
}

public String getPhoneNumber() {
     return phoneNumber;
}

@SuppressWarnings("unused") //used for credentials deserialization
public void setPhoneNumber(String phoneNumber) {
     this.phoneNumber = phoneNumber;
}
}

Kolejnym krokiem jest rozszerzenie klasy CredentialModel, która może generować prawidłowy format poświadczeń w bazie danych. Aby obiekty Sms2faCredentialModel były w pełni funkcjonalne, muszą zawierać nie tylko surowe dane JSON odziedziczone po klasie bazowej, ale także odmarshallowane obiekty wewnątrz swoich własnych atrybutów. Zapewnia to szeroką dostępność i wykorzystanie poświadczeń, umożliwiając łatwą integrację i obsługę procesów uwierzytelniania.

public class Sms2faCredentialModel extends CredentialModel {

public static final String TYPE = "sms2fa";
private Sms2faCredentialData smsCredentials;

public Sms2faCredentialModel(Sms2faCredentialData smsCredentials) {
     try {
         this.smsCredentials = smsCredentials;
         setCredentialData(JsonSerialization.writeValueAsString(smsCredentials));
         setUserLabel("tel: " + smsCredentials.getPhoneNumber());

         setType(TYPE);
     } catch (IOException e) {
         throw new RuntimeException(e);
     }
}

public String getPhoneNumber() {
     return smsCredentials.getPhoneNumber();
}
}

Podobnie jak w przypadku innych dostawców w Keycloak, utworzenie CredentialProvider wymaga obecności odpowiadającej mu CredentialsProviderFactory. Aby spełnić ten wymóg, implementujemy Sms2faCredentialProviderFactory.

public class Sms2faCredentialProviderFactory  implements CredentialProviderFactory {

public static final String PROVIDER_ID = "keycloak-ext-sms2fa";

@Override
public String getId() {
     return PROVIDER_ID;
}

@Override
public CredentialProvider create(KeycloakSession session) {
     return new Sms2faCredentialProvider(session);
}
}

Interfejs CredentialProvider jest zbudowany z parametrem generycznym, który rozszerza CredentialModel, zapewniając kompatybilność z różnymi typami poświadczeń. Dodatkowo musimy zaimplementować interfejs CredentialInputValidator, co wskazuje Keycloak, że ten dostawca jest przygotowany do uwierzytelniania poświadczeń dla naszego niestandardowego Authenticatora. Chociaż nie będziemy tu omawiać pełnej architektury, dokumentacja Keycloak obejmuje dodatkowe metody.

Nasza implementacja obejmuje funkcje tworzenia i usuwania poświadczeń. Funkcje te wykorzystują menedżera poświadczeń, odpowiedzialnego za przechowywanie i pobieranie poświadczeń, niezależnie od tego, czy są one przechowywane lokalnie, czy w systemach magazynowania federacyjnego.

@Override
public CredentialModel createCredential(RealmModel realm, UserModel user, Sms2faCredentialModel credentialModel) {
if (credentialModel.getCreatedDate() == null) {
     credentialModel.setCreatedDate(Time.currentTimeMillis());
return user.credentialManager().createStoredCredential(credentialModel);
}

@Override
public boolean deleteCredential(RealmModel realm, UserModel user, String credentialId) {
logger.debugv("Delete Sms2fa credential. username = {0}, credentialId = {1}", user.getUsername(), credentialId);
return user.credentialManager().removeStoredCredentialById(credentialId);
}

Dla interfejsu CredentialInputValidator główną metodą do zaimplementowania jest isValid, która sprawdza, czy dane poświadczenie jest ważne dla danego użytkownika w danej domenie (realm). Jest to metoda wywoływana przez Authenticator, gdy chce zweryfikować dane wprowadzone przez użytkownika.

@Override
public boolean isValid(RealmModel realm, UserModel user, CredentialInput credentialInput) {
final Sms2faCredentialModel credentialModel = getDefaultCredential(session, realm, user);
final String secretData = credentialModel.getSecretData();
return secretData != null && secretData.equals(credentialInput.getChallengeResponse());

Teraz powinniśmy mieć wszystko, aby móc przejść do implementacji samego Authenticatora.

AuthenticatorFactory i Authenticator

Klasa SmsAuthenticatorFactory zawiera logikę potrzebną do skonfigurowania i tworzenia instancji SmsAuthenticator, który wykonuje walidację OTP opartą na SMS. Obsługuje dostosowywanie poprzez kilka konfigurowalnych właściwości.

supports customization through several configurable properties.
public class SmsAuthenticatorFactory implements AuthenticatorFactory {

@Override
public String getId() {
     return "sms-authenticator";
}

@Override
public String getDisplayType() {
     return "SMS Authentication";
}
@Override
public String getHelpText() {
     return "Validates an OTP sent via SMS to the users mobile phone.";
}
     (…)
}

Teraz przejdźmy do samego Authenticatora. Główna metoda, na której się skupimy, to sendChallenge(). Kiedy przepływ jest początkowo wyzwalany, ta metoda jest wywoływana. Ważne jest, aby zauważyć, że nie obsługuje ona przetwarzania formularza kodu SMS. Jej rola polega na renderowaniu strony lub kontynuowaniu przepływu.

Strona HTML, która prosi o wprowadzenie otrzymanego kodu, jest prezentowana użytkownikowi, który następnie wprowadza kod i przesyła go. Wówczas wysyłane jest żądanie HTTP do przepływu za pomocą adresu URL akcji określonego w formularzu HTML. To wyzwala metodę action() w naszej implementacji Authenticatora. Jeśli podany kod jest nieprawidłowy, rekonstruujemy formularz HTML, dodając komunikat o błędzie. Następnie używamy metody failureChallenge(), przekazując powód niepowodzenia. Działa ona podobnie do challenge(), ale dodatkowo loguje błąd, co pomaga wykryć ewentualne możliwości ataku.

private void sendChallenge(AuthenticationFlowContext context) {
(…)
credentialModel.setSecretData(code);
user.credentialManager().updateStoredCredential(credentialModel);
AuthenticationSessionModel authSession = context.getAuthenticationSession();
authSession.setAuthNote("ttl", Long.toString(System.currentTimeMillis() + (ttl * 1000L)));

try {
     /* sending SMS */
     context.challenge(context.form().setAttribute("realm", context.getRealm()).createForm(TPL_CODE));
} catch (Exception e) {
     context.failureChallenge(AuthenticationFlowError.INTERNAL_ERROR,
             context.form().setError("smsAuthSmsNotSent", e.getMessage())
                     .createErrorPage(Response.Status.INTERNAL_SERVER_ERROR));
}
}

@Override
public void action(AuthenticationFlowContext context) {
(…)
final Sms2faCredentialModel credentialModel = getCredentialProvider(session).getDefaultCredential(session, context.getRealm(), user);
boolean isValid = getCredentialProvider(context.getSession()).isValid(context.getRealm(), context.getUser(),
       new UserCredentialModel(credentialModel.getId(), getCredentialProvider(context.getSession()).getType(), enteredCode));
if (isValid) {
     if (Long.parseLong(ttl) < System.currentTimeMillis()) {
         // expired
         context.failureChallenge(AuthenticationFlowError.EXPIRED_CODE,

                 context.form().setError("smsAuthCodeExpired").createErrorPage(Response.Status.BAD_REQUEST));
     } else {
         // valid
         context.success();
     }
} else {
     context.getEvent().user(user).error(Errors.INVALID_USER_CREDENTIALS);
     context.failureChallenge(AuthenticationFlowError.INVALID_CREDENTIALS,
             context.form().setAttribute("realm", context.getRealm())
                     .setError("smsAuthCodeInvalid").createForm(TPL_CODE));
}
}

Authentication Flow

Aby dodać Authenticator do przepływu, administrator musi przejść do Konsoli. W sekcji Uwierzytelnianie (Authentication) i zakładce Przepływy (Flows) powinien zobaczyć istniejące przepływy. Wbudowane przepływy nie mogą być bezpośrednio modyfikowane, więc aby zintegrować nowo utworzony Authenticator, musimy albo zduplikować istniejący przepływ, albo stworzyć nowy od podstaw.

Required actions

Jeśli telefon nie jest skonfigurowany, powinniśmy wywołać niestandardowe wymagane działanie. Ponownie, powinniśmy dodać pełną kwalifikowaną nazwę klasy do katalogu META-INF/services i zaimplementować interfejs RequiredActionProvider. Metoda requiredActionChallenge() jest odpowiedzialna za renderowanie HTML, który poprowadzi wymagane działanie.

@Override
public void requiredActionChallenge(RequiredActionContext context) {
LoginFormsProvider form = context.form();
if (getSmsAuthenticatorConfig(context) == null) {
     form.setError("smsAuthMissingAuthenticatorConfig");
}
final Response response = form.createForm("sms-2fa-register.ftl");
context.challenge(response);
}

Ta część jest odpowiedzialna za przetwarzanie danych wejściowych z formularza HTML wymaganego działania. Po wprowadzeniu otrzymanego kodu SMS, numer telefonu powinien zostać zapisany w bazie danych jako poświadczenie. Przy następnym logowaniu będziemy mogli skorzystać z tej formy OTP.

@Override
public void processAction(RequiredActionContext context) {
    (…)
final String phoneNumber = params.getFirst("phoneNumber");
final String code = params.getFirst("code");

if(StringUtils.isBlank(phoneNumber) && StringUtils.isBlank(authSession.getAuthNote("phone_number"))) {
     //if no phone number is set, redirect to the first page
     requiredActionChallenge(context);
     return;
}
if (phoneNumber != null) {
     sendPhoneNumberVerificationChallenge(context, authSession, phoneNumber, smsAuthenticatorConfig.getConfig());
     return;
}
if (code != null) {
     /* verify provided SMS code */ 
    }
}

Ostatnią rzeczą, którą musisz zrobić, jest przejście do Konsoli Administratora i zakładki Wymagane Działania (Required Actions). Twoje nowe działanie powinno teraz być wyświetlone i włączone na liście wymaganych działań.

Jeśli użytkownik nie podał wcześniej numeru telefonu, a uwierzytelnianie SMS jest ustawione jako wymagane w przepływie uwierzytelniania, powinna pojawić się nowa widok.

Podsumowując, konfiguracja SMS MFA obejmuje ustawienie niestandardowych wymaganych działań oraz dostawców uwierzytelniania, ale oczywiście istnieją inne kwestie do uwzględnienia, takie jak komunikacja między Keycloak a bramką SMS. Zagadnienia, które omówiliśmy w tym poście, to oczywiście tylko część możliwej konfiguracji, ale najważniejsza i specyficzna dla Keycloak.

Jedną z istotnych zalet wdrożenia SMS MFA jest jego powszechna dostępność, ponieważ większość użytkowników posiada telefony komórkowe zdolne do odbierania wiadomości SMS. Dodatkowo, zapewnia to prostą obsługę dla użytkowników, wymagając minimalnej konfiguracji i znajomości. Jednak mechanizm ten ma swoje wady, w tym potencjalne zagrożenia, takie jak ataki polegające na zamianie kart SIM lub przechwytywaniu kodów SMS. Ponadto, dostarczanie wiadomości SMS może czasami być zawodnym procesem, co prowadzi do opóźnień lub nieudanej dostawy, wpływając na doświadczenie użytkownika. Powinniśmy być tego świadomi przed podjęciem decyzji o zastosowaniu tej metody, szczególnie w erze nowszych rozwiązań, takich jak mobilne aplikacje OTP.

Artykuł Tworzenie niestandardowego uwierzytelniania SMS w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Przewodnik krok po kroku- Uwierzytelnianie wieloskładnikowe (MFA) w Keycloak

Marceli Formela — Wed, 05 Jun 2024 13:03:04 +0000

Wzrost liczby ataków i zagrożeń cyfrowych sprawił, że zabezpieczanie danych stało się koniecznością. Oszuści wciąż udoskonalają swoje narzędzia, dlatego tradycyjna metoda polegająca na hasłach okazuje się niewystarczająca do ochrony wrażliwych informacji. Ta eskalacja cyberzagrożeń podkreśliła konieczność wprowadzenia bardziej zaawansowanych środków bezpieczeństwa, co doprowadziło upowszechnienia uwierzytelniania wieloskładnikowego (MFA). W tym wpisie omówimy pojawiające się zagrożenia online i to jak MFA może stać się skutecznym mechanizmem obronnym dla naszych aplikacji.

Czym jest MFA?

Uwierzytelnianie wieloskładnikowe (MFA) zwiększa bezpieczeństwo Twoich aplikacji, wymagając od użytkowników podania wielu form identyfikacji przed przyznaniem dostępu. Oczywiście, narzędzia takie jak Keycloak wspierają MFA i pozwalają administratorom na łatwe skonfigurowanie tego rozwiązania. Ten przewodnik opisuje krok po kroku procedurę włączania MFA w Keycloak, zapewniając, że procesy uwierzytelniania użytkowników staną się bezpieczniejsze,

MFA zostało zaprojektowane, aby chronić użytkowników przed zagrożeniami związanymi z uwierzytelnianiem jednoskładnikowym, gdzie użytkownik musi podać tylko jedną formę uwierzytelnienia, zazwyczaj hasło. MFA dodaje warstwy bezpieczeństwa, wymagając od użytkowników przedstawienia wielu dowodów (czynników) potwierdzających ich tożsamość.

Czynniki uwierzytelniania użytkownika w MFA są zazwyczaj klasyfikowane w trzy typy:

1. Czynniki wiedzy (coś, co wiesz)
– Hasła
– PIN-y
– Pytania bezpieczeństwa
2. Czynniki posiadania (coś, co masz)
– Jednorazowe hasło (OTP) generowane przez aplikację uwierzytelniającą
– Kody SMS
– Kody e-mail
– Tokeny sprzętowe
3. Czynniki inherentne (coś, czym jesteś)
– Weryfikacja biometryczna (rozpoznawanie twarzy, odcisk palca itp.)

Pierwszym krokiem jest zawsze początkowe uwierzytelnienie, kiedy użytkownik wprowadza swoją nazwę i hasło (tak zwany czynnik wiedzy). Po początkowym uwierzytelnieniu proszony jest o podanie drugiej formy uwierzytelnienia, która może być jednorazowym hasłem (OTP) wysłanym na telefon, skanem biometrycznym lub inną formą czynnika posiadania/inherentnego. Jeśli oba czynniki zostaną pomyślnie zweryfikowane, użytkownik uzyskuje dostęp do aplikacji. Teraz przyjrzyjmy się kilku przykładowym typom uwierzytelniania oraz ich zaletom i wadom.

OTP wysyłane na e-mail

W tej metodzie tymczasowy kod jest wysyłany na zarejestrowany adres e-mail użytkownika, który musi go wprowadzić, aby zakończyć proces logowania. Użytkownicy otrzymują OTP bezpośrednio na e-mail, co nie wymaga instalacji ani konfiguracji dodatkowych aplikacji. Należy jednak pamiętać, że konta e-mail mogą zostać skompromitowane, a przechwycone e-maile mogą stanowić znaczące zagrożenie dla bezpieczeństwa.

OTP wysyłane SMS-em

Otrzymywanie OTP za pomocą SMS-a jest proste i znane większości użytkowników oraz także nie wymaga instalacji dodatkowych aplikacji. Powinno działać na każdym telefonie komórkowym, co czyni go dostępnym dla szerszej grupy użytkowników. Jednakże, i one mogą być podatne na przechwycenie i ataki polegające na zamianie kart SIM, co sprawia, że są mniej bezpieczne w porównaniu do innych metod. Dostarczanie SMS-ów może być również opóźnione lub nawet zawieść z powodu problemów z siecią. Przyjrzymy się bliżej jego zaletom i wadom w kolejnym poście, który obejmuje rozwój niestandardowych narzędzi uwierzytelniających.

Powiadomienia push

Powiadomienia push polegają na wysyłaniu w czasie rzeczywistym alertu na zarejestrowane urządzenie mobilne użytkownika, prosząc go o zatwierdzenie lub odrzucenie próby uwierzytelnienia. Użytkownicy są natychmiast powiadamiani o wszelkich próbach logowania, co pozwala im szybko reagować na wszelkie nieautoryzowane próby dostępu. Nie muszą także wprowadzać jednorazowego hasła (OTP), co upraszcza proces uwierzytelniania. Ta metoda oczywiście wymaga aktywnego połączenia internetowego. Należy jednak pamiętać, że zainfekowane urządzenia mogą potencjalnie zagrozić bezpieczeństwu tej funkcji, a użytkownicy muszą być edukowani w zakresie rozpoznawania autentycznych powiadomień push, aby uniknąć przypadkowego zatwierdzenia prób ataku.

OTP za pomocą aplikacji uwierzytelniających

OTP generowane przez aplikacje uwierzytelniające, takie jak Google Authenticator, są bardzo bezpieczne, ponieważ są oparte na czasie i trudne do przewidzenia. Mogą generować OTP bez połączenia z internetem, co czyni je niezawodnymi nawet wtedy, gdy użytkownicy są offline. W tym przypadku użytkownicy muszą mieć dostęp do swojego urządzenia mobilnego, aby wygenerować OTP, a początkowa konfiguracja często wymaga zeskanowania kodu QR i skonfigurowania aplikacji uwierzytelniającej, co może być trudne dla użytkowników nietechnicznych.

Jak skonfigurować OTP (przez mobilną aplikację uwierzytelniającą) w Keycloak

Teraz możemy przejść do konsoli Keycloak i spróbować skonfigurować podstawowe OTP w naszym realm. Przed próbą włączenia MFA w Keycloak upewnij się, że masz działającą instancję Keycloak, dostęp administracyjny do serwera oraz podstawową znajomość koncepcji realm, klienta i zarządzania użytkownikami z poprzednich postów.

Krok 1: Polityka OTP
Z menu bocznego wybierz realm, w którym chcesz włączyć MFA. W ustawieniach przejdź do sekcji Uwierzytelnianie i wybierz kartę Polityka OTP. Skonfiguruj ustawienia zgodnie z wymaganiami bezpieczeństwa. Możesz wybrać wartości domyślne, które są dostarczane przez serwer.

Krok 2: Wymagane działania
W ustawieniach uwierzytelniania przejdź do karty Wymagane działania. Teraz możesz aktywować OTP jako domyślne działanie dla każdego nowego użytkownika.

Skonfigurowaliśmy już MFA i każdy nowo zarejestrowany użytkownik będzie musiał z niego korzystać. Oczywiście, tę konfigurację można zmodyfikować w ustawieniach konta aplikacji, aby użytkownicy korzystali z MFA tylko wtedy, gdy specjalnie o to poproszą.

Jak widzimy, MFA to potężne narzędzie do ochrony wrażliwych informacji i zwiększania bezpieczeństwa aplikacji internetowych. Wymagając wielu form weryfikacji, znacznie utrudnia dostęp nieautoryzowanym użytkownikom do kont i systemów, zmniejszając ryzyko związane z uwierzytelnianiem opartym wyłącznie na hasłach. Wdrożenie tego mechanizmu z pewnością pomaga organizacjom w spełnianiu wymogów regulacyjnych i ochronie przed ciągle ewoluującymi zagrożeniami w sieci.

W następnym artykule przyjrzymy się bliżej niestandardowemu uwierzytelnianiu za pomocą SMS dla Keycloak, omawiając jego zalety i wady.

Artykuł Przewodnik krok po kroku- Uwierzytelnianie wieloskładnikowe (MFA) w Keycloak pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.

Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach

Marta Kuprasz — Mon, 13 May 2024 12:35:16 +0000

Keycloak to narzędzie do zarządzania tożsamością i dostępem, które zapewnia bezpieczeństwo aplikacji i usług webowych. Aby maksymalnie zabezpieczyć swoje środowisko przy jego użyciu, warto wdrożyć najlepsze praktyki. Oto 5 kluczowych kroków, które Ci w tym pomogą.

Włącz HTTPS i używaj silnych certyfikatów

Pierwszym i najważniejszym krokiem jest zapewnienie, że cała komunikacja z serwerem Keycloak odbywa się przez bezpieczny protokół HTTPS. Używanie certyfikatów SSL/TLS od zaufanych dostawców chroni przed przechwyceniem i manipulacją danymi.

W tym kroku:

– Skonfiguruj serwer Keycloak: Ustaw serwer, aby korzystał wyłącznie z HTTPS, odrzucając wszystkie niezaszyfrowane żądania HTTP.

– Uaktualnij certyfikaty: Regularnie odnawiaj i uaktualniaj certyfikaty SSL/TLS, aby uniknąć ryzyka wykorzystania przestarzałych kluczy.

Zastosuj wieloskładnikowe uwierzytelnianie (Multi-Factor Authentication, MFA)

Ta funkcja dodaje warstwę bezpieczeństwa poprzez jednoczesne użycie kilku metod weryfikacji tożsamości użytkownika. 2FA (uwierzytelnianie dwuskładnikowe) to popularna forma MFA, która zazwyczaj wymaga od użytkownika podania hasła i potwierdzenia tożsamości za pomocą drugiego składnika, na przykład kodu z aplikacji uwierzytelniającej.

W tym kroku:

Aktywuj uwierzytelnianie wieloskładnikowe w Keycloak: Włącz MFA dla wszystkich użytkowników, szczególnie tych z dostępem administracyjnym i do danych wrażliwych.
Wybierz metody uwierzytelniania: Keycloak obsługuje różne metody MFA – najczęściej używane to aplikacje uwierzytelniające (np. Microsoft Authenticator).

Przeczytaj także:

Wprowadź silne polityki haseł i zarządzanie sesjami

Zarządzanie hasłami i sesjami jest kluczowe dla ochrony tożsamości użytkowników i zapobiegania nieautoryzowanemu dostępowi. Są pierwszą linią obrony przed atakami, takimi jak brute force czy phishing. Keycloak w tym zakresie daje szerokie pole możliwości konfiguracji polityki ustawiania haseł, które są konfigurowalne z poziomu konsoli administracyjnej.

W tym kroku:

– Skonfiguruj politykę haseł: ustal dokładne zasady wyboru haseł, aby wymagały określonej długości, skomplikowania (np. obecność znaków specjalnych, dużych i małych liter) oraz określ czas życia hasła i jego historię.

– Ogranicz czas życia sesji: Ustaw krótkie, ale praktyczne czasy życia sesji i tokenów, aby zminimalizować okno dla potencjalnych ataków. Automatyczne wylogowywanie użytkowników po określonym czasie nieaktywności jest ważne dla zapobiegania przypadkowemu pozostawieniu sesji otwartej na współdzielonych lub publicznych urządzeniach.

Przeczytaj także:

- Praktyczne wprowadzenie do Keycloak SSO: Od konfiguracji do integracji
- Wpowadzenie do Passkey w Keycloak

Zabezpiecz punkty końcowe API i używaj kontroli dostępu opartej na rolach (RBAC)

Kontrola dostępu oparta na rolach (Role-Based Access Control) pozwala na definiowanie ról, przypisywanie ich użytkownikom i zarządzanie uprawnieniami, co umożliwia kontrolę operacji na API zależnie od roli.

W tym kroku:

Zabezpieczanie punktów końcowych API: Aby zabezpieczyć punkty końcowe API, kluczowe jest zastosowanie odpowiednich mechanizmów autoryzacji i uwierzytelniania:

- Uwierzytelnianie: Implementuj protokoły uwierzytelniania, takie jak OAuth 2.0 i OpenID Connect, aby użytkownicy i aplikacje musiały udowodnić swoją tożsamość przed uzyskaniem dostępu do API.
- Tokeny dostępu: Wykorzystuj tokeny dostępu (access tokens), które zawierają informacje o uprawnieniach użytkownika, do weryfikacji uprawnień dostępu do różnych zasobów API.
- HTTPS: Zapewnij, że wszystkie żądania do API są przesyłane przez HTTPS, chroniąc dane przed przechwyceniem i modyfikacją.

Kontrola dostępu oparta na rolach (RBAC): Role-Based Access Control pozwala na zarządzanie uprawnieniami użytkowników na podstawie ich ról w organizacji:

- Definiowanie ról: Ustal role, które odzwierciedlają różne poziomy dostępu w aplikacji, np. administrator, użytkownik, gość itp.
- Przypisywanie ról: Przypisz użytkownikom role, które określają, do jakich zasobów i operacji mogą uzyskać dostęp.
- Zarządzanie uprawnieniami: Skonfiguruj zasady dostępu w Keycloak, aby kontrolować, które operacje mogą być wykonane przez użytkowników z daną rolą na określonych punktach końcowych API.

Przeczytaj także:

Regularnie aktualizuj i monitoruj środowisko

Aktualizacja i stałe monitorowanie środowiska Keycloak jest niezbędne do utrzymania wysokiej ochrony przed nowymi zagrożeniami i lukami w zabezpieczeniach. Aktualizacje Keycloak pojawiają się co kilka miesięcy, a informacje na ich temat można znaleźć na oficjalnej stronie projektu lub w dokumentacji Keycloak.

W tym kroku:

– Aktualizacje: Regularnie aktualizuj Keycloak do najnowszych stabilnych wersji.

– Monitoring i logowanie: Użyj narzędzi do monitorowania, aby śledzić wszelkie niezwykłe zachowania i szybko reagować na potencjalne incydenty bezpieczeństwa. Skonfiguruj systemy logowania, aby zbierać kluczowe informacje o działaniu systemu. Korzystając na przykład z Kubernetes, można efektywnie zarządzać i skalować narzędzia do monitorowania i logowania, takie jak Prometheus i ELK Stack. Kubernetes ułatwia wdrażanie i zarządzanie kontenerami z tymi narzędziami, automatyzując ich rozmieszczanie, skalowanie i naprawę, co jest kluczowe dla utrzymania ciągłości działania i bezpieczeństwa w rozproszonych systemach.

– Postaw na sprawdzonego Partnera: Jeśli wdrożenie najlepszych praktyk Keycloak wydaje Ci się na tym etapie pracochłonnym procesem, który mocno obciąży Twój zespół, skorzystaj z pomocy specjalistów w tej dziedzinie.

Przeczytaj także:

Inero Software posiada bogate doświadczenie we wdrażaniu zaawansowanych rozwiązań w dziedzinie cyberbezpieczeństwa. Tworzymy kompleksowe systemy do zarządzania użytkownikami i ich rolami, które są dostosowane do złożonych infrastruktur IT i spełniają wysokie wymagania korporacyjne. Nasz zespół, składający się z ekspertów w dziedzinie cyberbezpieczeństwa, implementuje zaawansowane schematy autoryzacji zgodnie z renomowanymi standardami bezpieczeństwa. Dzięki naszej wiedzy i doświadczeniu, zapewniamy skuteczną ochronę przed zagrożeniami i zgodność z korporacyjną polityką bezpieczeństwa.

Skontaktuj się z nami, aby poznać możliwości wspólnego wdrożenia najlepszych praktyk Keycloak w Twojej organizacji.

Artykuł Najlepsze praktyki w Keycloak. Zadbaj o bezpieczeństwo w 5 krokach pochodzi z serwisu Inero Software - Rozwiązania IT i Konsulting.