Single Sign-on mit Keycloak

Schlüsselmeister

Die Branchengrößen Google und Facebook haben Single Sign-on im Web mit OAuth2 beziehungsweise OpenID salonfähig gemacht und sind heute unter den größten Anbietern zu finden. Möchten Sie jedoch die Daten Ihrer Kunden oder Mitarbeiter nicht in die Hände der großen Player legen, ermöglicht Ihnen die von Red Hat entwickelte Software Keycloak den eigenen Betrieb und die Option, bestehende Kerberos- oder LDAP-Konten einzubinden.
Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten ... (mehr)

Single Sign-on (SSO) bietet vordergründig viele Vorteile. Auch im Hinblick auf die Kontosicherheit von Benutzern können SSO-Anbieter wertvolle Dienste leisten. Während sich jeder Benutzer nur noch ein Passwort für den Zugang zu unterschiedlichen Diensten merken muss (nicht zu verwechseln damit, dass ein Benutzer einfach für unterschiedliche Dienste dasselbe Passwort verwendet), erhalten die Anbieter selbst gar keine Information über das verwendete Passwort. Gibt es bei einem der Services ein Datenleck, geraten so auch keine Passwörter mehr ohne weiteres in die Hände von Kriminellen. Der Dienst vertraut lediglich darauf, dass der SSO-Anbieter die Identität des Benutzers sicher prüfen kann. Bei einigen Anbietern ist die Identität selbst gar nicht maßgeblich, wichtig ist nur, dieselbe Person zweifelsfrei wiederzuerkennen. Auch das lässt sich mit SSO sicher umsetzen.

Um SSO zu verwenden, sind Sie glücklicherweise nicht allein auf die drei großen Player Google, Facebook oder OpenID angewiesen. Während es auch viele kleinere und spezialisierte Anbieter gibt, besteht zudem die Möglichkeit, selbst einen SSO-Dienst aufzusetzen. Oft zum Einsatz kommt etwa der kommerzielle SSO-Server "Atlassion Crowd", der vor allem für die Atlassian-eigenen Dienste wie Jira, Confluence oder Bitbucket als Authentifikationszentrale dient. Möchten Sie Ihren eigenen Server aufsetzen, können Sie auch mit der offenen Alternative Keycloak [1] beginnen. Die von Red Hat entwickelte Software gibt es bereits seit 2014, derzeit wird sie unter dem Dach des JBoss-Anwendungsservers entwickelt.

Selfmade-SSO

Der Vorteil beim Selbstbetrieb eines SSO-Servers liegt darin, dass Sie nahezu beliebige existierende Verzeichnisdienste mit einbinden können. Ihre Benutzer verwenden also dieselben Zugangsdaten wie auch auf ihren Domänenrechnern oder für den E-Mail-Abruf. Das gelingt Ihnen auch bei Keycloak

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020