Co je to Keycloak?

Keycloak je open-source platforma pro správu identit a řízení přístupu (Identity and Access Management), která firmám umožňuje zavést jednotné přihlašování (Single Sign-On) a centralizovanou správu uživatelů. Uživatelé se díky Keycloak přihlásí jen jednou a získají bezpečný přístup ke všem povoleným aplikacím, aniž by se museli přihlašovat opakovaně​ KEYCLOAK.ORG. 

To zvyšuje bezpečnost a pohodlí – odpadá správa více hesel a účtů napříč systémy. Keycloak je navíc vyvíjen komunitou pod záštitou společnosti Red Hat jako otevřený software, takže nevyžaduje žád

Single Sign-On (SSO)

Jednotné přihlášení do více systémů. Uživatel se jednou ověří přes Keycloak a poté má přístup ke všem integrovaným aplikacím, dokud se neodhlásí. Keycloak podporuje i jednotné odhlášení – stačí se odhlásit jednou a tím se ukončí relace ve všech aplikacích najednou.

Federace uživatelů

Možnost propojit Keycloak s existujícími úložišti uživatelů, jako jsou LDAP nebo Active Directory​ KEYCLOAK.ORG. Keycloak se napojí na vaše stávající adresářové služby či databáze, takže můžete využít dosavadní uživatelské účty a nemusíte je migrovat.

Řízení přístupu a autorizace

Centrální správa uživatelských rolí, skupin a oprávnění. Administrátoři mohou v Keycloaku definovat role a přístupové politiky pro jednotlivé aplikace. Keycloak podporuje i jemně zrnitá oprávnění (fine-grained authorization) pro specifické zdroje a akce​ KEYCLOAK.ORG, což umožňuje detailně řídit, kdo co smí v které aplikaci dělat.

Identity Brokering a sociální přihlášení 

Propojení s externími identity providery. Keycloak umožňuje, aby se uživatelé přihlašovali také pomocí účtů z jiných systémů nebo sociálních sítí (Google, Facebook apod.), pokud to povolíte. Lze jej nakonfigurovat tak, aby akceptoval uživatele z externích OpenID Connect nebo SAML 2.0 poskytovatelů identity​

KEYCLOAK.ORG, aniž by bylo nutné zásadně upravovat aplikace.

Vícefaktorová autentizace (MFA) 

Podpora dvoufaktorového ověření a dalších metod silného ověření uživatele. Keycloak umí vyžadovat při přihlášení další faktor (např. jednorázové heslo z mobilní aplikace nebo SMS) pro citlivé aplikace, čímž posiluje zabezpečení přístupu.

Správa uživatelských účtů

Samoobslužný portál pro uživatele. Každý uživatel může přes uživatelskou konzoli Keycloak spravovat svůj profil – například změnit si heslo, aktualizovat osobní údaje nebo spravovat propojené účty (pokud využívá sociální login). To snižuje zátěž administrátorů a zlepšuje uživatelský komfort.

Podpora otevřených standardů

Keycloak je postaven na standardních protokolech pro autorizaci a autentizaci. Podporuje OpenID Connect, OAuth 2.0 a SAML 2.0​ KEYCLOAK.ORG, takže jej lze snadno integrovat s většinou moderních aplikací a služeb. K dispozici jsou také připravené adaptéry a knihovny pro různé programovací jazyky a platformy, které usnadňují propojení aplikací s Keycloakem.

Jak Keycloak funguje

Keycloak funguje jako centrální autorizační server v infrastruktuře vaší společnosti. Aplikace už nemusí řešit ověřování uživatelů samostatně – místo toho přesměrují uživatele na Keycloak, kde proběhne přihlášení na jednotné přihlašovací stránce. Po úspěšném ověření vydá Keycloak pro uživatele bezpečný token (např. JSON Web Token), který obsahuje informace o jeho identitě a rolích. S tímto tokenem se uživatel vrací do původní aplikace, která na jeho základě umožní přístup k požadovaným funkcím.

Celý proces využívá standardní protokoly OAuth2/OpenID Connect nebo SAML, takže aplikace mohou Keycloak snadno začlenit pomocí běžných knihoven. Díky centralizovanému ověřování tak všechny vaše systémy důvěřují jednomu zdroji pravdy o identitě uživatelů – což zjednodušuje architekturu a zvyšuje bezpečnost.

Zvýšení bezpečnosti

Centrální kontrola přístupů umožňuje lépe prosazovat bezpečnostní politiky (komplexní hesla, povinné 2FA, pravidelné expirace hesel atd.). Eliminace více účtů a hesel snižuje riziko slabých míst. Díky jednotnému přihlášení máte také lepší přehled o aktivitě uživatelů a můžete snadno zablokovat přístup napříč všemi systémy najednou při bezpečnostní hrozbě.

Větší uživatelský komfort

Uživatelé (zaměstnanci i zákazníci) ocení, že se stačí přihlásit jednou a získají přístup ke všem potřebným aplikacím. Odpadá opakované zadávání hesel a přihlašování do každého systému zvlášť, což zvyšuje produktivitu práce a spokojenost uživatelů.

Efektivnější správa IT

Administrátoři spravují účty a přístupy centralizovaně v Keycloaku místo v každé aplikaci. To výrazně snižuje administrativní zátěž – nové zaměstnance nebo zákazníky přidáte jednou a přidělíte jim potřebné role pro všechny systémy. Stejně tak při odchodu uživatele stačí deaktivovat či odebrat přístupy na jednom místě.

Rychlejší integrace aplikací

 Keycloak je open-source projekt s velkou komunitou uživatelů po celém světě. Jeho kód je veřejně auditovaný a neustále vylepšovaný. Firmy nemusí platit žádné licence za software – investují pouze do implementace a případné podpory. Díky absenci vendor lock-in máte plnou kontrolu nad řešením a v případě potřeby lze získat i komerční podporu (např. enterprise verze od Red Hat), což svědčí o vyspělosti tohoto řešení.

Analýza a návrh řešení

Naši experti nejprve zanalyzují vaše stávající systémy, požadavky na zabezpečení a potřeby uživatelů. Navrhneme optimální architekturu nasazení Keycloak ve vaší infrastruktuře a integraci do vašich aplikací. Získáte jasnou představu o postupu, rizicích a přínosech ještě před samotnou implementací.

Implementace a integrace

Zajistíme instalaci a konfiguraci Keycloak na míru vašemu prostředí (on-premise nebo v cloudu). Propojíme Keycloak s vašimi adresáři uživatelů (AD/LDAP) a integrujeme vaše aplikace do systému SSO. Vytvoříme potřebné realm-y, role, pravidla a případně upravíme vzhled přihlašovacích stránek tak, aby odpovídaly firemnímu brandu. Dbáme na bezpečné nastavení celého řešení a minimální narušení provozu během nasazení.

Podpora a údržba

Po nasazení poskytujeme kontinuální podporu a správu Keycloak. Sledujeme dostupnost a výkon, aplikujeme bezpečnostní aktualizace a nové verze, řešíme případné incidenty. Můžete se na nás spolehnout při dalším rozvoji – například když potřebujete připojit nové aplikace, upravit nastavení nebo rozšířit integrace.

Školení a konzultace

Zaškolíme vaše administrátory a vývojáře, aby byli schopni Keycloak efektivně využívat a spravovat. Nabízíme praktická školení přímo na vašem řešení i konzultace k pokročilým tématům (např. custom authentication flows, integrace dalších systémů apod.). Díky tomu vaše IT oddělení získá potřebnou jistotu a know-how pro práci s Keycloakem.

Řešení

BOOTIQ provedl podrobnou analýzu a navrhl nasazení Keycloak jako jednotného autentizačního serveru. Během projektu jsme Keycloak integrovali s interním Active Directory pro načítání uživatelů a jejich automatické přidělování do odpovídajících rolí. Všechny hlavní interní aplikace (portály, CRM, interní systémy) jsme propojili s Keycloak přes protokol OpenID Connect. Dále jsme nastavili dvoufaktorovou autentizaci pro citlivé aplikace a jednotnou odhlašovací funkci pro zvýšení bezpečnosti.

Výsledek

Zaměstnanci klienta se nyní přihlašují jediným účtem do všech svých pracovních aplikací, což výrazně zjednodušilo jejich každodenní práci. IT oddělení získalo centrální kontrolu nad přístupy – nové oprávnění nebo odebrání přístupu lze vyřešit během chvilky z jednoho místa. Klesl počet požadavků na helpdesk ohledně resetování hesel a bezpečnost celého prostředí se zvýšila zavedením 2FA. Klient tak díky Keycloaku dosáhl jak lepší bezpečnosti, tak úspory času a nákladů na správu uživatelů.