de Admin UI - Keycloak (comments)

Wird der Server-URL ein “/auth” angehangen, so öffnet sich die UI von Keycloak, in der alle Einstellungen zur Benutzerverwaltung vorgenommen werden können. Dies inkludiert auch Einstellungen, die in der restlichen Admin UI als übersichtlichere Abkürzung vorgenommen werden können.

Auf der Startseite befindet sich ein Verweis auf die “Administration Console” und die “Documentation”. Nach klick auf “Administration Console” wird der Benutzer, sofern er nicht bereits eingeloggt ist, aufgefordert sich zu authentifizieren. Ein Benutzer mit der Rolle “admin” hat hier volle Berechtigungen.

Vorwiegend relevante Einstellungen seien im Folgenden kurz umrissen. Für eine allumfassende Dokumentation verweisen wir auf die Keycloak Dokumentation.

Realm Settings / Master / Login

Features wie das Erinnern an einen Benutzer nach Browser Neustart und die “Forgot password” Funktion können hier aktiviert werden. Für Letzteres ist unter dem Punkt Email die Konfiguration eines SMTP-Hosts notwendig.

Roles

Analog zu den Rolleneinstellungen in der Admin UI können hier Rollen erstellt werden. Unter Default Roles kann definiert werden, welche Standardrollen einem neuen Benutzer zugewiesen werden sollen. So kann beispielsweise erreicht werden, dass neue Benutzer immer alle Kommentare sehen dürfen, in dem automatisch die Rolle “viewer” zugewiesen wird.

Identity Providers

Externe Benutzerverwaltungen wie ein Active Directory über SAML oder OpenID Connect können hier angebunden werden. Rollen und Gruppen lassen sich hier von dem externen System auf interne Rollen und Gruppen mappen.

User Federation

Unter diesem Menüpunkt ist es möglich, Benutzer von einem externen System zu importieren. Beispielsweise kann hier ein Active Directory über LDAP angebunden werden. Der Unterschied zu den “Identity Providers” ist, dass hier die Benutzer nicht erst beim ersten Login importiert werden, sondern direkt in der Userliste zu Verfügung stehen. Rollen und Gruppen lassen sich auch hier von dem externen System auf interne Rollen und Gruppen mappen.

Authentication / Password Policy

Voraussetzungen für sichere Passwörter lassen sich hier definieren.

Groups

Analog zu den Gruppeneinstellungen in der Admin UI lassen sich hier Gruppen anlegen und editieren. Zusätzlich bietet sich hier die Möglichkeit, unter Role Mappings ganze Benutzerrollen einer Gruppe zuzuweisen. So vereinen Sie eine Sammlung von Rollen, die dann gemeinsam eine Berechtigung über die Authorizations erhalten. Unter Default Groups kann definiert werden, dass neuen Benutzern automatisch Gruppen zugewiesen werden.

Users

Analog zu den Benutzereinstellungen in der Admin UI können hier Benutzer angelegt und bearbeitet werden. Unter Credentials kann das Passwort eine Benutzers zurückgesetzt werden. Der Schalter “Temporary” sorgt dafür, dass der Benutzer dieses Passwort beim nächsten Login wieder ändern muss.