- 1. Architektur und Realm-Design
- Das Multi-Tenancy-Modell: Trennung von Mandanten durch Realms.
- Master-Realm vs. Custom Realms: Best Practices für die Verwaltung.
- Ressourcen-Isolation: Benutzer, Rollen und Gruppen im Kontext von Realms.
- 2. Client Configurations und OIDC/SAML
- Client-Typen: Confidential, Public und Bearer-only Clients.
- Protokoll-Mapper: Anpassung der ID- und Access-Tokens (Claims).
- Flow-Management: Konfiguration von Browser- und Direct-Access-Flows.
- 3. User Federation: LDAP und Active Directory
- Synchronisation: Anbindung an bestehende Verzeichnisdienste.
- Mapper-Logik: Übertragung von LDAP-Attributen in Keycloak-User-Attribute.
- Schreibzugriff: Strategien für Read-only vs. Read-write Setups.
- 4. Identity Brokering und Social Login
- Federation: Integration von Google, GitHub und anderen OIDC/SAML-Providern.
- First Broker Login Flow: Verknüpfung externer Identitäten mit lokalen Accounts.
- Login-Branding: Dynamische Auswahl des Identity Providers für den User.
- 5. Customizing: Themes und Lokalisierung
- Theme-Architektur: Anpassung von Login-, Admin- und Account-Seiten.
- Freemarker Templates: Dynamische Inhalte und CSS-Styling für Markenkonformität.
- Internationalisierung: Verwaltung von Sprachpaketen und benutzerdefinierten Texten.
- 6. Custom SPI (Service Provider Interface)
- Erweiterbarkeit: Entwicklung eigener Authenticator, User Storage Provider oder Event Listener.
- Java-Integration: Implementierung und Deployment von JAR-Files in Keycloak.
- Anwendungsfall: Integration proprietärer Altsysteme oder spezieller MFA-Methoden.
- 7. Authorization Services und Fine-Grained Access
- Resource-based Auth: Definition von Ressourcen, Scopes und Policies.
- Policy Enforcer: Durchsetzung von Berechtigungen in der Applikation.
- UAP (User-Managed Access): Delegation von Berechtigungen durch den User.
- 8. Token Exchange und fortgeschrittene Protokolle
- Token Exchange: Umwandlung von externen in interne Tokens (und umgekehrt).
- Backchannel-Kommunikation: Sicherheit in Microservices-Architekturen.
- Session-Management: Kontrolle über aktive Logins und Logout-Propagation.
- 9. Praxis-Simulation: Das Secure Enterprise Portal
- Workshop: Setup eines Multi-Tenant-Szenarios mit LDAP-Anbindung.
- Customizing-Task: Erstellung eines benutzerdefinierten Login-Themes.
- API-Task: Automatisierte Erstellung eines Clients via Admin REST API.
- Final Audit: Validierung der Token-Inhalte und Sicherheits-Checks (MFA).
LernzieleDie Teilnehmenden erlernen die Architektur und Konfiguration von Keycloak für professionelle Umgebungen. Ziel ist es, Realms und Clients sicher aufzusetzen, externe Identitätsprovider (LDAP/AD/Social) zu föderieren und Themes sowie Authorization Services zu implementieren, um eine zentrale, markenkonforme und sichere Login-Infrastruktur bereitzustellen.
Zielgruppen- Software-Architekten: Zur Planung zentraler Authentifizierungs-Strategien.
- Backend-Entwickler: Zur Integration von OIDC/SAML in ihre Applikationen.
- DevOps Engineers: Zur Automatisierung und Skalierung der Keycloak-Instanzen.
- IT-Sicherheitsbeauftragte: Zur Durchsetzung von MFA- und Compliance-Vorgaben.
