Kontakty
cs cs

Keycloak

Otvorené riešenie pre SSO a správu identity

Background imagekeycloak/services-midjourney_minimalistic_3d_render_of_a_modern_key_in_c5df0aba-1621-44d8-a590-f664896b3b01_2




čo vieme

Čo je to Keycloak?


Keycloak je open-source platforma pre správu identít a riadenie prístupu (Identity and Access Management – IAM), ktorá firmám umožňuje zaviesť jednotné prihlásenie (Single Sign-On – SSO) a centralizovanú správu používateľov.


Používatelia sa vďaka Keycloak prihlásia len raz a získajú bezpečný prístup ku všetkým povoleným aplikáciám, aniž by sa museli prihlasovať opakovane. To zvyšuje bezpečnosť a pohodlie – odpadá správa viacerých hesiel a účtov naprieč systémami. Keycloak je navyše vyvíjaný komunitou pod záštitou spoločnosti Red Hat ako otvorený software, takže nevyžaduje žiadne licenčné poplatky.



čo vieme

Hlavné funkcie Keycloak?

Jednotné prihlásenie (SSO)

Federácia používateľov 

Riadenie prístupu a autorizácia

Identity Brokering a sociálne prihlásenie 

Viacfaktorová autentifikácia (MFA)

Správa užívateľských účtov

Podpora otvorených štandardov

Single Sign-On (SSO)

Jednotné prihlásenie do viacerých systémov. Užívateľ sa raz overí cez Keycloak a potom má prístup ku všetkým integrovaným aplikáciám, kým sa neodhlási. Keycloak podporuje aj jednotné odhlásenie – stačí sa odhlásiť raz a tým sa ukončí relácia vo všetkých aplikáciách naraz.

Federácia používateľov

Možnosť prepojiť Keycloak s existujúcimi úložiskami používateľov, ako sú LDAP alebo Active Directory. Keycloak sa pripojí k vašim existujúcim adresárovým službám alebo databázam, takže môžete využiť doterajšie používateľské účty a nemusíte ich migrovať.

Riadenie prístupu a autorizácia

Centrálna správa užívateľských rolí, skupín a oprávnení. Administrátori môžu v Keycloaku definovať role a prístupové politiky pre jednotlivé aplikácie. Keycloak podporuje aj jemne zrnité oprávnenia (fine-grained authorization) pre špecifické zdroje a akcie, čo umožňuje detailne riadiť, kto čo smie v ktorej aplikácii robiť.

Identity Brokering a sociálne prihlásenie

Prepojenie s externými identity providery. Keycloak umožňuje, aby sa užívatelia prihlasovali tiež pomocou účtov z iných systémov alebo sociálnych sietí (Google, Facebook apod.), ak to povolíte. Dá sa nakonfigurovať tak, aby akceptoval užívateľov z externých OpenID Connect alebo SAML 2.0 poskytovateľov identity, bez toho aby musel zásadne upravovať aplikácie.

Viacfaktorová autentifikácia (MFA)

Podpora dvojfaktorového overenia a ďalších metód silného overenia používateľa. Keycloak dokáže pri prihlásení vyžadovať ďalší faktor (napr. jednorazové heslo z mobilnej aplikácie alebo SMS) pre citlivé aplikácie, čím posilňuje zabezpečenie prístupu

Správa užívateľských účtov

Samoobslužný portál pre používateľov. Každý používateľ môže cez užívateľskú konzolu Keycloak spravovať svoj profil – napríklad zmeniť si heslo, aktualizovať osobné údaje alebo spravovať prepojené účty (ak využíva sociálne prihlásenie). To znižuje zaťaženie administrátorov a zlepšuje užívateľský komfort

Podpora otvorených štandardov

Keycloak je postavený na štandardných protokoloch pre autorizáciu a autentifikáciu. Podporuje OpenID Connect, OAuth 2.0 a SAML 2.0, takže ho možno ľahko integrovať s väčšinou moderných aplikácií a služieb. K dispozícii sú tiež pripravené adaptéry a knižnice pre rôzne programovacie jazyky a platformy, ktoré uľahčujú prepojenie aplikácií s Keycloakom.

čo vieme

Ako Keycloak funguje

Keycloak funguje ako centrálny autorizačný server v infraštruktúre vašej spoločnosti. Aplikácie už nemusia riešiť overovanie používateľov samostatne – namiesto toho presmerujú používateľov na Keycloak, kde prebehne prihlásenie na jednotnej prihlasovacej stránke. Po úspešnom overení vydá Keycloak pre používateľa bezpečný token (napr. JSON Web Token), ktorý obsahuje informácie o jeho identite a rolách. S týmto tokenom sa používateľ vracia do pôvodnej aplikácie, ktorá na jeho základe umožní prístup k požadovaným funkciám.


Celý proces využíva štandardné protokoly OAuth2/OpenID Connect alebo SAML, takže aplikácie môžu Keycloak ľahko začleniť pomocou bežných knižníc. Vďaka centralizovanému overovaniu tak všetky vaše systémy dôverujú jednému zdroju pravdy o identite používateľov – čo zjednodušuje architektúru a zvyšuje bezpečnosť.

čo vieme

Výhody Keycloak pre firemné prostredie

Zvýšenie bezpečnosti

Väčší užívateľský komfort

Efektívnejšie správa IT

Rýchlejšia integrácia aplikácií

Overená technológia bez licenčných poplatkov

Zvýšenie bezpečnosti

Centrálna kontrola prístupov umožňuje lepšie presadzovať bezpečnostné politiky (komplexné heslá, povinné dvojfaktorové overenie, pravidelné expirácie hesiel atď.). Eliminácia viacerých účtov a hesiel znižuje riziko slabých miest. Vďaka jednotnému prihláseniu máte tiež lepší prehľad o aktivite používateľov a môžete ľahko zablokovať prístup cez všetky systémy naraz pri bezpečnostnej hrozbe.

Veľký užívateľský komfort

Užívatelia (zamestnanci aj zákazníci) ocenia, že sa stačí prihlásiť raz a získajú prístup ku všetkým potrebným aplikáciám. Odpadá opakované zadávanie hesiel a prihlasovanie do každého systému zvlášť, čo zvyšuje produktivitu práce a spokojnosť užívateľov


Efektívnejšie spravovanie IT

Administrátori spravujú účty a prístupy centralizovane v Keycloaku miesto v každej aplikácii. To výrazne zníži administratívnu záťaž – nových zamestnancov alebo zákazníkov pridáte raz a pridáte im potrebné roly pre všetky systémy. Rovnako pri odchode používateľa stačí deaktivovať alebo odobrať prístupy na jednom mieste

Rýchlejšia integrácia aplikácií

S Keycloakom je možné jednoducho pripojiť nové aplikácie do jednotného systému prihlásení. Vývojári nemusia vytvárať vlastný systém prihlásení pre každú novú aplikáciu – namiesto toho aplikáciu integrujú s Keycloakom pomocou štandardných protokolov. To skracuje čas uvedenia nových aplikácií do prevádzky a zabezpečuje konzistentnú správu používateľov

Overená technológia bez licenčných poplatkov

Keycloak je open-source projekt s veľkou komunitou používateľov po celom svete. Jeho kód je verejne auditovaný a neustále vylepšovaný. Firmy nemusia platiť žiadne licencie za software – investujú len do implementácie a prípadnej podpory. Vďaka absencii vendor lock-in máte plnú kontrolu nad riešením a v prípade potreby je možné získať aj komerčnú podporu (napr. enterprise verzia od Red Hat), čo svedčí o vyspelosti tohto riešenia.

čo vieme

Služby BOOTIQ pre Keycloak

Pre úspešnú implementáciu Keycloak BOOTIQ ponúka kompletné spektrum služieb od úvodnej analýzy až po dlhodobú podporu.


Analýza a návrh riešení

Naši experti najprv zanalyzujú vaše existujúce systémy, požiadavky na zabezpečenie a potreby používateľov. Navrhneme optimálnu architektúru nasadenia Keycloaku vo vašej infraštruktúre a integráciu do vašich aplikácií. Získate jasnú predstavu o postupe, rizikách a prínosoch ešte pred samotnou implementáciou.


Implementácia a integrácia

Zabezpečíme inštaláciu a konfiguráciu Keycloak podľa vášho prostredia (on-premise alebo v cloude). Prepojíme Keycloak s vašimi adresármi používateľov (AD/LDAP) a integrujeme vaše aplikácie do systému SSO. Vytvoríme potrebné realm-y, role, pravidlá a prípadne upravíme vzhľad prihlasovacích stránok tak, aby zodpovedali firemnému brandu. Dávame pozor na bezpečné nastavenie celého riešenia a minimálne narušenie prevádzky počas nasadenia.


Podpora a údržba

Po nasadení poskytujeme kontinuálnu podporu a správu Keycloak. Sledujeme dostupnosť a výkon, aplikujeme bezpečnostné aktualizácie a nové verzie, riešime prípadné incidenty. Môžete sa na nás spoľahnúť pri ďalšom rozvoji – napríklad keď potrebujete pripojiť nové aplikácie, upraviť nastavenia alebo rozšíriť integrácie


Školenie a konzultácie

Zaškolíme vašich administrátorov a vývojárov, aby boli schopní efektívne využívať a spravovať Keycloak. Ponúkame praktické školenia priamo na vašom riešení a konzultácie k pokročilým témam (napr. custom authentication flows, integrácia ďalších systémov atď.). Vďaka tomu získa vaše IT oddelenie potrebnú istotu a know-how pre prácu s Keycloakom

čo vieme

Príklad z praxe – implementácia u klienta

Jeden z našich klientov, významná finančná inštitúcia s niekoľkými tisíckami zamestnancov a desiatkami interných aplikácií, čelil problému roztriedeného správy užívateľských účtov. Každá aplikácia mala vlastné prihlasovanie a užívatelia si museli pamätať mnoho hesiel. To prinášalo bezpečnostné riziká a vysokú záťaž pre IT podporu 


Riešenie

BOOTIQ provedl podrobnú analýzu a navrhol nasadenie Keycloak ako jednotného autentizačného servera. Počas projektu sme Keycloak integrovali s interným Active Directory pre načítanie užívateľov a ich automatické pridelenie do príslušných rolí. Všetky hlavné interné aplikácie (portály, CRM, interné systémy) sme prepojili s Keycloak cez protokol OpenID Connect. Ďalej sme nastavili dvojfaktorovú autentizáciu pre citlivé aplikácie a jednotnú odhlasovaciu funkciu pre zvýšenie bezpečnosti. 


Výsledok

Zamestnanci klienta sa teraz prihlasujú jedným účtom do všetkých svojich pracovných aplikácií, čo výrazne zjednodušilo ich každodennú prácu. IT oddelenie získalo centrálnu kontrolu nad prístupmi – nové oprávnenie alebo odobratie prístupu je možné vyriešiť behom okamihu z jedného miesta. Počet požiadaviek na helpdesk ohľadom resetovania hesiel klesol a bezpečnosť celého prostredia sa zvýšila zavedením dvojfaktorového overenia. Klient tak vďaka Keycloak-u dosiahol ako lepšiu bezpečnosť, tak aj úspory času a nákladov na správu používateľov. 

Naši klienti

logologologo

Najčastejšie otázky (FAQ)

Funguje Keycloak s naším Active Directory a existujúcimi aplikáciami?

Áno. Keycloak je možné jednoducho pripojiť k Active Directory alebo inému LDAP serveru, takže môžete využiť existujúcu databázu používateľov. Vaši používatelia budú spravovaní v AD, ale Keycloak si z neho bude používateľov čítať a overovať ich heslá v reálnom čase. Zároveň Keycloak podporuje štandardné protokoly (OIDC, OAuth2, SAML), takže väčšinu aplikácií - od moderných webových aplikácií po legacy systémy - je možné integrovať pre jednotné prihlásenie. Výsledkom je, že Keycloak funguje ako medzivrstva, ktorá prepojí vaše existujúce systémy do jedného bezpečného SSO celku, bez toho aby ste museli meniť samotné aplikácie.

Je Keycloak naozaj open-source? Čo to znamená pre podporu a aktualizácie?

Áno, Keycloak je open-source projekt pod licenciou Apache License 2.0. To znamená, že jeho zdrojový kód je verejný a zadarmo k použitiu. Nemusíte platiť žiadne licencie za softvér. Zároveň je Keycloak vyvíjaný obrovskou komunitou a tiež v rámci Red Hat, čo zabezpečuje pravidelné aktualizácie, záplaty a vylepšovanie funkcií. Pre podporu máte na výber – buď sa spoľahnúť na komunitu (dokumentácia, fóra) alebo využiť profesionálnu podporu. Spoločnosť BOOTIQ poskytuje kompletnú podporu a servis pre Keycloak v produkčnom prostredí, takže sa nemusíte obávať, že by ste na riešení zostali sami.

Ako bezpečný je Keycloak pre firemné použitie?

Keycloak je navrhnutý s dôrazom na bezpečnosť. Podporuje všetky moderné bezpečnostné mechanizmy - od šifrovania komunikácie, cez bezpečné ukladanie hesiel, až po spomínanú dvojfaktorovú autentifikáciu. Vďaka centrálnej správe môžete aplikovať bezpečnostné politiky jednotne (napr. minimálna dĺžka hesla, uzamknutie účtu po X neúspešných pokusoch atď.). Keycloak tiež pravidelne prechádza bezpečnostnými auditmi v rámci open-source komunity a enterprise používateľov. V praxi ho využívajú veľké firmy aj štátne inštitúcie, takže ide o overené riešenie. Pri správnom nastavení a údržbe (s čím vám pomôže BOOTIQ) je Keycloak veľmi bezpečný pre produkčné nasadenie. 

Pre aké veľké prostredie je Keycloak vhodný?

Keycloak je škálovateľné riešenie, ktoré je možné nasadiť ako v malých firmách, tak aj vo veľkých organizáciách s miliónmi používateľov. Je možné ho prevádzkovať v klastri viacerých serverov pre zabezpečenie vysoké dostupnosti a zvládnutie veľkého počtu autentizačných požiadaviek. Vďaka tomu neexistuje striktný limit na počet používateľov alebo aplikácií – Keycloak rastie spoločne s vami. Dôležité je správne nastavenie a dimenzovanie infraštruktúry, s čím vám prípadne poradíme. V prostrediach od desiatok používateľov až po státisíce úspešne Keycloak slúži. 

Ako prebieha nasadenie Keycloak a ako dlho trvá?

Postup nasadenia sa zvyčajne skladá z niekoľkých fáz. Najprv prebehne analýza a návrh riešenia (dni až jednotky týždňov, podľa komplexnosti prostredia). Nasleduje samotná implementácia – inštalácia a konfigurácia Keycloak serveru, napojenie na vaše adresáre a integrácia prvých aplikácií do SSO. Táto fáza môže trvať niekoľko týždňov, opäť podľa rozsahu integrácií. Po otestovaní nasleduje nasadenie do ostrého prevádzkovania a zaškolenie administrátorov. Celkovo je možné základné riešenie spustiť behom niekoľkých týždňov od zahájenia projektu. BOOTIQ vám navyše pomôže s riadením celého projektu, takže nasadenie prebehne hladko. Konkrétny časový odhad a plán vám poskytneme po úvodnej analýze zdarma. 

Zaujalo vás riešenie Keycloak?

Nezaváhajte sa na nás obrátiť a preberieme možnosti jeho využitia vo vašej organizácii. Zavolajte, napíšte alebo si dohodnite stretnutie s našimi špecialistami ešte dnes – radi zodpovieme vaše otázky a navrhneme ďalší postup. Spoločne posilníme bezpečnosť a zjednodušíme správu používateľov aj vo vašej firme.

Ozvite sa nám
Background imageblog/fotky-sk-bootiq/skupinovka3

Sme tu pre vás

Jozef Kosa
Jozef Kosa
Obchodný manažér+421 918 757 438
Ľubomír Starek
Ľubomír Starek
Stream leader +421 918 804 309
Anabela Benedeková
Anabela Benedeková
HR manažérka+421 905 563 017
Jsme súčasťou BIQ Group.