Настройка Keycloak для 2FA аутентификации через Indeed AM Identity provider (для версии 8.1.5 и выше)

База знаний

6С чего начать? 31Indeed Privileged Access Manager 71Indeed Certificate Manager 175Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам

База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами

Автор Kirill Osipov, Last modified by Kirill Osipov на 12 марта 2025 11:04 PM

Настройка аутентификации в Keycloak с использованием модуля интеграции Indeed AM Identity provider.

Для корректной работы нам понадобится:

Установленные и настроенные продукты Indeed AM:
- Indeed AM Server (инструкция);
- Indeed AM Admin Console (инструкция);
- Indeed AM Log Server (инструкция);
- необходимые провайдеры для используемых средств аутентификации (инструкция);
- модуль интеграции Indeed AM Identity Provider (инструкция)
Установленный и настроенный сервер Keycloak (инструкция)

1. Настройка Keycloak

Заходим в консоль управления Keycloak под учетной записью с ролью администратора. На вкладке Identity providers добавляем новый провайдер SAML v2.0.

Если требуется, задаём желаемое отображаемое имя провайдера аутентификации.

Заполняем поля Single Sign-On service URL и Single logout service URL. Пример:
- https://<доменное имя сервера Indeed>/am/idp/Account/SsoService
- https://<доменное имя сервера Indeed>/am/idp/Account/SloService

Отключаем переключатели "Backchannel logout" и "Send 'client_id' in logout requests", а переключатель "Send 'id_token_hint' in logout requests" включаем.
Это требуется, для того чтобы при logout'е из консоли Keycloak происходил logout из Indeed AM IDP.

Остальные настройки оставьте на стандартных значениях. (для стандартной типовой конфигурации)

2. Настройка Indeed AM IDP

Открываем на редактирование конфигурационный файл IDP: C:\inetpub\wwwroot\am\idp\app-settings.json.

В секции LoginFormats добавляем блок для Keycloak.

Для InLoginFormat и OutLoginFormat задайте значения "Name" и "PrincipalName" соответственно.
В ServiceProvider требуется указать entityID, найти его можно в Metadata, которая расположена в настройках SAML, в консоли Keycloak.

В секции PartnerServiceProviderConfigurations добавляем блок для Keycloak.

Для параметра Name задаём значение entityID, который мы нашли ранее.
Для параметра SignSamlResponse задаём значение true.
Для параметра ValidAssertionConsumerServiceUrls требуется указать доменное имя сервера Keycloak.
Для параметра SingleLogoutServiceUrl требуется указать значение Redirect URI, расположено оно также в консоли Keycloak, в настройках SAML.

Пример:

{
            "Name": "https://keycloak.indeed-test.com/realms/master",
            "SignSamlResponse": true,
            "ValidAssertionConsumerServiceUrls": [
               "https://keycloak.indeed-test.com"
            ],
            "SingleLogoutServiceUrl": "https://keycloak.indeed-test.com/realms/master/broker/saml/endpoint"
},

3. Проверка работы сценария

Выбираем метод аутентификации SAML IDP

Происходит перенаправление на страницу Indeed AM IDP, где нужно ввести учетную запись, выбрать метод аутентификации и выполнить вход.

Успешно аутентифицируемся и попадаем на стартовую на страницу Keycloak. Наполнение и отображение тех или иных разделов, настраивается в управлении ролями в консоли Keycloak.

В консоли администрирования Indeed AM наблюдаем аудит успешной аутентификации.

(1 голос(а))

Эта статья полезна

Эта статья бесполезна

Комментарии (0)

Портал технической поддержки компании Индид