Платформа 3V/Планировщик/Настройки аутентификации/Как настроить конфиденциального клиента на примере Keycloak: различия между версиями

Материал из 3v-wiki
Перейти к навигации Перейти к поиску
(Новая страница: «test»)
 
 
(не показано 7 промежуточных версий 2 участников)
Строка 1: Строка 1:
test
+
{{DISPLAYTITLE:Как настроить конфиденциального клиента на примере Keycloak}}
 +
Для примера возьмем киклок на стенде разработки.
 +
* Заходим в консоль киклока - https://3v.3v-group.net/auth/admin/master/console/
 +
* Слева в меню выбираем Configure / Clients и нажимаем Create<br>
 +
[[Файл:keycloack client create.gif]]
 +
* В открывшемся окне задаем идентификатор клиента и нажимаем Save<br>
 +
[[Файл:keycloack-save-client-id.gif]]
 +
* После нажатия Save откроются дополнительные настройки клиента, где надо установить для свойства Access Type значение confidential, для Direct Access Grants Enabled - off, для Service Accounts Enabled - on, для поля Valid Redirect URIs нужно установить валидные шаблоны урлов (например, для стенда разработки это будет https://3v.3v-group.net/* и, для возможности отлаживаться локально - http://localhost* и https://localhost*)<br>
 +
[[Файл:keycloack-confidential-client-settings.gif]]
 +
* Нажимаем Save
 +
* Переходим на вкладку Service Account Roles и в строке Client Role пишем нужного нам клиента с ролями из которого мы хотим сопоставить созданного нами конфиденциального клиента.<br>
 +
[[Файл:keycloack-client-roles-assign.gif]]
 +
* Переходим на вкладку Credentials и теперь у нас есть clientId и clientSecret, которые мы можем использовать, например, для настройки аутентификации задач шедулера. Таким образом, задачи шедулера будут выполняться с правами, которые есть у тех ролей, с которыми мы сопоставили нашего конфиденциального клиента (см. предыдущий пункт).<br>
 +
'''clientId''' - в настройках аутентификации scheduler задается с маленькой буквы.
 +
[[Файл:keycloack-clientId-clientSecret.gif]]

Текущая версия на 08:42, 27 декабря 2021

Для примера возьмем киклок на стенде разработки.

keycloack client create.gif

  • В открывшемся окне задаем идентификатор клиента и нажимаем Save

keycloack-save-client-id.gif

  • После нажатия Save откроются дополнительные настройки клиента, где надо установить для свойства Access Type значение confidential, для Direct Access Grants Enabled - off, для Service Accounts Enabled - on, для поля Valid Redirect URIs нужно установить валидные шаблоны урлов (например, для стенда разработки это будет https://3v.3v-group.net/* и, для возможности отлаживаться локально - http://localhost* и https://localhost*)

keycloack-confidential-client-settings.gif

  • Нажимаем Save
  • Переходим на вкладку Service Account Roles и в строке Client Role пишем нужного нам клиента с ролями из которого мы хотим сопоставить созданного нами конфиденциального клиента.

keycloack-client-roles-assign.gif

  • Переходим на вкладку Credentials и теперь у нас есть clientId и clientSecret, которые мы можем использовать, например, для настройки аутентификации задач шедулера. Таким образом, задачи шедулера будут выполняться с правами, которые есть у тех ролей, с которыми мы сопоставили нашего конфиденциального клиента (см. предыдущий пункт).

clientId - в настройках аутентификации scheduler задается с маленькой буквы. keycloack-clientId-clientSecret.gif