Настройка аутентификации с использованием OpenID Connect и Keycloak

Настройка аутентификации с использованием Client ID и Client Secret через OpenID Connect (OIDC) позволяет повысить безопасность авторизации и централизованно управлять доступом пользователей к системе Proceset через Keycloak. Этот метод особенно полезен, если требуется аутентификация большого числа пользователей.

Для настройки аутентификации через OIDC и Keycloak с помощью механизма Client ID и Client Secret выполните описанные ниже шаги.

Настройка клиента в Keycloak

1. Во вкладке настроек нового клиента выберите тип клиента OpenID Connect и задайте Client ID для идентификации клиента в Keycloak.
2. Во вкладке Credentials в поле Client Authenticator выберите тип аутентификации Client ID and Secret. Этот параметр задает способ аутентификации клиента Proceset в Keycloak.
3. Во вкладке Client scopes оставьте области (scopes) email и profile. Остальные области можно удалить. Эти параметры определяют, какие данные передаются клиенту при аутентификации.
4. Перейдите во вкладку Settings и в разделе Access Settings заполните следующие поля:
   • Root URL — адрес домена
   • Home URL — адрес домашней страницы
   • Valid redirect URIs — /oidc_auth/auth
   

Добавление аутентификации в Proceset

1. Перейдите в раздел настроек Аутентификация и добавьте новый тип аутентификации — OpenID.
2. В открывшемся окне в поле Issuer URL введите URL из атрибута issuer. Чтобы увидеть значение атрибута, перейдите во вкладку Realm Settings в Keycloak и откройте ссылку OpenID Endpoint Configuration. Этот URL позволяет системе Proceset обращаться к OIDC-провайдеру.
3. Заполните поля Client Authenticator, Client ID и Client secret значениями из Keycloak.
4. Нажмите Добавить.
5. Назначьте созданную OpenID-аутентификацию хотя бы одному пользователю Proceset, чтобы она стала доступной для использования.

Аутентификация по протоколу OIDC с использованием Client ID и Client Secret успешно настроена. Теперь пользователи Proceset могут проходить безопасную аутентификацию через Keycloak.