Besoin d'aide sur KeyCloak

Bonjour tout le monde :slight_smile:

je ne sais pas trop où poster ce message du coup j’ai choisi le café du commerce…

Alors voilà, je fais partie d’un collectif qui s’appelle Point Communs et qui héberge pas mal d’outils libres pour les mettre à disposition du réseau des communs (réseau informel donc la plupart de nos outils sont largement ouverts). Disons que si nous ne sommes pas un CHATONS, nous y ressemblons un peu dans les missions que nous nous sommes fixées :wink:
Beaucoup de nos outils sont d’ailleurs hébergés par le CHATONS IndieHosters, mais pas tous.

On utilise un SSO avec KeyCloak pour relier certains des outils : https://login.lescommuns.org/
A ce jour, il n’y a qu’un seul Realm puisque nous souhaitons qu’avec un seul login, un⋅e utilisateurice puisse accéder à tous les sites. Mais plus le nombre d’associations qui nous rejoignent augmente, plus il nous paraît peu sécurisé que les admins sys de chacune des assos aient un accès complet à toutes les données des autres…

Je viens ici pour demander de l’aide (ponctuelle) : est-ce que quelqu’un s’y connaît assez en KeyCloak pour nous dire s’il existe un moyen de séparer les accès admin (par exemple avec les Roles / Groups ?) sans pour cela créer des Realms séparés ? Ou alors si en créant des Realms séparés ont peut conserver un seul accès login/mot de passe ?

Voilà, j’espère que je ne suis pas trop hors sujet en venant vous demander de l’aide sur ce forum, mais on ne sait pas trop vers qui se tourner…

Merci d’avance :white_flower:

1 Like

Bonjour @maia,

As-tu eu une réponse ou trouver une solution?

Je ne connais pas bien keycloak, mais il y a eu des discussions autour de keycloak (ou du SSO plus généralement.) https://forum.chatons.org/c/services/sso-ldap/54

À priori @dino pourrait t’aider.

Mon point de vue, il te sera nécessaire de créer un Tenant|Realm par organisation pour cloisonner les rôles et les groupes d’accès de chacun comme peut le faire un graphe ldap.

Des bises :smile_cat:

Il manque une fonctionalité dans Kc qui serait le group admin, ce qui pourrait permettre de mieux cloisoner.

Ou alors, il faut fédérer les realm. Ça marche aussi, mais c’est tricky en terme de UX.
Tu peux voir un exemple ici: https://lab.libreho.st

Voila, pour résumer, il te faut 2 niveaux. Mais nous aussi :slight_smile:

Bah, c’est pas si vilain que ça. :nerd_face:

Avec des royaumes différents sont vu comme des serveurs différents par les applications car si une application est connecté a un royaume elle ne l’ait pas à un autre
les utilisateurs sont définis par royaume, donc a moins de brancher le même ldap sur chaque royaume les utilisateur·ices seront différentes

Merci tout le monde pour vos réponses !
Je n’ai pas les compétences pour comprendre dans le détail (ldap notamment), mais je vais transmettre à l’équipe d’administrateurs et j’espère que ça les aidera à avancer. :slight_smile:

La doc est là:

Mais en gros, tu peux continuer à avoir ton realm principal qui a tous les utilisateurice des « communs ».
Sauf que ces user, peuvent venir depuis un autre SSO, cela peut-etre facebook, twitter, github, ou, un autre realm.

Si il faut, je peux venir discuter, on a les meme problématiques, on a quelques idées :slight_smile:

Merci @pierre ! :slight_smile:
Le défi c’est d’organiser une réunion, je te tiens au courant :wink:

1 Like

on pourrait aussi faire de l’authentification inter-chatons avec keycloak

Sur le forum, on pourrait aussi :slight_smile: