Besoin d'aide sur KeyCloak

maia · Mai 19, 2021, 6:09

Bonjour tout le monde

je ne sais pas trop où poster ce message du coup j’ai choisi le café du commerce…

Alors voilà, je fais partie d’un collectif qui s’appelle Point Communs et qui héberge pas mal d’outils libres pour les mettre à disposition du réseau des communs (réseau informel donc la plupart de nos outils sont largement ouverts). Disons que si nous ne sommes pas un CHATONS, nous y ressemblons un peu dans les missions que nous nous sommes fixées
Beaucoup de nos outils sont d’ailleurs hébergés par le CHATONS IndieHosters, mais pas tous.

On utilise un SSO avec KeyCloak pour relier certains des outils : https://login.lescommuns.org/
A ce jour, il n’y a qu’un seul Realm puisque nous souhaitons qu’avec un seul login, un⋅e utilisateurice puisse accéder à tous les sites. Mais plus le nombre d’associations qui nous rejoignent augmente, plus il nous paraît peu sécurisé que les admins sys de chacune des assos aient un accès complet à toutes les données des autres…

Je viens ici pour demander de l’aide (ponctuelle) : est-ce que quelqu’un s’y connaît assez en KeyCloak pour nous dire s’il existe un moyen de séparer les accès admin (par exemple avec les Roles / Groups ?) sans pour cela créer des Realms séparés ? Ou alors si en créant des Realms séparés ont peut conserver un seul accès login/mot de passe ?

Voilà, j’espère que je ne suis pas trop hors sujet en venant vous demander de l’aide sur ce forum, mais on ne sait pas trop vers qui se tourner…

Merci d’avance

stephane · Mai 21, 2021, 6:32

Bonjour @maia,

As-tu eu une réponse ou trouver une solution?

Je ne connais pas bien keycloak, mais il y a eu des discussions autour de keycloak (ou du SSO plus généralement.) https://forum.chatons.org/c/services/sso-ldap/54

À priori @dino pourrait t’aider.

Mon point de vue, il te sera nécessaire de créer un Tenant|Realm par organisation pour cloisonner les rôles et les groupes d’accès de chacun comme peut le faire un graphe ldap.

Des bises

pierre · Mai 21, 2021, 7:53

Il manque une fonctionalité dans Kc qui serait le group admin, ce qui pourrait permettre de mieux cloisoner.

Ou alors, il faut fédérer les realm. Ça marche aussi, mais c’est tricky en terme de UX.
Tu peux voir un exemple ici: https://lab.libreho.st

Voila, pour résumer, il te faut 2 niveaux. Mais nous aussi

stephane · Mai 21, 2021, 2:40

Bah, c’est pas si vilain que ça.

dino · Mai 21, 2021, 3:07

Avec des royaumes différents sont vu comme des serveurs différents par les applications car si une application est connecté a un royaume elle ne l’ait pas à un autre
les utilisateurs sont définis par royaume, donc a moins de brancher le même ldap sur chaque royaume les utilisateur·ices seront différentes

maia · Mai 21, 2021, 4:20

Merci tout le monde pour vos réponses !
Je n’ai pas les compétences pour comprendre dans le détail (ldap notamment), mais je vais transmettre à l’équipe d’administrateurs et j’espère que ça les aidera à avancer.

pierre · Mai 21, 2021, 4:27

La doc est là:
https://www.keycloak.org/docs/latest/server_admin/#_user-storage-federation

Mais en gros, tu peux continuer à avoir ton realm principal qui a tous les utilisateurice des « communs ».
Sauf que ces user, peuvent venir depuis un autre SSO, cela peut-etre facebook, twitter, github, ou, un autre realm.

Si il faut, je peux venir discuter, on a les meme problématiques, on a quelques idées

maia · Mai 21, 2021, 4:53

Merci @pierre !
Le défi c’est d’organiser une réunion, je te tiens au courant

dino · Mai 24, 2021, 9:17

on pourrait aussi faire de l’authentification inter-chatons avec keycloak

pierre · Mai 25, 2021, 3:16

Sur le forum, on pourrait aussi