今日やること
Keycloakアドベンドカレンダー9日目の今回は、Keycloakの管理コンソールをみてみます。
Keycloakの管理コンソールには
- 管理者向け機能
- 利用者向け機能(ユーザー・アカウント・サービス)
があります。
今日は前者の「管理者向け機能」についてみてみます。
事前準備
2日目の『Keycloakのセットアップ』の通り、以下を準備します。
- Keycloak環境
- Keycloak管理ユーザーと一般ユーザーの作成
管理コンソールの概要
管理コンソールは、Keycloakの設定や、ユーザー、グループ等を管理する機能になります。http://localhost:8080/auth/admin/ にアクセスし、管理者ユーザーでログインします。レルムの管理者でログインする場合は、http://localhost:8080/auth/admin/レルム名/console/ にアクセスします。(レルム「demo」の管理者でログインする場合は、http://localhost:8080/auth/admin/demo/console/ にアクセス)
管理コンソールは、画面左側がメニュー、右側が選択メニューに対する設定という構成になっています。
項目名の横にある「?」マークの上にカーソルをあてると、項目の説明が表示されます。
サーバ管理者でログインした場合は、画面左上のレルム名の部分で操作対象のレルムを切り替えることができます。
それでは、管理コンソールの設定をみていきます。
管理コンソールの設定項目
レルム設定
レルムの各種設定を管理する画面です。
一般
レルム名や表示名等を設定する画面です。
| 項目名 | 説明 | デフォルト値 |
|---|---|---|
| 名前 | レルム名。URLに使用される。 | |
| 表示名 | レルム表示名。ブラウザタイトルに使用される。 | |
| HTML表示名 | HTML上のレルム表示名。ログイン画面のボディ部に使用される。 | |
| 有効 | レルム有効フラグ。 | オン |
| エンドポイント | OpenID Connectエンドポイントの設定を表示するリンク。 | OpenID Endpoint Configuration |
ログイン
ログイン関連の設定画面です。
| 項目名 | 説明 | デフォルト値 |
|---|---|---|
| ユーザー登録 | ユーザーによるユーザー登録を可能にするかどうか。 | オフ |
| ユーザー名の編集 | ユーザー名フィールドを編集可能にするかどうか。 | オフ |
| パスワード忘れ | パスワードを忘れた場合にクリックするリンクをログイン画面に表示するかどうか。 | オフ |
| ログイン状態の保存 | ログイン状態を保存するチェックボックスをログイン画面に表示するかどうか。 | オフ |
| Eメールの確認 | 初回ログイン時にEメールでのユーザー確認を可能にするかどうか。 | オフ |
| Login with email | Eメールでのログインを可能にするかどうか。 | オン |
| SSL の要求 | SSLを必須にするかどうか。 以下のいずれかを指定する。 全てのリクエスト 必須。 外部リクエスト ローカルホスト、プライベートIP以外は必須。 なし 不要。 |
外部リクエスト |
Eメール
SMTPサーバの設定画面です。Keycloakは、Eメールアドレスの確認時、パスワードを忘れた時、管理者がサーバイベントに関する通知を受け取る必要がある時等にメールを送信します。
| 項目名 | 説明 | デフォルト値 |
|---|---|---|
| ホスト | SMTPサーバ。 | |
| ポート | SMTPポート。 | |
| From Display Name | 差出人の表示名。 | |
| 差出人 | 差出人のEメールアドレス。 | |
| Reply To Display Name | Reply-toの表示名。 | |
| Reply To | Reply-toのEメールアドレス。 | |
| Envelope From | エンベロープFromのEメールアドレス。 | |
| SSLの有効 | SSLを必要とするかどうか。 | オフ |
| StartTLSの有効 | TLS通信を必要とするかどうか。 | オフ |
| 認証の有効 | 認証を必要とするかどうか。 | オフ |
テーマ
KeycloakのUIテーマの設定画面です。
| 項目名 | 説明 | デフォルト値 |
|---|---|---|
| ログインテーマ | ログイン画面に適用するテーマ。 | |
| アカウントテーマ | アカウント管理画面のテーマ。 | |
| 管理コンソールテーマ | 管理コンソールのテーマ。 | |
| Eメールテーマ | Eメールのテーマ。 | |
| 国際化の有効 | 国際化対応を可能にするかどうか。 | オフ |
クライアント
クライアントを管理する画面です。クライアントとは、SSO対象のアプリケーションのことです。OpenID Connect(OIDC)のRelying Party(RP)や、SAMLのService Provider(SP)等がクライアントに該当します。クライアントの作成・変更・削除、設定のエクスポート等を行うことができます。
画面右上の「作成」ボタンをクリックすると、クライアント登録画面が表示されます。クライアントプロトコルは、「OpenID Connect」か「SAML」を選択できます。必要な情報を入力し「保存」ボタンをクリックすると、詳細画面に遷移します。
クライアントプロトコルに「OpenID Connect」を選択した場合
クライアントプロトコルに「SAML」を選択した場合
各項目の説明はKeycloakのドキュメントを参照ください。
クライアント設定の中で「ロール」の設定がありますが、このロールは「クライアントロール」と呼ばれるもので、後程説明するレルムのロールとは別物になります。レルムのロールは、レルム内でグローバルな名前空間を持ちますが、クライアントロールは、基本的に各クライアントで専用の名前空間を持ちます。
ロール
ロールを管理する画面です。レルム用のロールの作成・変更・削除、デフォルトロールの設定を行うことができます。
アイデンティティ プロバイダー
IDプロバイダの設定画面です。外部IDプロバイダや、ソーシャルネットワークを使用して認証できるようにすることができます。
詳細は、@tamura__246 さんが15日目に書いてくれる予定です!
ユーザーフェデレーション
外部ユーザーデータベースとのユーザー連携の設定画面です。「LDAP」や「Active Directory」で認証を行うようにしたり、IDを同期することができます。
詳細は、@yagiaoskywalker さんが14日目に書いてくれる予定です!
認証
認証に関する設定を管理する画面です。認証フローやパスワードポリシー等を設定することができます。
認証フローとは、Keycloakの各種処理で発生させる、認証、画面、アクションの設定です。例えば、「ブラウザ認証時は、有効なCookieがあれば認証OKとする。有効なCookieがない場合はIDとパスワードによる認証を行う。」とか、「パスワードリセット時は、最初にユーザーID入力画面を表示し、正しいユーザーIDならば次にパスワードリセットメールを送信する。」といったように、処理に応じたフローを定義することができます。
詳細は、@naokiiiii さんが12日目に書いてくれる予定です!
グループ
グループを管理する画面です。グループの作成・変更・削除、グループに対するロールの設定等を行うことができます。
ユーザー
ユーザーを管理する画面です。ユーザーの追加・変更・削除、ロールのマッピング、グループへの配属・離脱等を行うことができます。
セッション
セッションを管理する画面です。レルムで現在有効なセッションを確認することができます。
イベント
イベントの管理画面です。保存するイベントの設定や、保存したイベントの参照等を行うことができます。
インポート
レルムの設定をインポートする画面です。クライアント、グループ、ロールについてインポートできます。JSONファイルをインポートします。
ファイルを選択すると、インポート時の動作を指定する画面が表示されます。インポートするデータの選択、インポートするデータが既に存在した場合の動作を指定することができます。
エクスポート
レルムの設定をエクスポートする画面です。レルム設定、クライアント、グループ、ロール等がエクスポートされます。ユーザーデータについてはエクスポートされません。JSONファイルが出力されます。
まとめ
ざっとですが、「管理コンソール」についてみてみました。表示内容が日本語化されており、また、項目のヘルプ表示も充実しているため、比較的使いやすいと思います。
詳細については、画面上に表示される項目のヘルプ表示や、Keycloakのドキュメントをご参照いただければと思います。