Comments 5
Ну да... "Для реализации SSO мы развернули SSO, а для централизованного хранения пользовательских УЗ мы взяли имевшийся LDAP" - свежо, по заграничному.
С какой частотой обновляется информация о изменении членства в группах? Были ли требования от ИБ по уменьшению этого лага? Как они решались?
Время жизни токенов у администраторов инфраструктуры и у бизнес-пользователей одинаковое? Инфра и приложения в одном realm'е или в разных?
Были ли проблемы с производительностью при sync'е пользователей и\или большом количестве авторизаций? С openldap у меня - да, с freeipa не знаю. Пробовали ли вы прикрутить к этому делу kerberos как для решения проблем с производительностью и\или для повышения удобства работы пользователей? В adfs неплохо работает, с freeipa опять же не знаком.
Были ли проблемы с интернационализованными именами? Т.е. лучше когда в этих труднодоступных местах зубов нет - и все на английском, но если есть - работает? KC да - на счет интеграшки интересно.
Не было ли возражений по использованию group mapper'а с т.з. "единой точки ответственности" от ИБ? Обычно просят ldap role mapper.
Как обеспечивалась HA решения? Была ли георепликация?
Обычно в процессе решения этих и им подобных вопросов становится больно - а просто "настроить федерацию" проблем как раз не вызывает.
Привет,
Информация обновлялась периодически каждые 60 секунд. О каких требованиях со стороны ИБ по уменьшению лага стоит вопрос? Как эти 2 момента связаны в контексте Информационной Безопасности подскажите пожалуйста?
С какой частотой обновляется информация о изменении членства в группах? Были ли требования от ИБ по уменьшению этого лага? Как они решались?
Про бизнес-пользователей в рамках статьи речи не идёт, статья рассказывает лишь о внедрении возможных способов авторизации в продуктовую или тестовую среду для администраторов. С вопросом использования Keycloak для бизнес-пользователей пока честно говоря познакомиться не получилось, но насколько я знаю эти параметры стараются разделять точно на уровне Realm для того, чтобы как минимум структурно разделить извлекаемых или заведённых пользователей в keycloak.
Что касается времени жизни токенов как для администраторов, так и для бизнес-пользователей, то подразумеваю, что они могут и должны быть разными. А значения, которые необходимо выставить трактует и бизнес, и КБ.
Время жизни токенов у администраторов инфраструктуры и у бизнес-пользователей одинаковое? Инфра и приложения в одном realm'е или в разных?
Проблем с производительностью не было при извлечении как отдельной группы пользователей, так и всей архитектуры, но тут можно и явно отметить ряд условий нашей инфраструктуры.
1. Исходная freeipa имела всего 500 пользователей, но в ней также присутствовала сложная структура вложенности групп.
2. У нас везде имеется широкий запас по ресурсам.
3. Отличная и стабильная ширина канала на сетевом уровне.
Были ли проблемы с производительностью при sync'е пользователей и\или большом количестве авторизаций? С openldap у меня - да, с freeipa не знаю. Пробовали ли вы прикрутить к этому делу kerberos как для решения проблем с производительностью и\или для повышения удобства работы пользователей? В adfs неплохо работает, с freeipa опять же не знаком.
Не проверялся данный момент, так как по стандартам имена пользователей only English.
Были ли проблемы с интернационализованными именами? Т.е. лучше когда в этих труднодоступных местах зубов нет - и все на английском, но если есть - работает? KC да - на счет интеграшки интересно.
По условию ТЗ таких требований отражено не было.
Не было ли возражений по использованию group mapper'а с т.з. "единой точки ответственности" от ИБ? Обычно просят ldap role mapper.
Этот вопрос на данный момент оформлен в виде задачи и он будет ещё решаться. Вопрос георепликации - это очень масштабная вещь и учитывая, что у нас закрытый контур - явно возникают проблемы связанные с сетью. Для поднятия георезерва как минимум нужно произвести долгое согласование с КБ и проработать новую архитектуру, учитывая все риски.
Как обеспечивалась HA решения? Была ли георепликация?
Статья не просто про то как настроить федерацию)
Вариантов решения задач авторизации существует очень много, главная проблема возникает, когда ты пытаешься разобрать все возможные вариант, учитывая что это должно быть безопасно, стабильно, удобно и актуально. Когда производилась настройка всех процессов и погружение в аспекты описанные выше, было страшное огорчение, что сама документация Keycloak не соответствует актуальным версиям своего ПО и возникают сложности в настройке всевозможных процессов.
Обычно в процессе решения этих и им подобных вопросов становится больно - а просто "настроить федерацию" проблем как раз не вызывает.
Привет,
Работает весь этот процесс уже чуть больше года.
Как долго у вас это работает (возможно проглядел)?
Вопрос хороший. В основе основ везде Debian 11, но сама freeipa развернута может быть только на ОС Centos, в нашем случае использовали Centos 8.
На каких дистрибутивах?
Везде есть свои сложности, меня лично функционал и работоспособность freeipa вполне радует, очень большие сложности были лишь при первичной инсталяции и при создании реплики.
Был опыт с FreeIPA раньше, и опыт был печальный. Может сейчас лучше стало?
Вы забыли упомянуть, что Keycloak не предполагает использование своего фронта, а предлагает только кастомные темы. А кастомные темы это сущий ад, где разработчикам приходится зашиваться на опенсорс библиотеки, чтобы темы можно было писать хотя бы не на FreeMarker шаблонизаторе. Спросите у ваших фронтов мнение про Keycloak
Keycloak — больно не будет