Вопрос или проблема
Мы используем WordPress, второй веб-сайт на базе moodle (система управления обучением) и Keycloak на трех разных поддоменах одного и того же домена. Системы уже связаны таким образом, что вход в moodle и WordPress осуществляется через Keycloak.
Мы также хотим, чтобы пользователи автоматически входили в WordPress после входа в moodle и автоматически входили в moodle после входа в WordPress. Например, если пользователь входит в moodle, а затем переходит в WordPress, он должен сразу увидеть элементы, зарезервированные для авторизованных пользователей (но без кнопки входа).
Мы не уверены, как можем достичь этой цели. Существует ли стандартное решение, чтобы Keycloak мог авторизовать пользователя в других подсистемах в случае входа? Если да, буду благодарен за совет. Или нам придется разрабатывать плагины, чтобы запускать соответствующий процесс в другой подсистеме в случае входа/выхода?
Ответ или решение
Для обеспечения автоматической авторизации и выхода пользователей из двух веб-сайтов, использующих Keycloak в качестве системы единого входа (SSO), необходимо воспользоваться механизмами, которые обеспечивают единое контекстное управление сессиями между различными приложениями. Ниже описаны шаги, которые помогут достичь этой цели.
Интеграция через SSO
Keycloak предоставляет стандартные механизмы SSO, которые можно использовать для автоматического входа на сайты, такие как WordPress и Moodle, после аутентификации. Основная концепция заключается в использовании токенов доступа (Access Tokens), предоставленных Keycloak, чтобы осуществлять прозрачный вход на каждую платформу.
1. Настройка OpenID Connect
Настройка для каждого сайта: Убедитесь, что как WordPress, так и Moodle корректно настроены для работы с Keycloak по протоколу OpenID Connect (OIDC). Для этого обычно используются специализированные плагины, такие как:
- Для WordPress: Keycloak OpenID Connect плагин.
- Для Moodle: OIDC Auth plugin, который интегрируется с Keycloak.
2. Настройка общих сессий между сайтами
Единая сессия SSO: Настройте Keycloak так, чтобы пользователи, прошедшие аутентификацию на одной из платформ, могли автоматически авторизоваться на другой платформе без необходимости повторного ввода учетных данных.
Single Logout (SLO): Настройте параметр Front-channel logout в Keycloak для синхронизации выхода из системы. Это обеспечит, что при выходе пользователя из одного приложения, другие приложения также будут закрыты.
3. Реализация логики на стороне клиента
Используйте JavaScript в браузере для предварительной проверки авторизованного состояния пользователя при переходе между субдоменами. Когда пользователь перемещается с одного сайта на другой, скрипт может использовать токены seсачей, чтобы инициировать проверку сеанса пользователя и выполнить вход автоматически, если были выданы действительные токены.
4. Создание пользовательских плагинов
Возможно, вам понадобится создать пользовательские плагины или модифицировать существующие, чтобы обеспечить автоматическую авторизацию, проверку токенов и синхронизацию сессий. Обычно это включает в себя:
- Создание RESTful API сервисов, которые могут проверять и обновлять сессии.
- Обработка событий аутентификации и выхода с использованием механизма Event Listener в Keycloak.
Завершив все шаги интеграции, вы сможете добиться автоматического входа и выхода для пользователей на обеих платформах, обеспечивая более удобный пользовательский опыт и повышая безопасность благодаря унифицированной системе аутентификации.
Таким образом, интеграция с Keycloak и использование SSO механизмов позволяет вам обеспечить необходимую функциональность, избегая разработки решения с нуля и повышая эффеkтивность управления сессиями между разными системами.