Skip to content

[Epic] Keycloak

Warum?

Ziel der Maßnahme ist die Reduzierung der Entwicklungs- und Betriebsaufwände durch Einführung von Keycloak für die Userverwaltung und das SSO.

Relevante Links und Bemerkungen

Akzeptanzkriterien

  1. Es ist evaluiert, ob Keycloak für Anforderungen an die Userverwaltung und SSO Funktionen einen Mehrwert in der Entwicklung / Administration bieten kann.
  2. Die bestehenden IDPs sind per SSO angebunden und über einen Log-In aktiv nutzbar. --> in #1743
  3. Keycloak speichert alle User Daten, die per SSO über bestehenden IDPs verfügbar sein. Nutzungsbedingungen sind entsprechend angepasst.
  4. Elster Testumgebung ist über das SSO angebunden.
  5. Freischaltung vom Elster IDP für den SSP SSO Log-In erfordert eine Zugriff auf die Elster Produktivumgebung. Falls die Zulassung länger dauert, kann die Freischaltung später erfolgen. Keycloak sollte so vorbereitet sein, dass eine Freischaltung durch das Betriebsteam möglich ist oder nur noch minimale Aktivitäten des Entwicklungsteams erfordern.
  6. Für alle Stages von FIT-Connect existiert eine Keycloak Instanz. Ob mehrere Stages in einer Keycloak Instanz abgebildet werden, ist zu prüfen und zu entscheiden.
  7. Keycloak ersetzt die bestehende Log-In Implementierung im SSP.
  8. Datenbank Eintrag des SSP "Welchem User gehört welcher Client" wird in Keycloak migriert.
  9. Keycloak bildet für jeden User einen eigne User-ID unabhängig von dem originären IDP. Die User-ID ersetzt die jetzigen User-IDs in der SSP, die den IDP beinhalten.
  10. Um die Ownership von Clients (""Welchem User gehört welcher Client") abzurufen bzw. zu ändern, muss das SSP auf die Keycloak API zurückgreifen (User ID wird über den OpenID Connect Userinfo Token bereitgestellt).
  11. Ggf. notwendige Entwicklung von Keycloak Plugins sind identifiziert. Falls diese zwingend notwendig für die Produktivschaltung sind, sind diese noch im Rahmen des Tickts zu entwickeln.

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)

Edited by Laura Elges