Keycloak-Compliance verwalten

Passwortrichtlinien festlegen

Standardmäßig hat Keycloak keine Richtlinie für Passwörter. Dieser Identitätsanbieter bietet jedoch verschiedene Passwortrichtlinien, die über die Keycloak Admin Console verfügbar sind, z. B. Ablauf von Passwörtern, Mindestlänge oder Sonderzeichen.

So legen Sie Passwortrichtlinien fest:

  1. Klicken Sie im Navigationsmenü auf Authentifizierung.
  2. Klicken Sie auf den Tab Passwortrichtlinie.
  3. Wählen Sie in der Liste Richtlinie hinzufügen die Richtlinie aus, die Sie anwenden möchten.
  4. Geben Sie einen Richtlinienwert für die ausgewählte Richtlinie ein.
  5. Klicken Sie auf Speichern.

Nach dem Speichern der Richtlinie wird sie von Keycloak für neue Nutzer erzwungen. Für bestehende Nutzer wird eine Aktion zum Aktualisieren des Passworts festgelegt, damit sie ihr Passwort bei der nächsten Anmeldung ändern.

2-Faktor-Authentifizierung konfigurieren

Keycloak unterstützt die Verwendung von Yubikeys als Geräte für die 2‑Faktor-Authentifizierung (2FA) über das FIDO2-/WebAuthn-Protokoll.

2‑Faktor-Authentifizierung aktivieren

  1. Fügen Sie Webauthn Register als Required Action hinzu:

    1. Öffnen Sie die Admin-Seite für den Bereich gdch mit den Anmeldedaten des lokalen Administrators.

    2. Öffnen Sie im Navigationsmenü die Seite Authentifizierung und dann den Tab Erforderliche Aktionen.

    3. Aktivieren Sie das Element Webauthn Register:

    keycloak-webauthn-register.png

  2. Fügen Sie dem Browserablauf die Webauthn-Authentifizierung hinzu:

    1. Wechseln Sie zum Tab Abläufe und klicken Sie auf die Schaltfläche Duplizieren, die dem Namen des Browser-Ablaufs entspricht, um den vorhandenen Browser-Ablauf als Browser-YubiKey-Ablauf zu kopieren.

    2. Wechseln Sie zum Ablauf Browser-Yubikey.

    3. Löschen Sie den Schritt Browser Yubikey Browser – Conditional OTP.

    4. Klicken Sie auf die Schaltfläche Schritt hinzufügen für den Schritt YubiKey-Formulare im Browser aufrufen und fügen Sie WebAuthn-Authenticator hinzu.

    5. Setzen Sie das Element WebAuthn-Authenticator auf Erforderlich:

    keycloak-yubikey-required.png

  3. Klicken Sie auf die Schaltfläche Bind flow (Bindungsablauf) für den Ablauf Browser Yubikey (Browser-YubiKey) und wählen Sie Browser Flow (Browserablauf) aus:

    keycloak-yubikey-binding.png

  4. Klicken Sie auf Speichern.

Yubikey registrieren

  1. Öffnen Sie die GDC Console, um sich anzumelden.

  2. Verwenden Sie einen beliebigen Nutzer, den Sie zuvor im Bereich gdch erstellt haben, und geben Sie das Passwort ein.

  3. Klicken Sie auf die Schaltfläche Registrieren:

    keycloak-yubikey-registration-1.png

  4. Wählen Sie die Option USB-Sicherheitsschlüssel aus:

    keycloak-yubikey-registration-2.png

  5. Tippen Sie auf den Yubikey:

    keycloak-yubikey-registration-3.png

  6. Geben Sie einen beliebigen Namen für Ihren neuen Sicherheitsschlüssel ein:

    yubikey-label.png

  7. Wenn Sie zu einem anderen Schlüssel wechseln oder diesen Ablauf noch einmal ausprobieren möchten, verwenden Sie das lokale Administratorkonto, um die Admin-Konsole zu öffnen und den YubiKey auf dem Tab Anmeldedaten des Nutzers zu löschen:

    yubikey-delete.png

Mit einem YubiKey anmelden

  1. Melden Sie sich von der GDC-Konsole ab und öffnen Sie sie noch einmal.

  2. Verwenden Sie den Nutzer, für den Sie einen Yubikey registriert haben.

  3. Wählen Sie nach der Eingabe des Passworts das YubiKey-Gerät aus:

    yubikey-login.png

  4. Tippen Sie auf Ihr YubiKey-Gerät:

    yubikey-login-select.png

Grenzwert für Anmeldeversuche festlegen

Keycloak kann Brute-Force-Angriffe erkennen und ein Nutzerkonto vorübergehend deaktivieren, wenn die Anzahl der fehlgeschlagenen Anmeldeversuche einen bestimmten Schwellenwert überschreitet. Dieser Grenzwert kann so konfiguriert werden, dass ein Konto vorübergehend oder dauerhaft vom Anmelden ausgeschlossen wird.

Führen Sie die folgenden Schritte in der Keycloak Admin Console aus, um die Brute-Force-Erkennung einzurichten:

  1. Klicken Sie im Navigationsmenü auf Realm settings (Realmeinstellungen).
  2. Klicken Sie auf den Tab Sicherheitsmaßnahmen.
  3. Klicken Sie auf den Tab Brute-Force-Erkennung.
  4. Stellen Sie Aktiviert auf „Ein“.

  5. Legen Sie Werte in den Feldern fest, die den Compliance-Anforderungen entsprechen, z. B. die folgenden:

    • Maximale Anzahl fehlgeschlagener Anmeldeversuche
    • Warteinkrement
    • Schnelltest für die Anmeldung
    • Max. Wartezeit
    • Zeit bis zum Zurücksetzen des Fehlers

    keycloak_brute_force.png

Verbindung zum Audit-Logging-System der GDC-Appliance mit Air Gap herstellen

Audit-Logging in Keycloak aktivieren

Führen Sie die folgenden Schritte aus, um das Audit-Logging zu aktivieren:

  1. Klicken Sie im Navigationsmenü auf Ereignisse.
  2. Klicken Sie auf den Tab Konfiguration.
  3. Stellen Sie in den Abschnitten Anmeldeereignisse und Administratorereignisse den Schalter Ereignisse speichern auf EIN.
  4. Geben Sie im Feld Ablauf an, wie lange Ereignisse gespeichert werden sollen.
  5. Geben Sie im Feld Gespeicherte Typen die verschiedenen Aktionen an, die Sie für das Auditieren als wichtig erachten.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf den Tab Anmeldeereignisse, um Audit-Logs zu Nutzerkonto-Vorgängen aufzurufen.
  8. Klicken Sie auf den Tab Admin-Ereignisse, um Audit-Logs zu allen Aktionen aufzurufen, die ein Administrator in der Admin-Konsole ausführt.

Keycloak-Audit-Logs mit GDC-Appliance mit Air Gap verbinden

Keycloak bietet integrierte Service Provider Interfaces (SPIs) für das Audit-Logging. Der Export von Audit-Logs wird in Keycloak konfiguriert, um ein Duplikat der Audit-Logs als Dateien im Pod zu speichern. Standardmäßig werden die Logs in der Datenbank gespeichert. Das Logging-System der GDC-Appliance ohne Internetverbindung verwendet die Volume-Bereitstellung, um das Log zu erfassen und automatisch zu parsen.

Keycloak-Design ändern

Ein Theme bietet einen oder mehrere Typen, mit denen verschiedene Aspekte von Keycloak angepasst werden können. Die folgenden Typen sind verfügbar:

  • Konto – Kontoverwaltung
  • Admin – Admin-Konsole
  • E-Mail – E-Mails
  • Anmeldung – Anmeldeformulare
  • Willkommen – Begrüßungsseite

So ändern Sie das Keycloak-Theme:

  1. Melden Sie sich in der Keycloak Admin Console an.
  2. Wählen Sie Ihren Bereich aus der Drop-down-Liste aus.
  3. Klicken Sie auf Realm-Einstellungen.
  4. Klicken Sie auf den Tab Designs.
  5. Wenn Sie das Design für die Master-Admin-Konsole festlegen möchten, legen Sie das Admin-Konsolen-Design für den Masterbereich fest.
  6. Wenn Sie die Änderungen in der Admin-Konsole sehen möchten, aktualisieren Sie die Seite.

Verwaltung des Stammadministratorkontos

Keycloak wird mit einem anfänglichen Root-Administratorkonto mit einem trivialen Nutzernamen und Passwort von admin/admin gestartet. Führen Sie die folgenden manuellen Schritte aus, sobald das Bootstrapping abgeschlossen ist, um den Schutz und die Sicherheit dieses Stammkontos zu gewährleisten:

  • Starkes Passwort für das Root-Administratorkonto einrichten
  • 2FA für das Root-Administratorkonto einrichten

Wir empfehlen, die Anmeldedaten für das Root-Administratorkonto an einem sicheren Ort zu hinterlegen.