Administra el cumplimiento de Keycloak

Cómo configurar políticas de contraseña

De forma predeterminada, Keycloak no tiene ninguna política sobre contraseñas, pero este proveedor de identidad proporciona diferentes políticas de contraseñas disponibles a través de la Consola del administrador de Keycloak, como la fecha de vencimiento de la contraseña, la longitud mínima o los caracteres especiales.

Para establecer políticas de contraseñas, completa los siguientes pasos en la consola de administración de Keycloak:

  1. En el menú de navegación, haz clic en Authentication.
  2. Haz clic en la pestaña Política de contraseñas.
  3. En la lista Agregar política, selecciona la política que deseas aplicar.
  4. Ingresa un valor de política correspondiente a la política que seleccionaste.
  5. Haz clic en Guardar.

Después de guardar la política, Keycloak la aplica de manera forzosa para los usuarios nuevos y establece una acción de actualización de contraseña para los usuarios existentes, de modo que cambien su contraseña la próxima vez que accedan.

Configura la autenticación de dos factores

Keycloak admite el uso de Yubikeys como dispositivos de autenticación de 2 factores (2FA) a través del protocolo FIDO2/WebAuthn.

Habilita la autenticación de dos factores

  1. Agrega Webauthn Register como Acción requerida:

    1. Abre la página de administrador del dominio gdch con la credencial de administrador local.

    2. Abre la página Authentication desde el menú de navegación y, luego, abre la pestaña Required Actions.

    3. Habilita el elemento Webauthn Register:

    keycloak-webauthn-register.png

  2. Agrega autenticación con WebAuthn al flujo del navegador:

    1. Cambia a la pestaña Flujos y usa el botón Duplicar correspondiente al nombre del flujo navegador para copiar el flujo navegador existente como un flujo YubiKey del navegador.

    2. Cambia al flujo de Browser Yubikey.

    3. Borra el paso Browser Yubikey Browser - Conditional OTP.

    4. Haz clic en el botón Agregar paso correspondiente al paso Formularios de YubiKey del navegador y agrega Autenticador WebAuthn.

    5. Establece el elemento Autenticador de WebAuthn en Obligatorio:

    keycloak-yubikey-required.png

  3. Usa el botón Bind flow correspondiente al flujo Browser Yubikey y selecciona Browser Flow:

    keycloak-yubikey-binding.png

  4. Haz clic en Guardar.

Cómo registrar una Yubikey

  1. Abre la consola de GDC para acceder.

  2. Usa cualquier usuario que hayas creado antes en el dominio gdch y, luego, ingresa la contraseña.

  3. Haz clic en el botón Registrar:

    keycloak-yubikey-registration-1.png

  4. Selecciona la opción Llave de seguridad USB:

    keycloak-yubikey-registration-2.png

  5. Presiona la Yubikey insertada:

    keycloak-yubikey-registration-3.png

  6. Escribe cualquier nombre para tu nueva llave de seguridad:

    yubikey-label.png

  7. Si quieres cambiar a otra llave o volver a probar este flujo, usa la cuenta de administrador local para abrir la Consola del administrador y borrar la YubiKey de la pestaña Credential del usuario:

    yubikey-delete.png

Cómo acceder con una YubiKey

  1. Sal de la consola de GDC y vuelve a abrirla.

  2. Usa el usuario con el que registraste una llave YubiKey.

  3. Después de escribir la contraseña, selecciona el dispositivo YubiKey:

    yubikey-login.png

  4. Presiona tu dispositivo YubiKey:

    yubikey-login-select.png

Cómo establecer el umbral de intentos de acceso

Keycloak tiene capacidades de detección de ataques de fuerza bruta y puede inhabilitar temporalmente una cuenta de usuario si la cantidad de intentos de acceso fallidos supera un umbral especificado. Este umbral se puede configurar para bloquear el acceso a una cuenta de forma temporal o permanente.

Para configurar la detección de ataques de fuerza bruta, completa los siguientes pasos en la consola de administración de Keycloak:

  1. En el menú de navegación, haz clic en Configuración del dominio.
  2. Haz clic en la pestaña Defensas de seguridad.
  3. Haz clic en la pestaña Brute Force Detection.
  4. Activa Habilitado.

  5. Establece valores en los campos para que coincidan con los requisitos de cumplimiento, como los siguientes:

    • Max Login Failures
    • Incremento de espera
    • Verificación de acceso rápido
    • Max Wait
    • Tiempo de restablecimiento de la falla

    keycloak_brute_force.png

Conéctate al sistema de registro de auditoría del dispositivo aislado de GDC

Habilita el registro de auditoría en Keycloak

Para habilitar el registro de auditoría, usa la consola de administración de Keycloak y completa los siguientes pasos:

  1. En el menú de navegación, haz clic en Eventos.
  2. Haz clic en la pestaña Config.
  3. En las secciones Configuración de eventos de acceso y Configuración de eventos de administrador, establece el botón de activación Guardar eventos en ACTIVADO.
  4. En el campo Vencimiento, especifica durante cuánto tiempo deseas almacenar los eventos.
  5. En el campo Saved Types, especifica las diferentes acciones que consideras importantes para la auditoría.
  6. Haz clic en Guardar.
  7. Haz clic en la pestaña Login Events para ver los registros de auditoría sobre las operaciones de las cuentas de usuario.
  8. Haz clic en la pestaña Eventos del administrador para ver los registros de auditoría sobre cualquier acción que realice un administrador en la Consola del administrador.

Conecta los registros de auditoría de Keycloak al dispositivo aislado de GDC

Keycloak proporciona interfaces de proveedores de servicios (SPI) integradas para habilitar el registro de auditoría. La exportación del registro de auditoría está configurada en Keycloak para almacenar un duplicado de los registros de auditoría como archivos en el Pod. De forma predeterminada, los registros se almacenan en la base de datos. El sistema de registro del dispositivo aislado de GDC usa la activación de volumen para recuperar el registro y analizarlo automáticamente.

Cómo cambiar el tema de Keycloak

Un tema proporciona uno o más tipos para personalizar diferentes aspectos de Keycloak. Los tipos disponibles son los siguientes:

  • Cuenta: Administración de la cuenta
  • Administrador: Consola del administrador
  • Correo electrónico: Correos electrónicos
  • Acceso: Formularios de acceso
  • Bienvenida: Página de bienvenida

Para cambiar el tema de Keycloak, sigue estos pasos:

  1. Accede a la Consola del administrador de Keycloak.
  2. Selecciona tu reino en la lista desplegable.
  3. Haz clic en Configuración del reino.
  4. Haz clic en la pestaña Temas.
  5. Para establecer el tema de la Consola del administrador principal, configura el tema de la Consola del administrador para el dominio principal.
  6. Para ver los cambios en la Consola del administrador, actualiza la página.

Administración de la cuenta de administrador raíz

Keycloak se inicializa con una cuenta de administrador raíz inicial con un nombre de usuario y una contraseña triviales de admin/admin. Para garantizar la protección y la seguridad de esta cuenta raíz, completa los siguientes pasos manuales tan pronto como se complete el proceso de bootstrapping:

  • Configura una contraseña segura para la cuenta de administrador raíz
  • Configura la 2FA para la cuenta de administrador raíz

Te recomendamos que deposites la credencial de la cuenta de administrador raíz en un lugar seguro.