Gérer la conformité de Keycloak

Définir des règles relatives aux mots de passe

Par défaut, Keycloak n'applique aucune règle concernant les mots de passe, mais ce fournisseur d'identité propose différentes règles de mot de passe disponibles dans la console d'administration Keycloak, telles que l'expiration du mot de passe, la longueur minimale ou les caractères spéciaux.

Pour définir des règles relatives aux mots de passe, procédez comme suit dans la console d'administration Keycloak :

  1. Dans le menu de navigation, cliquez sur Authentification.
  2. Cliquez sur l'onglet Règles relatives aux mots de passe.
  3. Dans la liste Ajouter une règle, sélectionnez la règle que vous souhaitez appliquer.
  4. Saisissez une valeur de règle correspondant à la règle que vous avez sélectionnée.
  5. Cliquez sur Enregistrer.

Après avoir enregistré la règle, Keycloak l'applique aux nouveaux utilisateurs et définit une action de mise à jour du mot de passe pour les utilisateurs existants afin de s'assurer qu'ils modifient leur mot de passe lors de leur prochaine connexion.

Configurer l'authentification à deux facteurs

Keycloak est compatible avec l'utilisation de YubiKeys comme dispositifs d'authentification à deux facteurs (2FA) via le protocole FIDO2/WebAuthn.

Activer l'authentification à deux facteurs

  1. Ajoutez Webauthn Register comme action requise :

    1. Accédez à la page d'administration du domaine gdch à l'aide des identifiants de l'administrateur local.

    2. Ouvrez la page Authentification dans le menu de navigation, puis l'onglet Actions requises.

    3. Activez l'élément Webauthn Register :

    keycloak-webauthn-register.png

  2. Ajoutez Webauthn Authentication au flux du navigateur :

    1. Passez à l'onglet Flux et utilisez le bouton Dupliquer correspondant au nom du flux browser pour copier le flux browser existant en tant que flux Browser Yubikey.

    2. Passez à la procédure Clé YubiKey du navigateur.

    3. Supprimez l'étape Navigateur YubiKey – OTP conditionnel.

    4. Cliquez sur le bouton Add step (Ajouter une étape) correspondant à l'étape Browser Yubikey forms (Formulaires YubiKey du navigateur), puis ajoutez WebAuthn Authenticator (Authentificateur WebAuthn).

    5. Définissez l'élément Authentificateur WebAuthn sur Obligatoire :

    keycloak-yubikey-required.png

  3. Utilisez le bouton Bind flow (Flux d'association) correspondant au flux Browser Yubikey (YubiKey du navigateur), puis sélectionnez Browser Flow (Flux du navigateur) :

    keycloak-yubikey-binding.png

  4. Cliquez sur Enregistrer.

Enregistrer une Yubikey

  1. Ouvrez la console GDC pour vous connecter.

  2. Utilisez n'importe quel utilisateur que vous avez créé précédemment dans le domaine gdch et saisissez le mot de passe.

  3. Cliquez sur le bouton S'inscrire :

    keycloak-yubikey-registration-1.png

  4. Sélectionnez l'option Clé de sécurité USB :

    keycloak-yubikey-registration-2.png

  5. Appuyez sur la Yubikey insérée :

    keycloak-yubikey-registration-3.png

  6. Saisissez un nom pour votre nouvelle clé de sécurité :

    yubikey-label.png

  7. Si vous souhaitez passer à une autre clé ou réessayer ce processus, utilisez le compte administrateur local pour ouvrir la console d'administration et supprimez la YubiKey de l'onglet Identifiants de l'utilisateur :

    yubikey-delete.png

Se connecter avec une YubiKey

  1. Déconnectez-vous de la console GDC, puis rouvrez-la.

  2. Utilisez l'utilisateur pour lequel vous avez enregistré une YubiKey.

  3. Après avoir saisi le mot de passe, sélectionnez l'appareil YubiKey :

    yubikey-login.png

  4. Appuyez sur votre appareil YubiKey :

    yubikey-login-select.png

Définir le seuil de tentatives de connexion

Keycloak dispose de fonctionnalités de détection des attaques par force brute et peut désactiver temporairement un compte utilisateur si le nombre d'échecs de connexion dépasse un seuil spécifié. Ce seuil peut être configuré pour empêcher un compte de se connecter de manière temporaire ou permanente.

Pour configurer la détection des attaques par force brute, procédez comme suit dans la console d'administration Keycloak :

  1. Dans le menu de navigation, cliquez sur Paramètres du domaine.
  2. Cliquez sur l'onglet Défenses de sécurité.
  3. Cliquez sur l'onglet Détection des attaques par force brute.
  4. Activez l'option Activé.

  5. Définissez les valeurs des champs pour répondre aux exigences de conformité, par exemple :

    • Nombre maximal d'échecs de connexion
    • Incrément d'attente
    • Vérification de la connexion rapide
    • Temps d'attente maximal
    • Temps de réinitialisation en cas d'échec

    keycloak_brute_force.png

Se connecter au système de journaux d'audit de l'appliance GDC sous air gap

Activer la journalisation d'audit dans Keycloak

Pour activer la journalisation d'audit, utilisez la console d'administration Keycloak et procédez comme suit :

  1. Dans le menu de navigation, cliquez sur Événements.
  2. Cliquez sur l'onglet Config.
  3. Dans les sections Paramètres des événements de connexion et Paramètres des événements d'administration, activez l'option Enregistrer les événements.
  4. Dans le champ Expiration, indiquez la durée pendant laquelle vous souhaitez conserver les événements.
  5. Dans le champ Types enregistrés, spécifiez les différentes actions que vous considérez comme importantes pour l'audit.
  6. Cliquez sur Enregistrer.
  7. Cliquez sur l'onglet Événements de connexion pour afficher les journaux d'audit concernant les opérations sur les comptes utilisateur.
  8. Cliquez sur l'onglet Événements d'administration pour afficher les journaux d'audit de toutes les actions effectuées par un administrateur dans la console d'administration.

Associer les journaux d'audit Keycloak à l'appliance GDC sous air gap

Keycloak fournit des interfaces de fournisseur de services (SPI) intégrées pour activer la journalisation d'audit. L'exportation des journaux d'audit est configurée dans Keycloak pour stocker une copie des journaux d'audit sous forme de fichiers dans le pod. Par défaut, les journaux sont stockés dans la base de données. Le système de journalisation de l'appliance GDC air-gapped utilise le montage de volume pour récupérer le journal et l'analyser automatiquement.

Modifier le thème Keycloak

Un thème fournit un ou plusieurs types pour personnaliser différents aspects de Keycloak. Voici les types disponibles :

  • Compte : gestion du compte
  • Admin - Console d'administration
  • E-mail : e-mails
  • Connexion : formulaires de connexion
  • Bienvenue – Page d'accueil

Pour modifier le thème Keycloak :

  1. Connectez-vous à la console d'administration Keycloak.
  2. Sélectionnez votre domaine dans la liste déroulante.
  3. Cliquez sur Paramètres du domaine.
  4. Cliquez sur l'onglet Thèmes.
  5. Pour définir le thème de la console d'administration principale, définissez le thème de la console d'administration pour le domaine principal.
  6. Pour voir les modifications apportées à la console d'administration, actualisez la page.

Gestion des comptes administrateur racine

Keycloak est amorcé avec un compte administrateur racine initial dont le nom d'utilisateur et le mot de passe sont triviaux (admin/admin). Pour assurer la protection et la sécurité de ce compte racine, effectuez manuellement les étapes suivantes dès que l'amorçage est terminé :

  • Définir un mot de passe sécurisé pour le compte administrateur racine
  • Configurer l'authentification à deux facteurs pour le compte administrateur racine

Nous vous recommandons de placer les identifiants du compte administrateur racine dans un endroit sécurisé.