Mengelola kepatuhan Keycloak

Menetapkan kebijakan sandi

Secara default, Keycloak tidak memiliki kebijakan terkait sandi, tetapi penyedia identitas ini menyediakan berbagai kebijakan sandi yang tersedia melalui Konsol Admin Keycloak, seperti masa berlaku sandi, panjang minimum, atau karakter khusus.

Untuk menetapkan kebijakan sandi, selesaikan langkah-langkah berikut di Konsol Admin Keycloak:

  1. Di menu navigasi, klik Authentication.
  2. Klik tab Kebijakan Sandi.
  3. Di daftar Tambahkan kebijakan, pilih kebijakan yang ingin Anda terapkan.
  4. Masukkan Nilai kebijakan yang sesuai dengan kebijakan yang Anda pilih.
  5. Klik Simpan.

Setelah menyimpan kebijakan, Keycloak akan menerapkan kebijakan tersebut untuk pengguna baru dan menetapkan tindakan update password untuk pengguna lama guna memastikan bahwa mereka mengubah sandi mereka saat login berikutnya.

Mengonfigurasi autentikasi 2 langkah

Keycloak mendukung penggunaan Yubikey sebagai perangkat autentikasi 2 faktor (2FA) melalui protokol FIDO2/WebAuthn.

Mengaktifkan autentikasi 2 langkah

  1. Tambahkan Pendaftaran Webauthn sebagai Tindakan yang Diperlukan:

    1. Buka halaman admin realm gdch menggunakan kredensial administrator lokal.

    2. Buka halaman Autentikasi dari menu navigasi, lalu buka tab Tindakan yang Diperlukan.

    3. Aktifkan item Webauthn Register:

    keycloak-webauthn-register.png

  2. Tambahkan Autentikasi Webauthn ke alur browser:

    1. Beralih ke tab Flows dan gunakan tombol Duplicate yang sesuai dengan nama alur browser untuk menyalin alur browser yang ada sebagai alur Browser Yubikey.

    2. Beralih ke alur Browser Yubikey.

    3. Hapus langkah Browser Yubikey Browser - Conditional OTP.

    4. Klik tombol Tambahkan langkah yang sesuai dengan langkah Formulir Yubikey browser dan tambahkan Pengautentikasi WebAuthn.

    5. Tetapkan item WebAuthn Authenticator ke Wajib:

    keycloak-yubikey-required.png

  3. Gunakan tombol Bind flow yang sesuai dengan alur Browser Yubikey dan pilih Browser Flow:

    keycloak-yubikey-binding.png

  4. Klik Simpan.

Mendaftarkan Yubikey

  1. Buka konsol GDC untuk login.

  2. Gunakan pengguna yang Anda buat sebelumnya di realm gdch dan masukkan sandi.

  3. Klik tombol Daftar:

    keycloak-yubikey-registration-1.png

  4. Pilih opsi Kunci keamanan USB:

    keycloak-yubikey-registration-2.png

  5. Ketuk Yubikey yang Anda masukkan:

    keycloak-yubikey-registration-3.png

  6. Ketik nama apa pun untuk kunci keamanan baru Anda:

    yubikey-label.png

  7. Jika Anda ingin beralih ke kunci lain atau mencoba alur ini lagi, gunakan akun administrator lokal untuk membuka konsol admin dan menghapus YubiKey dari tab Credential pengguna:

    yubikey-delete.png

Login dengan Yubikey

  1. Logout dari konsol GDC, lalu buka lagi.

  2. Gunakan pengguna yang telah Anda daftarkan Yubikey-nya.

  3. Setelah mengetik sandi, pilih perangkat Yubikey:

    yubikey-login.png

  4. Ketuk perangkat Yubikey Anda:

    yubikey-login-select.png

Menetapkan batas upaya login

Keycloak memiliki kemampuan deteksi serangan brute force dan dapat menonaktifkan akun pengguna untuk sementara jika jumlah kegagalan login melebihi batas yang ditentukan. Nilai minimum ini dapat dikonfigurasi untuk memblokir akun agar tidak dapat login baik untuk sementara maupun secara permanen.

Untuk menyiapkan deteksi serangan brute force, selesaikan langkah-langkah berikut di Konsol Admin Keycloak:

  1. Di menu navigasi, klik Setelan Realm.
  2. Klik tab Pertahanan Keamanan.
  3. Klik tab Brute Force Detection.
  4. Aktifkan Diaktifkan.
  5. Tetapkan nilai di kolom agar sesuai dengan persyaratan kepatuhan, seperti berikut:

    • Kegagalan Login Maksimum
    • Kenaikan Waktu Tunggu
    • Pemeriksaan Login Cepat
    • Waktu Tunggu Maksimum
    • Waktu Reset kegagalan

    keycloak_brute_force.png

Menghubungkan ke sistem logging audit appliance air gap GDC

Mengaktifkan logging audit di Keycloak

Untuk mengaktifkan pencatatan log audit, gunakan Konsol Admin Keycloak untuk menyelesaikan langkah-langkah berikut:

  1. Di menu navigasi, klik Acara.
  2. Klik tab Config.
  3. Di bagian Setelan Peristiwa Login dan Setelan Peristiwa Admin, setel tombol Simpan Peristiwa ke AKTIF.
  4. Di kolom Masa berlaku, tentukan berapa lama Anda ingin menyimpan peristiwa.
  5. Di kolom Jenis Tersimpan, tentukan berbagai tindakan yang Anda anggap penting untuk diaudit.
  6. Klik Simpan.
  7. Klik tab Peristiwa Login untuk melihat log audit tentang operasi akun pengguna.
  8. Klik tab Peristiwa Admin untuk melihat log audit tentang tindakan apa pun yang dilakukan admin dalam konsol admin.

Menghubungkan log audit Keycloak ke appliance GDC dengan air gap

Keycloak menyediakan Service Provider Interface (SPI) bawaan untuk mengaktifkan logging audit. Ekspor log audit dikonfigurasi di Keycloak untuk menyimpan duplikat log audit sebagai file di Pod. Secara default, log disimpan di database). Sistem logging appliance air-gapped GDC menggunakan pemasangan volume untuk mengambil log dan mengurai log secara otomatis.

Mengubah tema Keycloak

Tema menyediakan satu atau beberapa jenis untuk menyesuaikan berbagai aspek Keycloak. Jenis yang tersedia adalah:

  • Akun - Pengelolaan akun
  • Admin - Konsol Admin
  • Email - Email
  • Login - Formulir login
  • Selamat datang - Halaman selamat datang

Untuk mengubah tema Keycloak, ikuti langkah-langkah berikut:

  1. Login ke Konsol Admin Keycloak.
  2. Pilih realm Anda dari menu drop-down.
  3. Klik Setelan Realm.
  4. Klik tab Tema.
  5. Untuk menyetel tema Konsol Admin utama, tetapkan tema Konsol Admin untuk realm utama.
  6. Untuk melihat perubahan pada Konsol Admin, muat ulang halaman.

Pengelolaan akun admin utama

Keycloak di-bootstrap dengan akun admin root awal dengan nama pengguna dan sandi admin/admin yang tidak penting. Untuk memastikan perlindungan dan keamanan akun root ini, selesaikan langkah-langkah manual berikut segera setelah bootstrapping selesai:

  • Menyiapkan sandi yang kuat untuk akun admin root
  • Menyiapkan 2FA untuk akun admin utama

Sebaiknya Anda mengamankan kredensial ke akun admin root di tempat yang aman.