Gestisci la conformità di Keycloak

Impostare criteri per le password

Per impostazione predefinita, Keycloak non ha criteri per le password, ma questo provider di identità fornisce diversi criteri per le password disponibili tramite la console di amministrazione Keycloak, come scadenza, lunghezza minima o caratteri speciali.

Per impostare le norme relative alle password, completa i seguenti passaggi nella console di amministrazione Keycloak:

  1. Nel menu di navigazione, fai clic su Autenticazione.
  2. Fai clic sulla scheda Norme relative alle password.
  3. Nell'elenco Aggiungi norma, seleziona la norma che vuoi applicare.
  4. Inserisci un valore del criterio corrispondente al criterio selezionato.
  5. Fai clic su Salva.

Dopo aver salvato il criterio, Keycloak lo applica ai nuovi utenti e imposta un'azione di aggiornamento della password per gli utenti esistenti per garantire che cambino la password al successivo accesso.

Configurare l'autenticazione a due fattori

Keycloak supporta l'utilizzo delle YubiKey come dispositivi di autenticazione a due fattori (2FA) tramite il protocollo FIDO2/WebAuthn.

Attivare l'autenticazione a due fattori

  1. Aggiungi Webauthn Register come Azione richiesta:

    1. Apri la pagina di amministrazione del realm gdch utilizzando le credenziali di amministratore locale.

    2. Apri la pagina Autenticazione dal menu di navigazione, quindi apri la scheda Azioni richieste.

    3. Abilita l'elemento Registrazione Webauthn:

    keycloak-webauthn-register.png

  2. Aggiungi l'autenticazione Webauthn al flusso del browser:

    1. Passa alla scheda Flussi e utilizza il pulsante Duplica corrispondente al nome del flusso browser per copiare il flusso browser esistente come flusso Browser YubiKey.

    2. Passa al flusso Browser YubiKey.

    3. Elimina il passaggio Browser Yubikey - OTP condizionale.

    4. Fai clic sul pulsante Aggiungi passaggio corrispondente al passaggio Moduli YubiKey del browser e aggiungi Autenticatore WebAuthn.

    5. Imposta l'elemento Autenticatore WebAuthn su Obbligatorio:

    keycloak-yubikey-required.png

  3. Utilizza il pulsante Bind flow corrispondente al flusso Browser Yubikey e seleziona Browser Flow:

    keycloak-yubikey-binding.png

  4. Fai clic su Salva.

Registrare una YubiKey

  1. Apri la console GDC per accedere.

  2. Utilizza qualsiasi utente creato in precedenza nel realm gdch e inserisci la password.

  3. Fai clic sul pulsante Registrati:

    keycloak-yubikey-registration-1.png

  4. Seleziona l'opzione Token di sicurezza USB:

    keycloak-yubikey-registration-2.png

  5. Tocca la Yubikey inserita:

    keycloak-yubikey-registration-3.png

  6. Digita un nome qualsiasi per il nuovo token di sicurezza:

    yubikey-label.png

  7. Se vuoi passare a un'altra chiave o riprovare questo flusso, utilizza l'account amministratore locale per aprire la Console di amministrazione ed eliminare YubiKey dalla scheda Credenziali dell'utente:

    yubikey-delete.png

Accedere con una YubiKey

  1. Esci dalla console GDC e riaprila.

  2. Utilizza l'utente per il quale hai registrato una YubiKey.

  3. Dopo aver digitato la password, seleziona il dispositivo YubiKey:

    yubikey-login.png

  4. Tocca il tuo dispositivo YubiKey:

    yubikey-login-select.png

Impostare la soglia dei tentativi di accesso

Keycloak dispone di funzionalità di rilevamento degli attacchi di forza bruta e può disattivare temporaneamente un account utente se il numero di tentativi di accesso non riusciti supera una soglia specificata. Questa soglia può essere configurata per bloccare l'accesso a un account in modo temporaneo o definitivo.

Per configurare il rilevamento degli attacchi di forza bruta, completa i seguenti passaggi nella console di amministrazione di Keycloak:

  1. Nel menu di navigazione, fai clic su Impostazioni realm.
  2. Fai clic sulla scheda Difese per la sicurezza.
  3. Fai clic sulla scheda Rilevamento attacchi di tipo Brute Force.
  4. Attiva l'opzione Attivato.

  5. Imposta i valori nei campi in modo che corrispondano ai requisiti di conformità, ad esempio i seguenti:

    • Max Login Failures
    • Incremento attesa
    • Controllo rapido dell'accesso
    • Attesa massima
    • Tempo di ripristino in caso di errore

    keycloak_brute_force.png

Connettersi al sistema di logging di controllo dell'appliance GDC con air gap

Abilitare l'audit logging in Keycloak

Per attivare la registrazione dei controlli, utilizza la Console di amministrazione Keycloak per completare i passaggi seguenti:

  1. Nel menu di navigazione, fai clic su Eventi.
  2. Fai clic sulla scheda Configurazione.
  3. Nelle sezioni Impostazioni eventi di accesso e Impostazioni eventi amministratore, imposta il pulsante di attivazione/disattivazione Salva eventi su ON.
  4. Nel campo Scadenza, specifica per quanto tempo vuoi conservare gli eventi.
  5. Nel campo Tipi salvati, specifica le diverse azioni che consideri importanti per il controllo.
  6. Fai clic su Salva.
  7. Fai clic sulla scheda Eventi di accesso per visualizzare i log di controllo relativi alle operazioni sugli account utente.
  8. Fai clic sulla scheda Eventi amministrativi per visualizzare i log di controllo relativi a qualsiasi azione eseguita da un amministratore nella Console di amministrazione.

Connettere gli audit log di Keycloak all'appliance GDC con air gap

Keycloak fornisce interfacce del service provider (SPI) integrate per abilitare la registrazione dei controlli. L'esportazione dell'audit logging è configurata in Keycloak per archiviare una copia dei log di controllo come file nel pod. Per impostazione predefinita, i log vengono archiviati nel database. Il sistema di logging dell'appliance air-gap GDC utilizza il montaggio del volume per recuperare il log e analizzarlo automaticamente.

Modificare il tema di Keycloak

Un tema fornisce uno o più tipi per personalizzare diversi aspetti di Keycloak. I tipi disponibili sono:

  • Account - Gestione dell'account
  • Amministratore - Console di amministrazione
  • Email - Email
  • Accesso - Moduli di accesso
  • Benvenuto - Pagina di benvenuto

Per modificare il tema Keycloak:

  1. Accedi alla console di amministrazione di Keycloak.
  2. Seleziona il tuo regno dall'elenco a discesa.
  3. Fai clic su Impostazioni del realm.
  4. Fai clic sulla scheda Temi.
  5. Per impostare il tema della Console di amministrazione principale, imposta il tema della Console di amministrazione per il realm principale.
  6. Per visualizzare le modifiche alla Console di amministrazione, aggiorna la pagina.

Gestione dell'account amministratore principale

Keycloak viene avviato con un account amministratore principale iniziale con un nome utente e una password banali di admin/admin. Per garantire la protezione e la sicurezza di questo account principale, completa i seguenti passaggi manuali non appena il bootstrapping è completato:

  • Configurare una password efficace per l'account amministratore root
  • Configurare l'autenticazione a due fattori per l'account amministratore principale

Ti consigliamo di depositare la credenziale dell'account amministratore principale in un luogo sicuro.