Identity Provider anlegen, konfigurieren und verwenden

Das BPC setzt die Anbindung eines externen Identity Providers (IdP) voraus. Für die Konfiguration des externen IdPs bietet das BPC im Administrationsbereich entsprechende Einstellungen an. Dazu wird im BPC unter den Backend Connections ein Identity Provider angelegt und dieser anschließend in den Core Services Einstellungen als zu verwendender Identity Provider festgelegt.

Beim Start des BPC wird eine Identity Provider Backend Connection für den lokalen Karaf mit der ID idp_karaf und dem Namen Karaf (default) angelegt. Diese wird auch gleich als aktiver Identity Provider verwendet.

Es wird empfohlen, Keycloak^[1] als Identity Provider einzusetzen. Keycloak ist Open Source und implementiert Standards wie OpenID Connect und SAML. Mit diesem lassen sich auch sehr komplexe Szenarien abbilden.

Identity Provider anlegen und konfigurieren

Allgemein werden Identity Provider über Backend Connections konfiguriert.

Allgemeine Identity Provider Konfiguration

Folgende Konfigurationsparameter sind an der Backend Connections vom Typ identity_provider zu finden.

Einstellung der Gruppe AdditionalInfo sind unter User Session um zusätzliche Organisationen/Rollen/Rechte und weitere Daten ergänzen beschrieben.

Setting (Key) Gruppe Typ Beschreibung

Setting (Key)	Gruppe	Typ	Beschreibung
IdentityProvider (`identityProvider`)	Config	text/combobox	Identity Provider Service. Werte: `Datenbank (JDBC)`, `Karaf`, `Keycloak`, `OpenID Connect (OIDC)` Default: `Karaf`
IdentityProvider_URL (`identityProvider.url`) Nur BPC Version < 4.2.13	Config	text	Die URL, unter welcher der Identity Provider erreichbar ist
IdentityProvider_Configuration (`identityProvider_configuration`) Nur BPC Version < 4.2.13	Config	json	Configuration Object für Identity Provider Relevant für Keycloak und OIDC
IdentityProvider_Mappings (`identityProvider_mappings`)	Config	json	Mapping der Rolle zwischen BPC und Identity Provider. Siehe Mapping von Organisationen, Rollen und Rechten
IdentityProvider_HealthEndpoint (`identityProvider_healthEndpoint`)	Config	text	Health-Endpoint des Identity Providers. Falls gesetzt, kann der Status des Identity Providers über die Status-API abgefragt werden. Beispiel: http://<keycloak_addr>:9000/health/ready
IdentityProvider_PasswordValidationRegExp (`identityProvider_pwdValidationRegExp`)	Config	text	Regular Expression (siehe Java Dokumentation) zur Validierung von Passwörtern. Zum Beispiel muss bei `.{8,}` das Passwort mindestens 8 Zeichen lang sein. Komplexes Beispiel bestehend aus mehreren Teilen: `(?=.[0-9])(?=.[a-z])(?=.[A-Z])(?=.[@#$%^&+=])(?=\S+$).{8,}` `(?=.[0-9])` - Mindestens eine Zahl `(?=.[a-z])` - Mindestens ein kleiner Buchstabe `(?=.[A-Z])` - Mindestens ein großer Buchstabe `(?=.[@#$%^&+=])` - Mindestens ein Sonderzeichen `(?=\S+$)` - Keine Leerzeichen (Whitespace) `.{8,}` - Mindestens 8 Zeichen insgesamt
IdentityProvider_ChangeOrganisationEnabled (`identityProvider_ussChangeOrganisationEnabled`)	Frontend	bool	Ermöglicht das De-/Aktivieren der Änderung von Organisation in Oberfläche. Default: false
IdentityProvider_ChangePasswordEnabled (`identityProvider_ussChangePasswordEnabled`)	Frontend	bool	Ermöglicht das De-/Aktivieren der Änderung von Password in Oberfläche. Default: false

IdentityProvider
(identityProvider)

Config

text/combobox

Identity Provider Service.
Werte: Datenbank (JDBC), Karaf, Keycloak, OpenID Connect (OIDC)

Default: Karaf

IdentityProvider_URL
(identityProvider.url)

Nur BPC Version < 4.2.13

Config

text

Die URL, unter welcher der Identity Provider erreichbar ist

IdentityProvider_Configuration
(identityProvider_configuration)

Nur BPC Version < 4.2.13

Config

json

Configuration Object für Identity Provider
Relevant für Keycloak und OIDC

IdentityProvider_Mappings
(identityProvider_mappings)

Config

json

Mapping der Rolle zwischen BPC und Identity Provider.
Siehe Mapping von Organisationen, Rollen und Rechten

IdentityProvider_HealthEndpoint
(identityProvider_healthEndpoint)

Config

text

Health-Endpoint des Identity Providers. Falls gesetzt, kann der Status des Identity Providers über die Status-API abgefragt werden.

Beispiel: http://<keycloak_addr>:9000/health/ready

IdentityProvider_PasswordValidationRegExp
(identityProvider_pwdValidationRegExp)

Config

text

Regular Expression (siehe Java Dokumentation) zur Validierung von Passwörtern. Zum Beispiel muss bei .{8,} das Passwort mindestens 8 Zeichen lang sein.

Komplexes Beispiel bestehend aus mehreren Teilen: (?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,}

(?=.*[0-9]) - Mindestens eine Zahl
(?=.*[a-z]) - Mindestens ein kleiner Buchstabe
(?=.*[A-Z]) - Mindestens ein großer Buchstabe
(?=.*[@#$%^&+=]) - Mindestens ein Sonderzeichen
(?=\S+$) - Keine Leerzeichen (Whitespace)
.{8,} - Mindestens 8 Zeichen insgesamt

IdentityProvider_ChangeOrganisationEnabled
(identityProvider_ussChangeOrganisationEnabled)

Frontend

bool

Ermöglicht das De-/Aktivieren der Änderung von Organisation in Oberfläche.
Default: false

IdentityProvider_ChangePasswordEnabled
(identityProvider_ussChangePasswordEnabled)

Frontend

bool

Ermöglicht das De-/Aktivieren der Änderung von Password in Oberfläche.
Default: false

Spezifische Identity Provider Konfiguration

Spezifische Informationen wie man die unterstützten Identity Provider konfiguriert:

Neben den spezifischen Konfigurationen gibt es noch welche, die bei jedem Identity Provider konfiguriert bzw. verwendet werden können:

Identity Provider verwenden

Einer der oben angelegten Identity Provider kann nun in den Core Services → Einstellungen als der zu verwendende (Aktive) IdP festgelegt werden. Falls es danach nicht möglich sein sollte sich mit diesem IdP anzumelden, finden Sie eine Lösung unter Forcieren des lokalen IdP als Fallback

Setting (Key) Gruppe Typ Beschreibung

Setting (Key)	Gruppe	Typ	Beschreibung
IdentityProvider_BackendConnection (`identityProviderBackendConnection`)	identityProvider	text/combobox	Auswahl/Festlegung der zu verwendeten Identity Provider Backend Connection.

IdentityProvider_BackendConnection
(identityProviderBackendConnection)

identityProvider

text/combobox

Auswahl/Festlegung der zu verwendeten Identity Provider Backend Connection.

idp select active

Auf „Speichern“ klicken!
Anschließend werden Sie abgemeldet und müssen sich erneut Anmelden. Dabei wird der neue Identity Provider berücksichtigt.

1. Keycloak ist ein Warenzeichen von The Linux Foundation.

Keywords: