Anbinden eines Identity Providers

yuuvis® RAD 10.x

Identity Provider wie Keycloak und Azure AD / Entra ID können mittels OpenID Connect/OAuth2 zur Authentifizierung an yuuvis® RAD gateway angebunden werden.

Mit der Installation von yuuvis® RAD service-manager werden die Profil-Dateien gateway-azure.yml und gateway-keycloak.yml in das Verzeichnis \config installiert.

Diese Profile müssen für die entsprechende Einbindung konfiguriert und über die Datei servicewatcher-sw.yml eingebunden werden.

Nach der Konfiguration und dem Einbinden der Profile muss yuuvis® RAD gateway neu gestartet werden.

Die Funktion Passwort ändern steht beim Einbinden eines Identity Providers in yuuvis® RAD client nicht zur Verfügung.

Profil-Dateien

Für die Konfiguration der Profile benötigen Sie entsprechende Konfigurationen der Identity Provider. Insbesondere benötigen Sie Client-ID und Client-Secret für den Zugriff auf die Identity Provider.

In den Profil-Dateien ist die OAuth2-Authentifizierung über den Parameter authentication.filter.oauth2 aktiviert.

Azure AD / Entra ID

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          user-name-attribute: name
          issuer-uri: https://login.microsoftonline.com/<tenant-ID>/v2.0
      client:
        registration:
          azure:
            provider: azure
            client-id: <client-ID>
            client-secret: <client secret>
            scope:
              - openid
              - email
        provider:
          azure:
            issuer-uri: ${spring.security.oauth2.resourceserver.jwt.issuer-uri}
            user-name-attribute: ${spring.security.oauth2.resourceserver.jwt.user-name-attribute}
                                                            

Hinweise zur Konfiguration von Azure AD / Entra ID finden Sie in der Entwicklerdokumentation.

Keycloak

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          user-name-attribute: name
          issuer-uri: http://<host>:<port>/realms/<realm>
      client:
        registration:
          keycloak:
            provider: keycloak
            client-id: <client-ID>
            client-secret: <client-secret>
            scope:
              - openid
              - email
        provider:
          keycloak:
            issuer-uri: ${spring.security.oauth2.resourceserver.jwt.issuer-uri}
            user-name-attribute: ${spring.security.oauth2.resourceserver.jwt.user-name-attribute}
                                                            

Einbinden der Profile

In der Datei servicewatcher-sw.yml sind dem Service 'gateway' über den Parameter profiles Profile zugeordnet.

Die Liste der zugeordneten Profile ergänzen Sie an letzter Stelle um das entsprechend konfigurierte Profil.

Beispiel:

- name: gateway
  type: microservice
  profiles: prod,cloud,red,azure
  instances: 1
  memory: 256M
  port: 80
  path: ${appBase}/gateway/gateway-app.jar
                                                            

Konfiguration für yuuvis® RAD agent

Falls yuuvis® RAD agent in Umgebungen mit Identity Provider und OpenID Connect/OAuth2 eingesetzt wird, benötigen Sie zur Installation einen entsprechenden Eintrag in der Konfigurationsdatei connections.json und eine zusätzliche Konfigurationsdatei mit den Verbindungsdaten zum Identity Provider.