管理 Keycloak 合规性

设置密码政策

默认情况下,Keycloak 没有密码政策,但此身份提供方通过 Keycloak 管理控制台提供不同的密码政策,例如密码过期、最小长度或特殊字符。

如需设置密码政策,请在 Keycloak 管理控制台中完成以下步骤:

  1. 在导航菜单中,点击身份验证
  2. 点击密码政策标签页。
  3. 添加政策列表中,选择要应用的政策。
  4. 输入与所选政策对应的政策值
  5. 点击保存

保存政策后,Keycloak 会针对新用户强制执行该政策,并为现有用户设置“更新密码”操作,以确保他们在下次登录时更改密码。

配置双重身份验证

Keycloak 支持通过 FIDO2/WebAuthn 协议使用 Yubikey 作为第二重身份验证 (2FA) 设备。

启用双重身份验证

  1. Webauthn Register 添加为必需操作

    1. 使用本地管理员凭据打开 gdch 领域管理页面。

    2. 从导航菜单中打开身份验证页面,然后打开必需的操作标签页。

    3. 启用 Webauthn Register 项:

    keycloak-webauthn-register.png

  2. 向浏览器流程添加 Webauthn 身份验证

    1. 切换到流程标签页,然后使用与浏览器流程名称对应的复制按钮,将现有的浏览器流程复制为浏览器 Yubikey 流程。

    2. 切换到浏览器 Yubikey 流程。

    3. 删除浏览器 Yubikey 浏览器 - 有条件 OTP 步骤。

    4. 点击与浏览器 Yubikey 表单步骤对应的添加步骤按钮,然后添加 WebAuthn 身份验证器

    5. WebAuthn 身份验证器项设置为必需

    keycloak-yubikey-required.png

  3. 使用与 Browser Yubikey 流对应的 Bind flow 按钮,然后选择 Browser Flow

    keycloak-yubikey-binding.png

  4. 点击保存

注册 Yubikey

  1. 打开 GDC 控制台以登录。

  2. 使用您之前在 gdch 领域中创建的任何用户,然后输入密码。

  3. 点击注册按钮:

    keycloak-yubikey-registration-1.png

  4. 选择 USB 安全密钥选项:

    keycloak-yubikey-registration-2.png

  5. 点按已插入的 Yubikey:

    keycloak-yubikey-registration-3.png

  6. 为新安全密钥输入任意名称:

    yubikey-label.png

  7. 如果您想改用其他密钥或再次尝试此流程,请使用本地管理员账号打开管理控制台,然后从用户的凭据标签页中删除 Yubikey:

    yubikey-delete.png

使用 Yubikey 登录

  1. 退出 GDC 控制台,然后重新打开。

  2. 使用已注册 Yubikey 的用户。

  3. 输入密码后,选择 Yubikey 设备:

    yubikey-login.png

  4. 点按您的 Yubikey 设备:

    yubikey-login-select.png

设置登录尝试次数阈值

Keycloak 具有暴力破解检测功能,如果登录失败次数超过指定阈值,则可以暂时停用用户账号。您可以配置此阈值,以暂时或永久阻止账号登录。

如需设置暴力破解检测,请在 Keycloak 管理控制台中完成以下步骤:

  1. 在导航菜单中,点击大区设置
  2. 点击安全防御标签页。
  3. 点击暴力破解检测标签页。
  4. 已启用切换为开启。

  5. 在字段中设置值以满足合规性要求,例如:

    • 登录失败次数上限
    • 等待增量
    • 快速登录检查
    • 最长等待时间
    • 故障重置时间

    keycloak_brute_force.png

连接到 GDC 经过网闸隔离的设备审核日志记录系统

在 Keycloak 中启用审核日志记录

如需启用审核日志记录,请使用 Keycloak 管理控制台完成以下步骤:

  1. 在导航菜单中,点击活动
  2. 点击配置标签页。
  3. 登录事件设置管理员事件设置部分,将保存事件切换开关设置为开启
  4. 过期时间字段中,指定您希望将事件存储多长时间。
  5. 已保存的类型字段中,指定您认为对审核很重要的不同操作。
  6. 点击保存
  7. 点击登录事件标签页,查看有关用户账号操作的审核日志。
  8. 点击管理员事件标签页,查看有关管理员在管理控制台中执行的任何操作的审核日志。

将 Keycloak 审核日志连接到经过网闸隔离的 GDC 设备

Keycloak 提供内置的服务提供方接口 (SPI) 来启用审核日志记录。在 Keycloak 中配置了审核日志导出功能,以将审核日志的副本作为文件存储在 Pod 中。默认情况下,日志存储在数据库中)。GDC 空气隔离设备日志记录系统使用卷装载来提取日志并自动解析日志。

更改 Keycloak 主题

主题提供了一种或多种类型,用于自定义 Keycloak 的不同方面。 可用的类型包括:

  • 账号 - 账号管理
  • 管理员 - 管理控制台
  • 电子邮件 - 电子邮件
  • 登录 - 登录表单
  • 欢迎 - 欢迎页面

如需更改 Keycloak 主题,请按以下步骤操作:

  1. 登录 Keycloak 管理控制台。
  2. 从下拉列表中选择您的服务器。
  3. 点击Realm 设置
  4. 点击主题标签页。
  5. 如需设置主管理控制台的主题,请为主网域设置管理控制台主题。
  6. 如需查看管理控制台的更改,请刷新页面。

根管理员账号管理

Keycloak 通过一个初始 root 管理员账号进行引导启动,该账号的用户名和密码均为 admin/admin。为确保此根账号受到保护并保证其安全性,请在完成初始配置后立即完成以下手动步骤:

  • 为根管理员账号设置安全系数高的密码
  • 为根管理员账号设置 2FA

我们建议您将根管理员账号的凭据托管到安全的位置。