管理 Keycloak 法規遵循情況

設定密碼政策

根據預設,Keycloak 沒有密碼政策,但這個身分識別供應商提供不同的密碼政策,可透過 Keycloak 管理控制台使用,例如密碼到期、最短長度或特殊字元。

如要設定密碼政策,請在 Keycloak 管理控制台中完成下列步驟:

  1. 按一下導覽選單中的「Authentication」(驗證)
  2. 按一下「密碼政策」分頁標籤。
  3. 在「新增政策」清單中,選取要套用的政策。
  4. 輸入與所選政策相應的「政策值」
  5. 按一下 [儲存]

儲存政策後,Keycloak 會對新使用者強制執行政策,並為現有使用者設定更新密碼動作,確保他們下次登入時會變更密碼。

設定雙重驗證

Keycloak 支援透過 FIDO2/WebAuthn 通訊協定,將 YubiKey 做為雙重驗證 (2FA) 裝置。

啟用雙重驗證

  1. 將「Webauthn Register」新增為「Required Action」

    1. 使用本機管理員憑證開啟 gdch 領域管理頁面。

    2. 從導覽選單開啟「驗證」頁面,然後開啟「必要動作」分頁。

    3. 啟用「Webauthn Register」項目:

    keycloak-webauthn-register.png

  2. 在瀏覽器流程中新增 Webauthn 驗證

    1. 切換至「流程」分頁,然後使用「browser」流程名稱對應的「複製」按鈕,將現有的「browser」流程複製為「Browser Yubikey」流程。

    2. 切換至「Browser Yubikey」(瀏覽器 Yubikey) 流程。

    3. 刪除「Browser Yubikey Browser - Conditional OTP」(瀏覽器 Yubikey 瀏覽器 - 條件式 OTP) 步驟。

    4. 按一下「Browser Yubikey forms」步驟對應的「Add step」按鈕,然後新增「WebAuthn Authenticator」

    5. 將「WebAuthn Authenticator」項目設為「Required」

    keycloak-yubikey-required.png

  3. 使用「Browser Yubikey」流程對應的「Bind flow」按鈕,然後選取「Browser Flow」

    keycloak-yubikey-binding.png

  4. 按一下 [儲存]

註冊 Yubikey

  1. 開啟 GDC 控制台並登入。

  2. 使用您先前在 gdch 領域中建立的任何使用者,然後輸入密碼。

  3. 點選「註冊」按鈕:

    keycloak-yubikey-registration-1.png

  4. 選取「USB 安全金鑰」選項:

    keycloak-yubikey-registration-2.png

  5. 輕觸插入的 Yubikey:

    keycloak-yubikey-registration-3.png

  6. 輸入新安全金鑰的名稱:

    yubikey-label.png

  7. 如要改用其他金鑰或再次嘗試這個流程,請使用本機管理員帳戶開啟管理控制台,然後從使用者的「憑證」分頁中刪除 YubiKey:

    yubikey-delete.png

使用 YubiKey 登入

  1. 登出 GDC 控制台,然後重新開啟。

  2. 使用已註冊 YubiKey 的使用者。

  3. 輸入密碼後,選取 Yubikey 裝置:

    yubikey-login.png

  4. 輕觸 YubiKey 裝置:

    yubikey-login-select.png

設定嘗試登入次數上限

Keycloak 具有暴力破解偵測功能,如果登入失敗次數超過指定門檻,可以暫時停用使用者帳戶。您可以設定這個門檻,暫時或永久禁止帳戶登入。

如要設定暴力破解偵測功能,請在 Keycloak 管理控制台中完成下列步驟:

  1. 在導覽選單中,按一下「Realm Settings」(領域設定)
  2. 按一下「Security Defenses」(安全防禦) 分頁標籤。
  3. 按一下「暴力破解偵測」分頁標籤。
  4. 將「Enabled」(啟用) 切換為開啟。

  5. 在欄位中設定值,以符合法規遵循規定,例如:

    • 登入失敗次數上限
    • 等待時間增量
    • 快速登入檢查
    • 等待時間上限
    • 失敗重設時間

    keycloak_brute_force.png

連線至 GDC 氣隙隔離裝置稽核記錄系統

在 Keycloak 中啟用稽核記錄

如要啟用稽核記錄,請使用 Keycloak 管理控制台完成下列步驟:

  1. 在導覽選單中,按一下「活動」
  2. 按一下「Config」分頁標籤。
  3. 在「登入事件設定」和「管理員事件設定」部分,將「儲存事件」切換鈕設為「開啟」
  4. 在「到期」欄位中,指定要保留儲存事件的時間長度。
  5. 在「已儲存的類型」欄位中,指定您認為重要的稽核動作。
  6. 按一下 [儲存]
  7. 按一下「登入事件」分頁標籤,即可查看使用者帳戶作業的稽核記錄。
  8. 按一下「管理員事件」分頁,即可查看管理員在管理控制台中執行的任何動作的稽核記錄。

將 Keycloak 稽核記錄連線至 GDC 氣隙隔離裝置

Keycloak 提供內建的服務供應商介面 (SPI),可啟用稽核記錄。稽核記錄匯出功能已在 Keycloak 中設定,可將稽核記錄副本儲存為 Pod 中的檔案。根據預設,記錄會儲存在資料庫中。GDC 氣隙裝置記錄系統會使用磁碟區掛接來擷取記錄,並自動剖析記錄。

變更 Keycloak 主題

主題提供一或多個型別,可自訂 Keycloak 的不同層面。可用的類型如下:

  • 帳戶 - 帳戶管理
  • 管理員 - 管理控制台
  • 電子郵件 - 電子郵件
  • 登入 - 登入表單
  • 歡迎 - 歡迎頁面

如要變更 Keycloak 主題,請按照下列步驟操作:

  1. 登入 Keycloak 管理控制台。
  2. 從下拉式清單中選取領域。
  3. 按一下「領域設定」
  4. 按一下「主題」分頁標籤。
  5. 如要設定主要管理控制台的主題,請為主要領域設定管理控制台主題。
  6. 如要查看管理控制台的變更,請重新整理頁面。

管理根管理員帳戶

Keycloak 會以初始根管理員帳戶啟動,該帳戶的使用者名稱和密碼為 admin/admin。為確保這個根帳戶受到保護,請在完成啟動程序後,立即完成下列手動步驟:

  • 為根管理員帳戶設定高強度密碼
  • 為根管理員帳戶設定兩步驟驗證

建議您將憑證託管至根管理員帳戶的安全位置。