SSO მიკროსერვისის არქიტექტურაზე. ჩვენ ვიყენებთ Keycloak-ს. Ნაწილი 1

ნებისმიერ მსხვილ კომპანიაში და X5 Retail Group არ არის გამონაკლისი, რადგან ის ვითარდება, იზრდება იმ პროექტების რაოდენობა, რომლებიც საჭიროებენ მომხმარებლის ავტორიზაციას. დროთა განმავლობაში საჭიროა მომხმარებელთა უწყვეტი გადასვლა ერთი აპლიკაციიდან მეორეზე, შემდეგ კი საჭიროა ერთი Single-Sing-On (SSO) სერვერის გამოყენება. რა შეიძლება ითქვას, როდესაც იდენტიფიკაციის პროვაიდერები, როგორიცაა AD ან სხვები, რომლებსაც არ აქვთ დამატებითი ატრიბუტები, უკვე გამოიყენება სხვადასხვა პროექტებში. სისტემების კლასი სახელწოდებით "იდენტიფიკაციის ბროკერები" მოვა სამაშველოში. ყველაზე ფუნქციონალურია მისი წარმომადგენლები, როგორიცაა Keycloak, Gravitee Access Management და ა.შ. ყველაზე ხშირად გამოყენების შემთხვევები შეიძლება იყოს განსხვავებული: მანქანებთან ურთიერთქმედება, მომხმარებლის მონაწილეობა და ა.შ. და ასეთი გადაწყვეტილებები ჩვენს კომპანიას ახლა აქვს მითითების ბროკერი - Keycloak.

Keycloak არის ღია კოდის იდენტიფიკაციისა და წვდომის კონტროლის პროდუქტი, რომელსაც აწარმოებს RedHat. ეს არის კომპანიის პროდუქციის საფუძველი SSO - RH-SSO გამოყენებით.

ძირითადი ცნებები

სანამ გადაწყვეტილებებსა და მიდგომებთან მუშაობას დაიწყებთ, უნდა გადაწყვიტოთ პროცესების ტერმინები და თანმიმდევრობა:

იდენტიფიკაცია არის სუბიექტის იდენტიფიკატორის მიერ ამოცნობის პროცედურა (სხვა სიტყვებით რომ ვთქვათ, ეს არის სახელის, შესვლის ან ნომრის განმარტება).

ავთენტიფიკაცია - ეს არის ავთენტიფიკაციის პროცედურა (მომხმარებლის შემოწმება ხდება პაროლით, წერილი მოწმდება ელექტრონული ხელმოწერით და ა.შ.)

ავტორიზაცია - ეს არის რესურსზე წვდომის უზრუნველყოფა (მაგალითად, ელ. ფოსტაზე).

პირადობის ბროკერი Keycloak

კლავიატურა არის ღია კოდის იდენტიფიკაციისა და წვდომის მართვის გადაწყვეტა, რომელიც შექმნილია IS-ში გამოსაყენებლად, სადაც შესაძლებელია მიკროსერვისის არქიტექტურის შაბლონების გამოყენება.

Keycloak გთავაზობთ ფუნქციებს, როგორიცაა ერთჯერადი შესვლა (SSO), შუამავლობით იდენტიფიკაცია და სოციალური შესვლა, მომხმარებლის ფედერაცია, კლიენტის გადამყვანები, ადმინისტრატორის კონსოლი და ანგარიშის მართვის კონსოლი.

Keycloak-ის მიერ მხარდაჭერილი ძირითადი ფუნქციონალობა:

• ერთჯერადი შესვლა და ერთჯერადი გასვლა ბრაუზერის აპლიკაციებისთვის.
• OpenID/OAuth 2.0/SAML-ის მხარდაჭერა.
• Identity Brokering - ავთენტიფიკაცია გარე OpenID Connect ან SAML პირადობის პროვაიდერების გამოყენებით.
• სოციალური შესვლა - Google, GitHub, Facebook, Twitter მხარდაჭერა მომხმარებლის იდენტიფიკაციისთვის.
• მომხმარებლის ფედერაცია - მომხმარებელთა სინქრონიზაცია LDAP და Active Directory სერვერებიდან და სხვა პირადობის პროვაიდერებიდან.
• Kerberos ხიდი - Kerberos სერვერის გამოყენებით მომხმარებლის ავტომატური ავტორიზაციისთვის.
• ადმინისტრატორის კონსოლი - პარამეტრების და გადაწყვეტის ვარიანტების ერთიანი მართვისთვის ინტერნეტის საშუალებით.
• ანგარიშის მართვის კონსოლი - მომხმარებლის პროფილის თვითმართვისთვის.
• გადაწყვეტის მორგება კომპანიის კორპორატიულ იდენტობაზე დაყრდნობით.
• 2FA ავთენტიფიკაცია - TOTP/HOTP მხარდაჭერა Google Authenticator-ის ან FreeOTP-ის გამოყენებით.
• შესვლის ნაკადები - შესაძლებელია მომხმარებლის თვითრეგისტრაცია, პაროლის აღდგენა და გადატვირთვა და სხვა.
• სესიების მენეჯმენტი - ადმინისტრატორებს შეუძლიათ მომხმარებლის სესიების მართვა ერთი წერტილიდან.
• Token Mappers - მომხმარებელთა ატრიბუტების, როლების და სხვა საჭირო ატრიბუტების სავალდებულოა ტოკენებისთვის.
• მოქნილი პოლიტიკის მენეჯმენტი სფეროში, აპლიკაციასა და მომხმარებლებს შორის.
• CORS მხარდაჭერა - კლიენტის გადამყვანებს აქვთ ჩაშენებული CORS მხარდაჭერა.
• სერვისის პროვაიდერის ინტერფეისები (SPI) - SPI-ების დიდი რაოდენობა, რომელიც საშუალებას გაძლევთ დააკონფიგურიროთ სერვერის სხვადასხვა ასპექტები: ავთენტიფიკაციის ნაკადები, პირადობის პროვაიდერები, პროტოკოლის რუქა და სხვა.
• კლიენტის გადამყვანები JavaScript აპლიკაციებისთვის, WildFly, JBoss EAP, Fuse, Tomcat, Jetty, Spring.
• მხარდაჭერა სხვადასხვა აპლიკაციებთან მუშაობისთვის, რომლებიც მხარს უჭერენ OpenID Connect Relying Party ბიბლიოთეკას ან SAML 2.0 სერვისის პროვაიდერის ბიბლიოთეკას.
• გაფართოება დანამატების გამოყენებით.

CI / CD პროცესებისთვის, ასევე Keycloak-ში მართვის პროცესების ავტომატიზაციისთვის, შეიძლება გამოყენებულ იქნას REST API / JAVA API. დოკუმენტაცია ხელმისაწვდომია ელექტრონულად:

REST API https://www.keycloak.org/docs-api/8.0/rest-api/index.html
Java API https://www.keycloak.org/docs-api/8.0/javadocs/index.html

საწარმოს იდენტიფიკაციის პროვაიდერები (ნაგებობაზე)

მომხმარებელთა ფედერაციის სერვისების მეშვეობით მომხმარებლების ავთენტიფიკაციის შესაძლებლობა.

ასევე შეიძლება გამოყენებულ იქნას გადასასვლელი ავტორიზაცია - თუ მომხმარებლები ახდენენ ავთენტიფიკაციას სამუშაო სადგურების წინააღმდეგ Kerberos-ით (LDAP ან AD), მაშინ მათი ავტომატურად დამოწმება შესაძლებელია Keycloak-ზე მათი მომხმარებლის სახელისა და პაროლის ხელახლა შეყვანის გარეშე.

ავთენტიფიკაციისა და მომხმარებლების შემდგომი ავტორიზაციისთვის შესაძლებელია გამოვიყენოთ რელაციური DBMS, რომელიც ყველაზე მეტად გამოიყენება დეველოპერულ გარემოში, რადგან ის არ გულისხმობს ხანგრძლივ პარამეტრებს და ინტეგრაციას პროექტების ადრეულ ეტაპებზე. ნაგულისხმევად, Keycloak იყენებს ჩაშენებულ DBMS-ს პარამეტრებისა და მომხმარებლის მონაცემების შესანახად.

მხარდაჭერილი DBMS-ების სია ვრცელია და მოიცავს: MS SQL, Oracle, PostgreSQL, MariaDB, Oracle და სხვა. აქამდე ყველაზე გამოცდილია Oracle 12C Release1 RAC და Galera 3.12 კლასტერი MariaDB 10.1.19-ისთვის.

პირადობის პროვაიდერები - სოციალური შესვლა

შესაძლებელია ლოგინის გამოყენება სოციალური ქსელებიდან. მომხმარებლების ავთენტიფიკაციის შესაძლებლობის გასააქტიურებლად გამოიყენეთ Keycloack ადმინისტრატორის კონსოლი. აპლიკაციის კოდში ცვლილებები არ არის საჭირო და ეს ფუნქცია ხელმისაწვდომია და შეიძლება გააქტიურდეს პროექტის ნებისმიერ ეტაპზე.

მომხმარებლის ავთენტიფიკაციისთვის შესაძლებელია OpenID/SAML Identity პროვაიდერების გამოყენება.

ტიპიური ავტორიზაციის სცენარები Keycloak-ში OAuth2-ის გამოყენებით

ავტორიზაციის კოდის ნაკადი - გამოიყენება სერვერის მხარეს აპლიკაციებთან. ავტორიზაციის ნებართვის ერთ-ერთი ყველაზე გავრცელებული ტიპი, რადგან ის კარგად შეეფერება სერვერის აპლიკაციებს, სადაც აპლიკაციის წყაროს კოდი და კლიენტის მონაცემები მიუწვდომელია აუტსაიდერებისთვის. პროცესი ამ შემთხვევაში ეფუძნება გადამისამართებას. აპლიკაციას უნდა შეეძლოს მომხმარებლის აგენტთან (მომხმარებლის აგენტთან) ურთიერთობა, როგორიცაა ვებ ბრაუზერი - მიიღოს მომხმარებლის აგენტის მეშვეობით გადამისამართებული API ავტორიზაციის კოდები.

იმპლიციტური ნაკადი - გამოიყენება მობილური ან ვებ აპლიკაციების მიერ (აპლიკაციები, რომლებიც მუშაობს მომხმარებლის მოწყობილობაზე).

იმპლიციტური ავტორიზაციის ნებართვის ტიპი გამოიყენება მობილური და ვებ აპლიკაციების მიერ, სადაც კლიენტის კონფიდენციალურობის გარანტია შეუძლებელია. იმპლიციტური ნებართვის ტიპი ასევე იყენებს მომხმარებლის აგენტის გადამისამართებას, რომლის დროსაც წვდომის ჟეტონი გადაეცემა მომხმარებლის აგენტს აპლიკაციაში შემდგომი გამოყენებისთვის. ეს ხდის ჟეტონს ხელმისაწვდომი მომხმარებლისთვის და მომხმარებლის მოწყობილობის სხვა აპლიკაციებისთვის. ამ ტიპის ავტორიზაციის ნებართვა არ ადასტურებს აპლიკაციის იდენტურობას და თავად პროცესი ეყრდნობა გადამისამართების URL-ს (ადრე დარეგისტრირებულ სერვისში).

Implicit Flow არ უჭერს მხარს წვდომის სიმბოლოს განახლების ტოკენებს.

კლიენტის სერთიფიკატების საგრანტო ნაკადი — გამოიყენება, როდესაც აპლიკაცია წვდება API-ს. ამ ტიპის ავტორიზაციის ნებართვა, როგორც წესი, გამოიყენება სერვერ-სერვერის ურთიერთქმედებისთვის, რომელიც უნდა განხორციელდეს ფონზე, მომხმარებლის უშუალო ურთიერთქმედების გარეშე. კლიენტის რწმუნებათა სიგელების საგრანტო ნაკადი საშუალებას აძლევს ვებ სერვისს (კონფიდენციალურ კლიენტს) გამოიყენოს საკუთარი რწმუნებათა სიგელები, ნაცვლად იმისა, რომ სხვა ვებ სერვისზე დარეკვისას ავთენტიფიკაცია მოახდინოს მომხმარებლისთვის. უსაფრთხოების უფრო მაღალი დონისთვის, ზარის სერვისმა შეიძლება გამოიყენოს სერტიფიკატი (საერთო საიდუმლოს ნაცვლად) რწმუნებათა სიგელად.

OAuth2 სპეციფიკაცია აღწერილია
RFC-6749
RFC-8252
RFC-6819

JWT ნიშანი და მისი სარგებელი

JWT (JSON Web Token) არის ღია სტანდარტი (https://tools.ietf.org/html/rfc7519) რომელიც განსაზღვრავს კომპაქტურ და დამოუკიდებელ გზას მხარეებს შორის ინფორმაციის უსაფრთხოდ გადაცემისთვის, როგორც JSON ობიექტი.

სტანდარტის მიხედვით, ჟეტონი შედგება სამი ნაწილისგან base-64 ფორმატში, გამოყოფილი წერტილებით. პირველ ნაწილს ეწოდება სათაური, რომელიც შეიცავს ჟეტონის ტიპს და ციფრული ხელმოწერის მისაღებად ჰეშის ალგორითმის სახელს. მეორე ნაწილი ინახავს ძირითად ინფორმაციას (მომხმარებელი, ატრიბუტები და ა.შ.). მესამე ნაწილი არის ციფრული ხელმოწერა.

. .
არასოდეს შეინახოთ ჟეტონი თქვენს DB-ში. იმის გამო, რომ მოქმედი ჟეტონი პაროლის ექვივალენტურია, ჟეტონის შენახვა პაროლის წმინდა ტექსტში შენახვას ჰგავს.
წვდომის ჟეტონი არის ნიშანი, რომელიც აძლევს მის მფლობელს წვდომას უსაფრთხო სერვერის რესურსებზე. მას ჩვეულებრივ აქვს ხანმოკლე ვადა და შეიძლება შეიცავდეს დამატებით ინფორმაციას, როგორიცაა იმ მხარის IP მისამართი, რომელიც ითხოვს ტოკენს.

განაახლეთ ჟეტონი არის ჟეტონი, რომელიც საშუალებას აძლევს კლიენტებს მოითხოვონ ახალი წვდომის ნიშნები მათი სიცოცხლის ვადის ამოწურვის შემდეგ. ეს ჟეტონები ჩვეულებრივ გაიცემა დიდი ხნის განმავლობაში.

მიკროსერვისის არქიტექტურაში გამოყენების ძირითადი უპირატესობები:

• სხვადასხვა აპლიკაციებსა და სერვისებზე წვდომის შესაძლებლობა ერთჯერადი ავთენტიფიკაციის საშუალებით.
• მომხმარებლის პროფილში რიგი საჭირო ატრიბუტების არარსებობის შემთხვევაში, შესაძლებელია გამდიდრდეს მონაცემებით, რომლებიც შეიძლება დაემატოს დატვირთვას, მათ შორის ავტომატიზებულ და ფრენაზე.
• არ არის საჭირო ინფორმაციის შენახვა აქტიური სესიების შესახებ, სერვერის აპლიკაციას მხოლოდ ხელმოწერის გადამოწმება სჭირდება.
• უფრო მოქნილი წვდომის კონტროლი დატვირთვის დამატებითი ატრიბუტების მეშვეობით.
• სათაურისთვის და დატვირთვისთვის სიმბოლური ხელმოწერის გამოყენება ზრდის მთლიანი გადაწყვეტის უსაფრთხოებას.

JWT ჟეტონი - შემადგენლობა

სათაური - ნაგულისხმევად, სათაური შეიცავს მხოლოდ ნიშნის ტიპს და დაშიფვრისთვის გამოყენებულ ალგორითმს.

ჟეტონის ტიპი ინახება "typ" კლავიშში. "ტიპის" გასაღები იგნორირებულია JWT-ში. თუ არსებობს "typ" გასაღები, მისი მნიშვნელობა უნდა იყოს JWT, რათა მიუთითებდეს, რომ ეს ობიექტი არის JSON Web Token.

მეორე გასაღები "alg" განსაზღვრავს ალგორითმს, რომელიც გამოიყენება ტოკენის დაშიფვრისთვის. ნაგულისხმევად უნდა დაყენდეს HS256. სათაური დაშიფრულია base64-ში.

{ "alg": "HS256", "type": "JWT"}
დატვირთვა (შინაარსი) - დატვირთვა ინახავს ნებისმიერ ინფორმაციას, რომელიც საჭიროებს შემოწმებას. ტვირთის თითოეული გასაღები ცნობილია როგორც "პრეტენზია". მაგალითად, აპლიკაციაში შესვლა შეგიძლიათ მხოლოდ მოწვევით (დახურული პრომო). როდესაც გვინდა ვინმეს მოწვევა მონაწილეობის მისაღებად, ჩვენ ვუგზავნით მას მოსაწვევის წერილს. მნიშვნელოვანია შეამოწმოთ, რომ ელ.ფოსტის მისამართი ეკუთვნის იმ პირს, ვინც იღებს მოწვევას, ამიტომ ჩვენ ამ მისამართს ჩავრთავთ დატვირთვაში, ამისათვის მას ვინახავთ "ელ.ფოსტის" გასაღებში.

{ "email": "[ელ.ფოსტით დაცულია]"}

გასაღებები დატვირთვაში შეიძლება იყოს თვითნებური. თუმცა, არსებობს რამდენიმე დაცული:

• iss (Issuer) - განსაზღვრავს აპლიკაციას, საიდანაც იგზავნება ჟეტონი.
• sub (Subject) - განსაზღვრავს ნიშნის საგანს.
• aud (აუდიტორია) არის ასოების მიმართ მგრძნობიარე სტრიქონების ან URI-ების მასივი, რომელიც წარმოადგენს ამ ნიშნის მიმღებთა სიას. როდესაც მიმღები მხარე იღებს JWT-ს მოცემული გასაღებით, მან უნდა შეამოწმოს საკუთარი თავის არსებობა მიმღებებში - წინააღმდეგ შემთხვევაში იგნორირება გაუკეთეთ ჟეტონს.
• exp (Expiration Time) - მიუთითებს, როდის იწურება ჟეტონი. JWT სტანდარტი მოითხოვს მის ყველა იმპლემენტაციას, რომ უარყოს ვადაგასული ტოკენები. exp გასაღები უნდა იყოს unix ფორმატში დროის ანაბეჭდი.
• nbf (Not Before) არის დრო unix ფორმატში, რომელიც განსაზღვრავს მომენტს, როდესაც ჟეტონი გახდება მოქმედი.
• iat (Issued At) - ეს გასაღები წარმოადგენს ჟეტონის გაცემის დროს და მისი გამოყენება შესაძლებელია JWT-ის ასაკის დასადგენად. iat გასაღები უნდა იყოს unix ფორმატში დროის ანაბეჭდი.
• Jti (JWT ID) — სტრიქონი, რომელიც განსაზღვრავს ამ ნიშნის უნიკალურ იდენტიფიკატორს, რეგისტრისადმი მგრძნობიარე.

მნიშვნელოვანია გვესმოდეს, რომ დატვირთვა არ არის გადაცემული დაშიფრული ფორმით (თუმცა ჟეტონები შეიძლება იყოს ბუდირებული და შემდეგ შესაძლებელია დაშიფრული მონაცემების გადაცემა). ამიტომ მას არ შეუძლია რაიმე საიდუმლო ინფორმაციის შენახვა. სათაურის მსგავსად, payload არის base64 კოდირებული.
ხელმოწერა - როცა გვაქვს სათაური და დატვირთვა, შეგვიძლია გამოვთვალოთ ხელმოწერა.

Base64-ში კოდირებული: სათაური და დატვირთვა აღებულია, ისინი გაერთიანებულია სტრიქონში წერტილის მეშვეობით. შემდეგ ეს სტრიქონი და საიდუმლო გასაღები შეყვანილია სათაურში მითითებულ დაშიფვრის ალგორითმში ("alg" გასაღები). გასაღები შეიძლება იყოს ნებისმიერი სტრიქონი. უფრო გრძელი სიმები იქნება ყველაზე სასურველი, რადგან მის აღებას უფრო მეტი დრო დასჭირდება.

{"alg":"RSA1_5", "payload":"A128CBC-HS256"}

Keycloak Failover Cluster Architecture-ის აგება

ყველა პროექტისთვის ერთი კლასტერის გამოყენებისას, იზრდება მოთხოვნები SSO გადაწყვეტისთვის. როდესაც პროექტების რაოდენობა მცირეა, ეს მოთხოვნები არც ისე შესამჩნევია ყველა პროექტისთვის, თუმცა მომხმარებელთა რაოდენობისა და ინტეგრაციის მატებასთან ერთად იზრდება ხელმისაწვდომობისა და შესრულების მოთხოვნები.

ერთჯერადი SSO მარცხის რისკის გაზრდა ზრდის მოთხოვნებს გადაწყვეტის არქიტექტურისა და ზედმეტ კომპონენტებისთვის გამოყენებულ მეთოდებზე და იწვევს ძალიან მჭიდრო SLA-ს. ამ მხრივ, უფრო ხშირად, გადაწყვეტილებების შემუშავების ან დანერგვის ადრეულ ეტაპებზე, პროექტებს აქვთ საკუთარი არადაზიანებული ინფრასტრუქტურა. როგორც განვითარება პროგრესირებს, საჭიროა განვითარებისა და მასშტაბების შესაძლებლობების დადგენა. ყველაზე მოქნილია ფაილვერის კლასტერის შექმნა კონტეინერის ვირტუალიზაციის ან ჰიბრიდული მიდგომის გამოყენებით.

აქტიური/აქტიური და აქტიური/პასიური კლასტერის რეჟიმში მუშაობისთვის საჭიროა მონაცემთა თანმიმდევრულობის უზრუნველყოფა რელაციურ მონაცემთა ბაზაში - მონაცემთა ბაზის ორივე კვანძი სინქრონულად უნდა განმეორდეს სხვადასხვა გეო-განაწილებულ მონაცემთა ცენტრებს შორის.

შეცდომისადმი ტოლერანტული ინსტალაციის უმარტივესი მაგალითი.

რა სარგებლობა მოაქვს ერთი კლასტერის გამოყენებას:

• მაღალი ხელმისაწვდომობა და შესრულება.
• ოპერაციული რეჟიმების მხარდაჭერა: აქტიური / აქტიური, აქტიური / პასიური.
• დინამიური მასშტაბის უნარი - კონტეინერის ვირტუალიზაციის გამოყენებისას.
• ცენტრალიზებული მართვისა და მონიტორინგის შესაძლებლობა.
• პროექტებში მომხმარებლების იდენტიფიკაციის/ავთენტიფიკაციის/ავტორიზაციის ერთიანი მიდგომა.
• უფრო გამჭვირვალე ურთიერთქმედება სხვადასხვა პროექტებს შორის მომხმარებლის ჩართულობის გარეშე.
• JWT ტოკენის ხელახლა გამოყენების შესაძლებლობა სხვადასხვა პროექტებში.
• ნდობის ერთი წერტილი.
• მიკროსერვისების/კონტეინერების ვირტუალიზაციის გამოყენებით პროექტების უფრო სწრაფი გაშვება (არ არის საჭირო დამატებითი კომპონენტების აწევა და კონფიგურაცია).
• შესაძლებელია კომერციული მხარდაჭერის შეძენა გამყიდველისგან.

რა უნდა ვეძებოთ კლასტერის დაგეგმვისას

DBMS

Keycloak იყენებს მონაცემთა ბაზის მართვის სისტემას შესანახად: სფეროები, კლიენტები, მომხმარებლები და ა.შ.
მხარდაჭერილია DBMS-ის ფართო სპექტრი: MS SQL, Oracle, MySQL, PostgreSQL. Keycloak-ს გააჩნია საკუთარი ჩაშენებული რელაციური მონაცემთა ბაზა. რეკომენდირებულია გამოიყენოთ არადატვირთული გარემოსთვის - როგორიცაა განვითარების გარემო.

აქტიური/აქტიური და აქტიური/პასიური კლასტერის რეჟიმებში მუშაობისთვის საჭიროა მონაცემთა თანმიმდევრულობის უზრუნველყოფა რელაციურ მონაცემთა ბაზაში და ორივე მონაცემთა ბაზის კლასტერული კვანძი სინქრონულად იმეორებს მონაცემთა ცენტრებს შორის.

განაწილებული ქეში (Infinspan)

იმისათვის, რომ კლასტერმა სწორად იმუშაოს, საჭიროა შემდეგი ტიპის ქეშის დამატებითი სინქრონიზაცია JBoss Data Grid-ის გამოყენებით:

ავთენტიფიკაციის სესიები - გამოიყენება მონაცემების შესანახად კონკრეტული მომხმარებლის ავთენტიფიკაციისას. მოთხოვნები ამ ქეშიდან, როგორც წესი, მოიცავს მხოლოდ ბრაუზერს და Keycloak სერვერს და არა აპლიკაციას.

მოქმედების ნიშნები გამოიყენება სცენარებისთვის, როდესაც მომხმარებელმა უნდა დაადასტუროს მოქმედება ასინქრონულად (ელფოსტის საშუალებით). მაგალითად, პაროლის დავიწყების დროს, actionTokens Infinispan ქეში გამოიყენება, რათა თვალყური ადევნოთ მეტამონაცემებს ასოცირებული ქმედების ჟეტონების შესახებ, რომლებიც უკვე გამოიყენება, ამიტომ მისი ხელახლა გამოყენება შეუძლებელია.

მუდმივი მონაცემების ქეშირება და გაუქმება - გამოიყენება მუდმივი მონაცემების ქეშირებისთვის, რათა თავიდან იქნას აცილებული არასაჭირო მოთხოვნები მონაცემთა ბაზაში. როდესაც ნებისმიერი Keycloak სერვერი აახლებს მონაცემებს, ყველა სხვა Keycloak სერვერმა ყველა მონაცემთა ცენტრში უნდა იცოდეს ამის შესახებ.

სამუშაო - გამოიყენება მხოლოდ არასწორი შეტყობინებების გასაგზავნად კლასტერულ კვანძებსა და მონაცემთა ცენტრებს შორის.

მომხმარებლის სესიები - გამოიყენება მომხმარებლის სესიების შესახებ მონაცემების შესანახად, რომლებიც მოქმედებს მომხმარებლის ბრაუზერის სესიის ხანგრძლივობის განმავლობაში. ქეშმა უნდა დაამუშაოს HTTP მოთხოვნები საბოლოო მომხმარებლისგან და აპლიკაციიდან.

უხეში ძალის დაცვა - გამოიყენება წარუმატებელი შესვლის შესახებ მონაცემების თვალყურის დევნებისთვის.

Დატვირთვის დაბალანსება

დატვირთვის ბალანსერი არის ერთჯერადი შესასვლელი წერტილი keycloak-ში და უნდა უზრუნველყოს წებოვანი სესიები.

აპლიკაციის სერვერები

ისინი გამოიყენება კომპონენტების ერთმანეთთან ურთიერთქმედების გასაკონტროლებლად და მათი ვირტუალიზაცია ან კონტეინერიზაცია შესაძლებელია არსებული ავტომატიზაციის ხელსაწყოების და ინფრასტრუქტურის ავტომატიზაციის ხელსაწყოების დინამიური მასშტაბირების გამოყენებით. განლაგების ყველაზე გავრცელებული სცენარები OpenShift-ში, Kubernates-ში, Rancher-ში.

ამით მთავრდება პირველი ნაწილი - თეორიული. სტატიების შემდეგ სერიაში განიხილება სხვადასხვა პირადობის პროვაიდერებთან ინტეგრაციის მაგალითები და პარამეტრების მაგალითები.

წყარო: www.habr.com