Keycloak-Realm: Required-Actions fuer AIA aktivieren #165
Labels
No labels
component/backend
component/docs
component/e2e
component/frontend
component/infra
component/keycloak
prio/high
prio/low
prio/medium
type/bug
type/chore
type/feature
type/refactor
type/test
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
WompSchmiede/FamilienFeierPlaner#165
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Background
Fuer Application Initiated Actions (AIA) muessen die entsprechenden Required Actions im Realm aktiviert und vom Typ "Application Initiated" sein. Der Frontend-Refactoring (#164) setzt voraus, dass folgende Aktionen per
kc_action-Parameter verfuegbar sind.Scope
1. Realm-Export pruefen (
keycloak/realm-export.json)Im Abschnitt
requiredActionsfolgende Aktionen aufenabled: trueund (falls konfigurierbar) als AIA-faehig setzen:kc_actionUPDATE_PASSWORDCONFIGURE_TOTPwebauthn-register-passwordlessdelete_credentialFalls
delete_credentialnicht im Realm-Export vorhanden ist, muss der AbschnittrequiredActionsum diesen Eintrag ergaenzt werden. Vorlage aus einem Keycloak-26-Export:2. Realm neu importieren
Nach Aenderung an
realm-export.json: Container neustarten, damit--import-realmgreift.3. AIA-Verfuegbarkeit testen
Manuell im Browser die folgenden URLs oeffnen und pruefen, ob Keycloak den entsprechenden Dialog anzeigt (nach SSO-Login):
http://localhost:8080/realms/familienfeierplaner/protocol/openid-connect/auth?client_id=frontend-app&redirect_uri=http://localhost:5173/callback&response_type=code&scope=openid&kc_action=UPDATE_PASSWORD...&kc_action=CONFIGURE_TOTP...&kc_action=webauthn-register-passwordless4. Dokumentation
docs/design/03-autorisierungsmatrix.mdauf Aenderungen pruefen (falls erforderlich).Erweiterung: WebAuthn-Attestation in Dev vs. Prod
In der Dev-Umgebung (
realm-export.json,--import-realm) istattestationConveyancePreference: "none"gesetzt. Plattform-Authenticatoren(Windows Hello, Touch ID) liefern in der Entwicklung keine validierbare
Zertifikatskette — der Fehler
"invalid cert path"(Java PKIX) tritt bei"indirect"oder"direct"auf.Fuer die Produktion muss eine separate
realm-export.prod.json(od. aquivalentesProvisioning via Terraform/Ansible) erstellt werden mit:
attestationConveyancePreference: "indirect"Das betrifft beide WebAuthn-Policy-Einstellungen:
webAuthnPolicyAttestationConveyancePreferencewebAuthnPolicyPasswordlessAttestationConveyancePreferenceGeplante Umsetzung des Prod-Provisionsings in MS14 (#8).
Milestone MS-SECURITY wird geschlossen.
Erledigt in:
b5fef6c— UPDATE_PASSWORD in requiredActions ergaenzt (realm-export.json)