第 4 章 使用 OpenID 供应商保护 JBoss EAP 管理控制台
您可以使用 OIDC 使用外部身份提供程序(如红帽构建的 Keycloak)来保护 JBoss EAP 管理控制台。通过使用外部身份提供程序,您可以将身份验证委派给身份提供程序。
要使用 OIDC 保护 JBoss EAP 管理控制台,请按照以下步骤执行:
4.1. 使用 OIDC 的 JBoss EAP 管理控制台安全性
您可以通过配置 OIDC 供应商(如红帽构建的 Keycloak 和 elytron-oidc-client
子系统)来保护使用 OpenID Connect (OIDC)的 JBoss EAP 管理控制台。
重要
不支持保护作为带有 OIDC 的受管域运行的 JBoss EAP 的管理控制台。
使用 OIDC 的 JBoss EAP 管理控制台安全性可以正常工作:
-
当您在
elytron-oidc-client
子系统中配置secure-server
资源时,JBoss EAP 管理控制台会重定向到用于登录的 OIDC 供应商登录页面。 -
然后,JBoss EAP 使用
secure-deployment
资源配置来通过 bearer 令牌身份验证来保护管理接口。
注意
OIDC 依赖于浏览器访问 Web 应用程序。因此,JBoss EAP 管理 CLI 无法通过 OIDC 进行保护。
RBAC 支持
您可以在 OIDC 供应商中配置和分配角色,以便为 JBoss EAP 管理控制台实施基于角色的访问控制(RBAC)。JBoss EAP 包括或排除 JBoss EAP RBAC 配置中定义的 RBAC 的用户角色。有关 RBAC 的更多信息,请参阅 JBoss EAP 7.4 安全架构指南中的 基于角色的访问控制。