服务器安装和配置指南

Red Hat Single Sign-On 基于 JBoss EAP 应用服务器及其子项目（如 Infinispan （用于缓存）和 Hibernate （用于持久性）。本指南仅涵盖基础架构级配置的基础知识。强烈建议您使用 JBoss EAP 及其子项目的文档。以下是文档的链接：

以下是运行 Red Hat Single Sign-On 身份验证服务器的要求：

Red Hat Single Sign-On 服务器下载 ZIP 文件包含运行 Red Hat Single Sign-On 服务器的脚本和二进制文件。您首先安装 7.4.0.GA 服务器，然后安装 7.4.10.GA 服务器补丁。

您必须订阅 JBoss EAP 7.3 和 RH-SSO 7.4 存储库，然后才能从 RPM 安装 RH-SSO。

subscription-manager repos --enable=jb-eap-7.3-for-rhel-<RHEL_VERSION>-server-rpms --enable=rhel-<RHEL_VERSION>-server-rpms

subscription-manager repos --enable=jb-eap-7.3-for-rhel-8-x86_64-rpms --enable=rhel-8-for-x86_64-baseos-rpms --enable=rhel-8-for-x86_64-appstream-rpms

本章介绍了服务器分发的目录结构。

我们来检查某些目录的目的：

单机操作模式仅在您要运行一个且只有一个 Red Hat Single Sign-On 服务器实例时才有用。它不适用于集群部署，所有缓存都是非分布式且本地的。不建议在生产环境中使用独立模式，因为您将存在单点故障。如果您的单机模式服务器停机，用户将无法登录。此模式对测试驱动器和 Red Hat Single Sign-On 的功能有用

$ .../bin/standalone.sh

> ...\bin\standalone.bat

独立集群操作模式用于在集群中运行 Red Hat Single Sign-On。这个模式要求您在您要运行服务器实例的每台机器上有一个 Red Hat Single Sign-On 分发的副本。最初部署此模式可能非常容易，但可能会变得非常繁琐。要进行配置更改，您必须修改每台机器上的每个发行版。对于大型集群，这可能会变得耗时且容易出错。

$ .../bin/standalone.sh --server-config=standalone-ha.xml

> ...\bin\standalone.bat --server-config=standalone-ha.xml

域模式是集中管理和发布服务器的配置的一种方式。

以标准模式运行集群可能会快速变为聚合，因为集群大小会增大。每次需要更改配置更改时，都必须在集群的每个节点中执行它。域模式通过提供存储和发布配置的中心来解决此问题。设置可能非常复杂，但在最后需要它。此功能内置在 Red Hat Single Sign-On 派生的 JBoss EAP 应用服务器中。

以下是在域模式下运行的一些基本概念。

在域模式中，主控节点上启动域控制器。集群的配置驻留在域控制器中。接下来，在集群中的每个机器上启动主机控制器。每个主机控制器部署配置指定在该计算机上启动多少个 Red Hat Single Sign-On 服务器实例。当主机控制器启动时，它会启动尽可能多的 Red Hat Single Sign-On 服务器实例。这些服务器实例从域控制器拉取其配置。

    <profiles>
        <profile name="auth-server-standalone">
            ...
        </profile>
        <profile name="auth-server-clustered">
            ...
        </profile>

    <socket-binding-groups>
        <socket-binding-group name="standard-sockets" default-interface="public">
           ...
        </socket-binding-group>
        <socket-binding-group name="ha-sockets" default-interface="public">
           ...
        </socket-binding-group>
        <!-- load-balancer-sockets should be removed in production systems and replaced with a better software or hardware based one -->
        <socket-binding-group name="load-balancer-sockets" default-interface="public">
           ...
        </socket-binding-group>
    </socket-binding-groups>

$ domain.sh -Djboss.http.port=80

    <server-groups>
        <!-- load-balancer-group should be removed in production systems and replaced with a better software or hardware based one -->
        <server-group name="load-balancer-group" profile="load-balancer">
            <jvm name="default">
                <heap size="64m" max-size="512m"/>
            </jvm>
            <socket-binding-group ref="load-balancer-sockets"/>
        </server-group>
        <server-group name="auth-server-group" profile="auth-server-clustered">
            <jvm name="default">
                <heap size="64m" max-size="512m"/>
            </jvm>
            <socket-binding-group ref="ha-sockets"/>
        </server-group>
    </server-groups>

    <servers>
        <!-- remove or comment out next line -->
        <server name="load-balancer" group="loadbalancer-group"/>
        ...
    </servers>

    <servers>
        ...
        <server name="server-one" group="auth-server-group" auto-start="true">
             <socket-bindings port-offset="150"/>
        </server>
    </servers>

$ .../bin/domain.sh --host-config=host-master.xml

> ...\bin\domain.bat --host-config=host-master.xml

$ add-user.sh
 What type of user do you wish to add?
  a) Management User (mgmt-users.properties)
  b) Application User (application-users.properties)
 (a): a
 Enter the details of the new user to add.
 Using realm 'ManagementRealm' as discovered from the existing property files.
 Username : admin
 Password recommendations are listed below. To modify these restrictions edit the add-user.properties configuration file.
  - The password should not be one of the following restricted values {root, admin, administrator}
  - The password should contain at least 8 characters, 1 alphabetic character(s), 1 digit(s), 1 non-alphanumeric symbol(s)
  - The password should be different from the username
 Password :
 Re-enter Password :
 What groups do you want this user to belong to? (Please enter a comma separated list, or leave blank for none)[ ]:
 About to add user 'admin' for realm 'ManagementRealm'
 Is this correct yes/no? yes
 Added user 'admin' to file '/.../standalone/configuration/mgmt-users.properties'
 Added user 'admin' to file '/.../domain/configuration/mgmt-users.properties'
 Added user 'admin' with groups to file '/.../standalone/configuration/mgmt-groups.properties'
 Added user 'admin' with groups to file '/.../domain/configuration/mgmt-groups.properties'
 Is this new user going to be used for one AS process to connect to another AS process?
 e.g. for a slave host controller connecting to the master or for a Remoting connection for server to server EJB calls.
 yes/no? yes
 To represent the user add the following to the server-identities definition <secret value="bWdtdDEyMyE=" />

     <management>
         <security-realms>
             <security-realm name="ManagementRealm">
                 <server-identities>
                     <secret value="bWdtdDEyMyE="/>
                 </server-identities>

     <remote security-realm="ManagementRealm" username="admin">

$ domain.sh --host-config=host-master.xml

$ domain.sh --host-config=host-slave.xml

在 Red Hat Single Sign-On 7.2 中作为技术预览功能引进的跨站点复制，在任何 Red Hat SSO 7.x 版本中不再作为支持的功能提供，包括最新的 RH-SSO 7.6 版本。红帽不推荐在自己的环境中实施或使用此功能，因为它不被支持。另外，这个功能的支持例外不再被视为或接受。

讨论了跨站点复制的新解决方案，并特别考虑红帽构建的 Keycloak (RHBK)的未来发行版本，这是将要引入的产品，而不是 Red Hat SSO 8。很快将提供更多详细信息。

每个配置设置的具体内容会在其他上下文中通过此设置进行讨论。但是，了解用于声明 SPI 提供程序上的设置的格式会很有用。

Red Hat Single Sign-On 是一个高度模块化的系统，具有很大的灵活性。有 50 多个服务提供商接口(SPI)，您可以交换每个 SPI 的实现。SPI 的实现称为 提供程序。

SPI 声明中的所有元素都是可选的，但完整的 SPI 声明如下所示：

<spi name="myspi">
    <default-provider>myprovider</default-provider>
    <provider name="myprovider" enabled="true">
        <properties>
            <property name="foo" value="bar"/>
        </properties>
    </provider>
    <provider name="mysecondprovider" enabled="true">
        <properties>
            <property name="foo" value="foo"/>
        </properties>
    </provider>
</spi>

在这里，我们为 SPI 定义了两个 供应商。default-provider 列为 myprovider。但是，最多是 SPI 来确定它如何处理此设置。有些 SPI 允许多个供应商，有些供应商不允许。因此 default-provider 可以帮助 SPI 选择。

另请注意，每个提供程序定义了自己的一组配置属性。以上两个提供程序都有一个名为 foo 的属性，只是一个共同的。

每个属性值的类型由供应商解释。但是，有一个例外。考虑 eventsStore SPI 的 jpa 供应商：

<spi name="eventsStore">
    <provider name="jpa" enabled="true">
        <properties>
            <property name="exclude-events" value="[&quot;EVENT1&quot;,
                                                    &quot;EVENT2&quot;]"/>
        </properties>
    </provider>
</spi>

我们看到该值以方括号开头和结束。这意味着该值将作为列表传递给提供程序。在本例中，系统将提供程序传递有两个元素值 EVENT1 和 EVENT2 的列表。要向列表添加更多值，请仅使用逗号分隔每个 list 元素。不幸的是，您需要使用" 来转义各个列表元素周围的引号。

除了手动编辑配置外，您还可以选择通过 jboss-cli 工具发出命令来更改配置。CLI 允许您在本地或远程配置服务器。和脚本相结合时，它特别有用。

要启动 JBoss EAP CLI，您需要运行 jboss-cli。

$ .../bin/jboss-cli.sh

> ...\bin\jboss-cli.bat

这将使您进入类似如下的提示：

[disconnected /]

如果要在正在运行的服务器上执行命令，您首先要执行 connect 命令。

[disconnected /] connect
connect
[standalone@localhost:9990 /]

您可以考虑自己，"我不在任何用户名或密码中输入！"如果您在与正在运行的独立服务器或域控制器相同的计算机上运行 jboss-cli，并且您的帐户有适当的文件权限，则不必设置或输入管理员用户名和密码。如需了解如何使事情更加安全（如果使用该设置），请参阅 JBoss EAP 配置指南。

如果这样做与单机服务器位于同一个机器上，并且您希望在服务器未激活时发出命令，您可以将服务器嵌入到 CLI 中，并在禁止传入的请求的特殊模式下进行更改。要做到这一点，首先使用您要更改的配置文件执行 embed-server 命令。

[disconnected /] embed-server --server-config=standalone.xml
[standalone@embedded /]

CLI 也可以以 GUI 模式运行。GUI 模式启动 Swing 应用程序，允许您以图形方式查看和编辑 正在运行的 服务器的整个管理模型。当您需要帮助格式化 CLI 命令并了解可用选项时，GUI 模式特别有用。GUI 还可以从本地或远程服务器检索服务器日志。

$ .../bin/jboss-cli.sh --gui

注意：要连接到远程服务器，您也要传递 --connect 选项。详情请查看 --help 选项。

启动 GUI 模式后，您可能想要向下滚动以查找节点 subsystem=keycloak-server。如果右键点击节点，然后单击 Explore subsystem=keycloak-server，您将获得一个新标签页，其中仅显示 keycloak-server 子系统。

CLI 具有广泛的脚本功能。脚本只是一个文本文件，其中带有 CLI 命令。考虑关闭主题和模板缓存的简单脚本。

/subsystem=keycloak-server/theme=defaults/:write-attribute(name=cacheThemes,value=false)
/subsystem=keycloak-server/theme=defaults/:write-attribute(name=cacheTemplates,value=false)

要执行脚本，我可以遵循 CLI GUI 中的 Scripts 菜单，或者在命令行中执行脚本，如下所示：

$ .../bin/jboss-cli.sh --file=turn-off-caching.cli

以下是一些配置任务，以及如何使用 CLI 命令执行这些任务。请注意，在除第一个示例中，我们使用通配符路径 ** 表示您应该替换或到 keycloak-server 子系统的路径。

对于独立，这只是：

** = /subsystem=keycloak-server

对于域模式，这意味着如下：

** = /profile=auth-server-clustered/subsystem=keycloak-server

/subsystem=keycloak-server/:write-attribute(name=web-context,value=myContext)

**/theme=defaults/:write-attribute(name=default,value=myTheme)

**/spi=mySPI/:add
**/spi=mySPI/provider=myProvider/:add(enabled=true)

**/spi=mySPI/provider=myProvider/:write-attribute(name=enabled,value=false)

**/spi=mySPI/:write-attribute(name=default-provider,value=myProvider)

**/spi=dblock/:add(default-provider=jpa)
**/spi=dblock/provider=jpa/:add(properties={lockWaitTimeout => "900"},enabled=true)

**/spi=dblock/provider=jpa/:map-put(name=properties,key=lockWaitTimeout,value=3)

**/spi=dblock/provider=jpa/:map-remove(name=properties,key=lockRecheckTime)

**/spi=eventsStore/provider=jpa/:map-put(name=properties,key=exclude-events,value=[EVENT1,EVENT2])

以下是获取为 Red Hat Single Sign-On 配置 RDBMS 所需的步骤。

本章将使用 PostgresSQL 作为其所有示例。其他数据库遵循相同的安装步骤。

查找并下载用于您的 RDBMS 的 JDBC 驱动程序 JAR。在使用这个驱动程序前，您必须将它打包到模块中，并将其安装到服务器中。模块定义加载到 Red Hat Single Sign-On 类路径中的 JAR，以及那些 JAR 在其他模块上具有的依赖项。它们易于设置。

在 Red Hat Single Sign-On 发行版本的 …​/modules/ 目录中，您需要创建一个目录结构来保存您的模块定义。其惯例使用 JDBC 驱动程序的 Java 软件包名称作为目录结构的名称。对于 PostgreSQL，创建目录 org/postgresql/main。将数据库驱动程序 JAR 复制到这个目录中，并在其中创建一个空的 module.xml 文件。

完成后，打开 module.xml 文件并创建以下 XML：

<?xml version="1.0" ?>
<module xmlns="urn:jboss:module:1.3" name="org.postgresql">

    <resources>
        <resource-root path="postgresql-9.4.1212.jar"/>
    </resources>

    <dependencies>
        <module name="javax.api"/>
        <module name="javax.transaction.api"/>
    </dependencies>
</module>

模块名称应与模块的目录结构匹配。因此，org/postgresql 映射到 org.postgresql。resource-root path 属性应指定驱动程序的 JAR 文件名。其余仅是任何 JDBC 驱动程序 JAR 存在的正常依赖项。

接下来，您需要做的是，将新打包的 JDBC 驱动程序声明成您的部署配置文件，使它加载并在服务器启动时可用。执行此操作的位置取决于您的 操作模式。如果您要以标准模式部署，请编辑 …​/standalone/configuration/standalone.xml。如果您要以标准集群模式部署，请编辑 …​/standalone/configuration/standalone-ha.xml。如果您要以域模式部署，请编辑 …​/domain/configuration/domain.xml。在域模式中，您需要确保编辑您要使用的配置集： auth-server-standalone 或 auth-server-clustered

在配置集中，搜索 datasources 子系统中的 驱动程序 XML 块。您应该会看到为 H2 JDBC 驱动程序声明的预定义驱动程序。这是您将为外部数据库声明 JDBC 驱动程序的位置。

  <subsystem xmlns="urn:jboss:domain:datasources:5.0">
     <datasources>
       ...
       <drivers>
          <driver name="h2" module="com.h2database.h2">
              <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
          </driver>
       </drivers>
     </datasources>
  </subsystem>

在 驱动程序 XML 块中，您需要声明额外的 JDBC 驱动程序。它需要一个 名称，您可以选择该名称作为您想要的任何内容。您可以指定指向您之前为驱动程序 JAR 创建 的模块 软件包的模块属性。最后，您必须指定驱动程序的 Java 类。以下是在本章前面定义的模块示例中安装 PostgreSQL 驱动程序的示例。

  <subsystem xmlns="urn:jboss:domain:datasources:5.0">
     <datasources>
       ...
       <drivers>
          <driver name="postgresql" module="org.postgresql">
              <xa-datasource-class>org.postgresql.xa.PGXADataSource</xa-datasource-class>
          </driver>
          <driver name="h2" module="com.h2database.h2">
              <xa-datasource-class>org.h2.jdbcx.JdbcDataSource</xa-datasource-class>
          </driver>
       </drivers>
     </datasources>
  </subsystem>

在声明 JDBC 驱动程序后，您必须修改 Red Hat Single Sign-On 用来将其连接到您的新外部数据库的现有数据源配置。您将在您注册 JDBC 驱动程序的同一配置文件和 XML 块中执行此操作。下面是设置与新数据库的连接的示例：

  <subsystem xmlns="urn:jboss:domain:datasources:5.0">
     <datasources>
       ...
       <datasource jndi-name="java:jboss/datasources/KeycloakDS" pool-name="KeycloakDS" enabled="true" use-java-context="true">
           <connection-url>jdbc:postgresql://localhost/keycloak</connection-url>
           <driver>postgresql</driver>
           <pool>
               <max-pool-size>20</max-pool-size>
           </pool>
           <security>
               <user-name>William</user-name>
               <password>password</password>
           </security>
       </datasource>
        ...
     </datasources>
  </subsystem>

为 KeycloakDS 搜索数据源定义。首先需要修改 connection-url。您的供应商 JDBC 实施的文档应指定此连接 URL 值的格式。

接下来定义您要使用的 驱动程序。这是您在本章上一节中声明的 JDBC 驱动程序的逻辑名称。

每次您要执行事务时，都必须打开与数据库的新连接。为了补偿，数据源实施会维护一个开放连接池。max-pool-size 指定它将池的最大连接数。您可能希望根据系统的负载更改此值。

最后，在使用 PostgreSQL 时，您需要定义连接到数据库所需的数据库用户名和密码。您可能会担心在示例中是明文。有方法模糊处理，但这超出了本指南的范围。

此组件的配置可在您的发行版本中的 standalone.xml、standalone-ha.xml 或 domain.xml 文件中找到。此文件的位置取决于您的 操作模式。

<subsystem xmlns="urn:jboss:domain:keycloak-server:1.1">
    ...
    <spi name="connectionsJpa">
     <provider name="default" enabled="true">
         <properties>
             <property name="dataSource" value="java:jboss/datasources/KeycloakDS"/>
             <property name="initializeEmpty" value="false"/>
             <property name="migrationStrategy" value="manual"/>
             <property name="migrationExport" value="${jboss.home.dir}/keycloak-database-update.sql"/>
         </properties>
     </provider>
    </spi>
    ...
</subsystem>

可能的配置选项有：

Red Hat Single Sign-On 中的数据库模式仅在以下特殊字段中考虑 Unicode 字符串：

否则，字符仅限于包含在数据库编码中的字符，通常是 8 位。但是，对于某些数据库系统，可以启用 Unicode 字符的 UTF-8 编码，并在所有文本字段中使用完整的 Unicode 字符集。通常，这以比 8 位编码更短的字符串的最大长度相平衡。

某些数据库需要特殊设置数据库和/或 JDBC 驱动程序才能处理 Unicode 字符。请在下面找到您的数据库的设置。请注意，如果此处列出了数据库，它仍然可以在数据库和 JDBC 驱动程序级别上正确处理 UTF-8 编码。

从技术上讲，对于 Unicode 支持所有字段的关键条件是数据库是否允许为 VARCHAR 和 CHAR 字段设置 Unicode 字符。如果是，则 Unicode 将存在的高可能性，通常以字段长度为代价。如果它只在 NVARCHAR 和 NCHAR 字段中支持 Unicode，则对所有文本字段的 Unicode 支持不太可能，因为 Keycloak 模式会广泛使用 VARCHAR 和 CHAR 字段。

show server_encoding;

create database keycloak with encoding 'UTF8';

默认主机名提供程序使用配置的 frontendUrl 作为 frontend 请求（来自 user-agents 的请求）的基本 URL，并使用请求 URL 作为后端请求（直接来自客户端的请求）的基础。

frontend 请求不必与 Keycloak 服务器具有相同的 context-path。这意味着您可以在 上公开 Keycloak，例如 https://auth.example.org 或 https://example.org/keycloak，而内部的 URL 可以是 https://10.0.0.10:8080/auth。

这使得 user-agents (browsers)可以通过公共域名向 ${project.name} 发送请求，而内部客户端可以使用内部域名或 IP 地址。

这反映在 OpenID Connect Discovery 端点中，例如 authorization_endpoint 使用 frontend URL，而 token_endpoint 使用后端 URL。请注意，此处实例的公共客户端将通过公共端点联系 Keycloak，这会导致 authorization_endpoint 和 token_endpoint 的基本是相同的。

要为 Keycloak 设置 frontendUrl，您可以将 add -Dkeycloak.frontendUrl=https://auth.example.org 传递给启动，或者在 standalone.xml 中配置它。请参见以下示例：

<spi name="hostname">
    <default-provider>default</default-provider>
    <provider name="default" enabled="true">
        <properties>
            <property name="frontendUrl" value="https://auth.example.com"/>
            <property name="forceBackendUrlToFrontendUrl" value="false"/>
        </properties>
    </provider>
</spi>

要使用 jboss-cli 更新 frontendUrl，请使用以下命令：

/subsystem=keycloak-server/spi=hostname/provider=fixed:write-attribute(name=properties.frontendUrl,value="https://auth.example.com")

如果您希望所有请求都经过公共域名，您可以通过将 forceBackendUrlToFrontendUrl 设置为 true 来强制后端请求使用 frontend URL。

也可以覆盖各个域的默认 frontend URL。这可以在管理控制台中完成。

如果您不想在公共域中公开管理端点和控制台，请使用 adminUrl 属性为 admin 控制台设置固定 URL，这与 frontendUrl 不同。有关如何进行此操作的详情，还需要阻止从外部访问 /auth/ admin。

要开发自定义主机名供应商，您需要实施 org.keycloak.urls.HostnameProviderFactory 和 org.keycloak.urls.HostnameProvider。

有关如何开发自定义供应商的更多信息，请参阅 Server Developer Guide 中的 Service Provider Interfaces 部分中的说明。

默认情况下，Red Hat Single Sign-On 绑定到 localhost 回送地址 127.0.0.1。如果您想在网络上可用的身份验证服务器，则这不是非常有用的默认值。通常，我们建议您在公共网络上部署反向代理或负载均衡器，并将流量路由到私有网络上的单个 Red Hat Single Sign-On 服务器实例。在这两种情况下，您仍然需要设置网络接口，以绑定到 localhost 以外的其他接口。

设置绑定地址非常简单，可以在命令行中使用 standalone.sh 或 domain.sh boot 脚本（在 Choosing an Operating Mode 章节中讨论） 在命令行中完成。

$ standalone.sh -b 192.168.0.5

-b 交换机为任何公共接口设置 IP 绑定地址。

或者，如果您不希望在命令行中设置绑定地址，您可以编辑部署的配置集配置。打开 profile 配置文件(standalone.xml 或 domain.xml，具体取决于您的 操作模式)，并查找 接口 XML 块。

    <interfaces>
        <interface name="management">
            <inet-address value="${jboss.bind.address.management:127.0.0.1}"/>
        </interface>
        <interface name="public">
            <inet-address value="${jboss.bind.address:127.0.0.1}"/>
        </interface>
    </interfaces>

公共接口 对应于创建公开可用的套接字的子系统。其中其中一个子系统的示例是提供 Red Hat Single Sign-On 身份验证端点的 Web 层。管理接口 对应于 JBoss EAP 管理层打开的套接字。特别是允许您使用 jboss-cli.sh 命令行界面和 JBoss EAP Web 控制台的套接字。

在查看 公共接口 中，您会看到它具有特殊字符串 ${jboss.bind.address:127.0.0.1}。此字符串表示值 127.0.0.1，可通过设置 Java 系统属性（例如：

$ domain.sh -Djboss.bind.address=192.168.0.5

-b 只是此命令的一个简写表示法。因此，您可以直接在配置集配置中更改 bind address 值，或者在引导时在命令行中更改它。

为每个套接字打开的端口具有预定义的默认值，可以在命令行或配置中覆盖。为了说明此配置，我们预先 以独立模式运行，并打开 …​/standalone/configuration/standalone.xml。搜索 socket-binding-group。

    <socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
        <socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
        <socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
        <socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
        <socket-binding name="http" port="${jboss.http.port:8080}"/>
        <socket-binding name="https" port="${jboss.https.port:8443}"/>
        <socket-binding name="txn-recovery-environment" port="4712"/>
        <socket-binding name="txn-status-manager" port="4713"/>
        <outbound-socket-binding name="mail-smtp">
            <remote-destination host="localhost" port="25"/>
        </outbound-socket-binding>
    </socket-binding-group>

socket-bindings 定义将由服务器打开的套接字连接。这些绑定指定了它们 使用的接口 （绑定地址），以及它们将打开的端口号。您最感兴趣的是：

当在 域 模式下运行时，套接字配置会稍微复杂，因为示例 domain.xml 文件定义了多个 socket-binding-groups。如果向下滚动到 server-group 定义，您可以看到每个 server-group 使用了哪些 socket-binding-group。

    <server-groups>
        <server-group name="load-balancer-group" profile="load-balancer">
            ...
            <socket-binding-group ref="load-balancer-sockets"/>
        </server-group>
        <server-group name="auth-server-group" profile="auth-server-clustered">
            ...
            <socket-binding-group ref="ha-sockets"/>
        </server-group>
    </server-groups>

这个默认行为由每个 Red Hat Single Sign-On 域的 SSL/HTTPS 模式定义。服务器管理指南中的 更为详细地讨论，但让我们提供了一些上下文以及这些模式的简要概述。

每个域的 SSL 模式可以在 Red Hat Single Sign-On 管理控制台中配置。

$ keytool -genkey -alias localhost -keyalg RSA -keystore keycloak.jks -validity 10950
    Enter keystore password: secret
    Re-enter new password: secret
    What is your first and last name?
    [Unknown]:  localhost
    What is the name of your organizational unit?
    [Unknown]:  Keycloak
    What is the name of your organization?
    [Unknown]:  Red Hat
    What is the name of your City or Locality?
    [Unknown]:  Westford
    What is the name of your State or Province?
    [Unknown]:  MA
    What is the two-letter country code for this unit?
    [Unknown]:  US
    Is CN=localhost, OU=Keycloak, O=Test, L=Westford, ST=MA, C=US correct?
    [no]:  yes

$ keytool -certreq -alias yourdomain -keystore keycloak.jks > keycloak.careq

-----BEGIN NEW CERTIFICATE REQUEST-----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=
-----END NEW CERTIFICATE REQUEST-----

$ keytool -import -keystore keycloak.jks -file root.crt -alias root

$ keytool -import -alias yourdomain -keystore keycloak.jks -file your-certificate.cer

$ /core-service=management/security-realm=UndertowRealm:add()

$ /core-service=management/security-realm=UndertowRealm/server-identity=ssl:add(keystore-path=keycloak.jks, keystore-relative-to=jboss.server.config.dir, keystore-password=secret)

$ /host=<host_name>/core-service=management/security-realm=UndertowRealm/server-identity=ssl:add(keystore-path=keycloak.jks, keystore-relative-to=jboss.server.config.dir, keystore-password=secret)

<security-realm name="UndertowRealm">
    <server-identities>
        <ssl>
            <keystore path="keycloak.jks" relative-to="jboss.server.config.dir" keystore-password="secret" />
        </ssl>
    </server-identities>
</security-realm>

$ /subsystem=undertow/server=default-server/https-listener=https:write-attribute(name=security-realm, value=UndertowRealm)

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
   <buffer-cache name="default"/>
   <server name="default-server">
      <https-listener name="https" socket-binding="https" security-realm="UndertowRealm"/>
   ...
</subsystem>

Red Hat Single Sign-On 服务器通常需要对安全的应用程序和服务进行非浏览器 HTTP 请求。auth 服务器通过维护 HTTP 客户端连接池来管理这些传出连接。在 standalone.xml、standalone-ha.xml 或 domain.xml 中需要配置一些内容。此文件的位置取决于您的 操作模式。

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property name="connection-pool-size" value="256"/>
        </properties>
    </provider>
</spi>

可能的配置选项有：

.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

.*\.(google|googleapis)\.com;http://user01:pas2w0rd@www-proxy.acme.com:8080

# All requests to Google APIs should use http://www-proxy.acme.com:8080 as proxy
.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

# All requests to internal systems should use no proxy
.*\.acme\.com;NO_PROXY

# All other requests should use http://fallback:8080 as proxy
.*;http://fallback:8080

echo SETUP: Configure proxy routes for HttpClient SPI

# In case there is no connectionsHttpClient definition yet
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:add(enabled=true)

# Configure the proxy-mappings
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:write-attribute(name=properties.proxy-mappings,value=[".*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080",".*\\.acme\\.com;NO_PROXY",".*;http://fallback:8080"])

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property
            name="proxy-mappings"
            value="[&quot;.*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080&quot;,&quot;.*\\.acme\\.com;NO_PROXY&quot;,&quot;.*;http://fallback:8080&quot;]"/>
        </properties>
    </provider>
</spi>

$ keytool -import -alias HOSTDOMAIN -keystore truststore.jks -file host-certificate.cer

<spi name="truststore">
    <provider name="file" enabled="true">
        <properties>
            <property name="file" value="path to your .jks file containing public certificates"/>
            <property name="password" value="password"/>
            <property name="hostname-verification-policy" value="WILDCARD"/>
            <property name="disabled" value="false"/>
        </properties>
    </provider>
</spi>

部署红帽单点登录的建议网络架构是在公共 IP 地址上设置 HTTP/HTTPS 负载均衡器，该地址将请求路由到位于专用网络上的 Red Hat Single Sign-On 服务器。这会隔离所有群集连接，并提供保护服务器的 nice 方法。

Red Hat Single Sign-On 附带一个 box 集群演示，它利用域模式。详情请查看集群域示例 章节。

本节讨论在集群 Red Hat Single Sign-On 部署前放置反向代理或负载均衡器前需要配置的一些内容。它还涵盖配置群集 域示例 的内置负载均衡器。

下图演示了负载均衡器的使用。在本例中，负载均衡器充当三个客户端和三个 Red Hat Single Sign-On 服务器的集群之间的反向代理。

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
   <buffer-cache name="default"/>
   <server name="default-server">
      <ajp-listener name="ajp" socket-binding="ajp"/>
      <http-listener name="default" socket-binding="http" redirect-socket="https"
          proxy-address-forwarding="true"/>
      ...
   </server>
   ...
</subsystem>

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
     <buffer-cache name="default"/>
     <server name="default-server">
         <ajp-listener name="ajp" socket-binding="ajp"/>
         <http-listener name="default" socket-binding="http" redirect-socket="https"/>
         <host name="default-host" alias="localhost">
             ...
             <filter-ref name="proxy-peer"/>
         </host>
     </server>
        ...
     <filters>
         ...
         <filter name="proxy-peer"
                 class-name="io.undertow.server.handlers.ProxyPeerAddressHandler"
                 module="io.undertow.core" />
     </filters>
 </subsystem>

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
    ...
    <http-listener name="default" socket-binding="http"
        proxy-address-forwarding="true" redirect-socket="proxy-https"/>
    ...
</subsystem>

<socket-binding-group name="standard-sockets" default-interface="public"
    port-offset="${jboss.socket.binding.port-offset:0}">
    ...
    <socket-binding name="proxy-https" port="443"/>
    ...
</socket-binding-group>

08:14:21,287 WARN  XNIO-1 task-45 [org.keycloak.events] type=LOGIN_ERROR, realmId=master, clientId=security-admin-console, userId=8f20d7ba-4974-4811-a695-242c8fbd1bf8, ipAddress=X.X.X.X, error=invalid_user_credentials, auth_method=openid-connect, auth_type=code, redirect_uri=http://localhost:8080/auth/admin/master/console/?redirect_fragment=%2Frealms%2Fmaster%2Fevents-settings, code_id=a3d48b67-a439-4546-b992-e93311d6493e, username=admin

<subsystem xmlns="urn:jboss:domain:undertow:10.0">
  ...
  <handlers>
      <reverse-proxy name="lb-handler">
         <host name="host1" outbound-socket-binding="remote-host1" scheme="ajp" path="/" instance-id="myroute1"/>
         <host name="host2" outbound-socket-binding="remote-host2" scheme="ajp" path="/" instance-id="myroute2"/>
         <host name="remote-host3" outbound-socket-binding="remote-host3" scheme="ajp" path="/" instance-id="myroute3"/>
      </reverse-proxy>
  </handlers>
  ...
</subsystem>

<socket-binding-group name="load-balancer-sockets" default-interface="public">
    ...
    <outbound-socket-binding name="remote-host1">
        <remote-destination host="localhost" port="8159"/>
    </outbound-socket-binding>
    <outbound-socket-binding name="remote-host2">
        <remote-destination host="localhost" port="8259"/>
    </outbound-socket-binding>
    <outbound-socket-binding name="remote-host3">
        <remote-destination host="192.168.0.5" port="8259"/>
    </outbound-socket-binding>
</socket-binding-group>

$ domain.sh --host-config=host-master.xml -Djboss.bind.address=192.168.0.2 -Djboss.bind.address.management=192.168.0.2

$ domain.sh --host-config=host-slave.xml
     -Djboss.bind.address=192.168.0.5
      -Djboss.bind.address.management=192.168.0.5
       -Djboss.domain.master.address=192.168.0.2

典型的集群部署由专用网络上的负载均衡器（反向代理）和 2 个或更多 Red Hat Single Sign-On 服务器组成。出于性能的需要，如果负载均衡器将与特定浏览器会话相关的所有请求转发到同一 Red Hat Single Sign-On 后端节点，这可能很有用。

原因在于，Red Hat Single Sign-On 在覆盖的下面使用 Infinispan 分布式缓存，以保存与当前身份验证会话和用户会话相关的数据。Infinispan 分布式缓存默认配置有一个所有者。这意味着，特定的会话只保存在一个集群节点上，而其他节点需要远程查找会话（如果想要访问它）。

例如，如果带有 ID 为 123 的验证会话保存在 node1 上的 Infinispan 缓存中，那么 node2 需要通过网络将请求发送到 node1，以返回特定的会话实体。

如果特定的会话实体始终在本地可用，这可以通过粘性会话的帮助来完成。集群环境中的工作流带有公共前端负载均衡器和两个后端 Red Hat Single Sign-On 节点，如下所示：

从此时，如果负载均衡器将所有下一个请求转发到 node2，因为这是 ID 为 123 的验证会话的所有者，因此 Infinispan 可以在本地查找此会话。身份验证完成后，身份验证会话将转换为用户会话，该会话也会保存在 node2 中，因为它具有相同的 ID 123。

集群设置的粘性会话不是强制的，但由于上述原因，最好是性能。您需要通过 AUTH_SESSION_ID cookie 将 loadbalancer 配置为粘性。具体操作取决于您的负载均衡器。

建议在 Red Hat Single Sign-On 端使用系统属性 jboss.node.name，其值对应于您的路由名称。例如，-Djboss.node.name=node1 将使用 node1 来识别路由。此路由将由 Infinispan 缓存使用，当节点是特定密钥的所有者时，将附加到 AUTH_SESSION_ID cookie。以下是使用此系统属性启动命令的示例：

cd $RHSSO_NODE1
./standalone.sh -c standalone-ha.xml -Djboss.socket.binding.port-offset=100 -Djboss.node.name=node1

通常，在生产环境中，路由名称应该使用与后端主机相同的名称，但这不是必需的。您可以使用不同的路由名称。例如，如果您要在专用网络中隐藏 Red Hat Single Sign-On 服务器的主机名。

<subsystem xmlns="urn:jboss:domain:keycloak-server:1.1">
  ...
    <spi name="stickySessionEncoder">
        <provider name="infinispan" enabled="true">
            <properties>
                <property name="shouldAttachRoute" value="false"/>
            </properties>
        </provider>
    </spi>

</subsystem>

开箱即用的集群支持需要 IP 多播。多播是网络广播协议。此协议在引导时用于发现和加入集群。它还用于广播复制和 Red Hat Single Sign-On 使用的分布式缓存无效消息。

Red Hat Single Sign-On 的集群子系统在 JGroups 堆栈上运行。开箱即用，集群的绑定地址绑定到带有 127.0.0.1 作为默认 IP 地址的私有网络接口。您必须编辑 Bind Address 章节中讨论的 standalone-ha.xml 或 domain.xml 部分。

    <interfaces>
        ...
        <interface name="private">
            <inet-address value="${jboss.bind.address.private:127.0.0.1}"/>
        </interface>
    </interfaces>
    <socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
        ...
        <socket-binding name="jgroups-mping" interface="private" port="0" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45700"/>
        <socket-binding name="jgroups-tcp" interface="private" port="7600"/>
        <socket-binding name="jgroups-tcp-fd" interface="private" port="57600"/>
        <socket-binding name="jgroups-udp" interface="private" port="55200" multicast-address="${jboss.default.multicast.address:230.0.0.4}" multicast-port="45688"/>
        <socket-binding name="jgroups-udp-fd" interface="private" port="54200"/>
        <socket-binding name="modcluster" port="0" multicast-address="224.0.1.105" multicast-port="23364"/>
        ...
    </socket-binding-group>

您需要配置的内容是 jboss.bind.address.private 和 jboss.default.multicast.address，以及集群堆栈上服务的端口。

当集群节点在私有网络中隔离时，它需要访问专用网络才能加入集群或查看集群中的通信。另外，您还可以为集群通信启用身份验证和加密。只要您的专用网络是安全的，就不需要启用身份验证和加密。Red Hat Single Sign-On 在这两种情况下不会在集群中发送非常敏感信息。

如果要为集群通信启用身份验证和加密，请参阅 JBoss EAP 配置指南中的保护集群。

Red Hat Single Sign-On 集群节点允许同时引导。当 Red Hat Single Sign-On 服务器实例引导时，可能需要进行一些数据库迁移、导入或首次初始化。DB 锁定用于防止在集群节点同时引导时与另一个操作冲突。

默认情况下，这个锁定的最大超时时间为 900 秒。如果节点正在等待这个锁定超过超时时间，它将无法引导。通常，您不需要增加/减少默认值，但仅在您的发行版中的 standalone. xml、standalone -ha.xml 或 domain.xml 文件中配置它。此文件的位置取决于您的 操作模式。

<spi name="dblock">
    <provider name="jpa" enabled="true">
        <properties>
            <property name="lockWaitTimeout" value="900"/>
        </properties>
    </provider>
</spi>

在集群中引导 Red Hat Single Sign-On 取决于您的 操作模式

$ bin/standalone.sh --server-config=standalone-ha.xml

$ bin/domain.sh --host-config=host-master.xml
$ bin/domain.sh --host-config=host-slave.xml

您可能需要使用其他参数或系统属性。例如，绑定主机或系统属性 jboss.node.name 的参数 -b 指定路由的名称，如 Sticky Sessions 部分所述。

为红帽单点登录配置了多个不同的缓存。有一个域缓存，其中包含有关安全应用程序、通用安全数据和配置选项的信息。另外，还有一个包含用户元数据的用户缓存。两者都会默认缓存到最多 10000 个条目，并使用最早使用的驱除策略。它们也与控制集群设置中驱除的对象修订缓存相关联。这个缓存会被隐式创建，且配置的大小已两倍。这同样适用于包含 授权 数据的授权缓存。密钥 缓存包含有关外部密钥的数据，不需要具有专用的修订缓存。相反，它已明确声明了 过期时间，因此密钥会定期过期，并强制从外部客户端或身份提供程序定期下载。

这些缓存的驱除策略和最大条目可以在 standalone. xml、standalone -ha.xml 或 domain.xml 中配置，具体取决于您的 操作模式。在配置文件中，其中包含 infinispan 子系统的部分，它类似如下：

<subsystem xmlns="urn:jboss:domain:infinispan:9.0">
    <cache-container name="keycloak">
        <local-cache name="realms">
            <object-memory size="10000"/>
        </local-cache>
        <local-cache name="users">
            <object-memory size="10000"/>
        </local-cache>
        ...
        <local-cache name="keys">
            <object-memory size="1000"/>
            <expiration max-idle="3600000"/>
        </local-cache>
        ...
    </cache-container>

要限制或扩展允许的条目数量，只需添加或编辑 object 元素或特定缓存配置的 expiration 元素。

此外，还有单独的缓存 会话,clientSessions, offlineSessions,offline ClientSessions,loginFailures 和 actionTokens。这些缓存在集群环境中分发，它们默认不绑定。如果绑定了它们，则可能存在一些会话丢失。Red Hat Single Sign-On 本身内部清除过期的会话，以避免在不限制的情况下增大这些缓存的大小。如果您看到因为大量会话导致的内存问题，您可以尝试：

还有额外的复制缓存 work，它主要用于在集群节点之间发送消息；默认情况下，也会绑定它。但是，这个缓存不应该导致任何内存问题，因为此缓存中的条目会非常短。

有一些缓存，如 会话、authenticationSessions、offlineSessions、login Failure 和一些其他一些（更多详情请参阅 第 10.1 节 “驱除和过期” ），在使用集群设置时将它们配置为分布式缓存。条目不会复制到每个节点，而是选择一个或多个节点作为该数据的所有者。如果节点不是特定缓存条目的所有者，它会查询集群来获取它。这意味着，如果拥有数据的所有节点都停机，则数据将永久丢失。默认情况下，Red Hat Single Sign-On 只为数据指定一个所有者。因此，如果一个节点停止那个数据，则该节点会丢失。这通常意味着用户将被注销，必须再次登录。

您可以通过更改 distributed-cache 声明中的 owners 属性来更改复制数据的节点数量。

<subsystem xmlns="urn:jboss:domain:infinispan:9.0">
   <cache-container name="keycloak">
       <distributed-cache name="sessions" owners="2"/>
...

此处我们更改了它，因此至少两个节点将复制一个特定的用户登录会话。

要禁用 realm 或用户缓存，您必须编辑发行版中的 standalone.xml、standalone-ha.xml 或 domain.xml 文件。此文件的位置取决于您的 操作模式。首先，配置是什么样子。

    <spi name="userCache">
        <provider name="default" enabled="true"/>
    </spi>

    <spi name="realmCache">
        <provider name="default" enabled="true"/>
    </spi>

要禁用缓存，将您要禁用的缓存的 enabled 属性设置为 false。您必须重新引导服务器才能使此更改生效。

要清除 realm 或 user 缓存，请转至 Red Hat Single Sign-On admin console Realm Settings→Cache Config 页面。在此页面中，您可以清除域缓存、用户缓存或外部公钥的缓存。

要安装 Red Hat Single Sign-On Operator，您可以使用：

您可以通过创建 Keycloak 自定义资源来使用 Operator 自动安装 Red Hat Single Sign-On。当您使用自定义资源安装 Red Hat Single Sign-On 时，您可以创建此处描述的组件和服务，并在下图中所示。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-sso
  labels:
    app: sso
spec:
  instances: 1
  externalAccess:
    enabled: True

$ oc describe keycloak <CR-name>

Name:         example-keycloak
Namespace:    keycloak
Labels:       app=sso
Annotations:  <none>
API Version:  keycloak.org/v1alpha1
Kind:         Keycloak
Spec:
  External Access:
    Enabled:  true
  Instances:  1
Status:
  Credential Secret:  credential-example-keycloak
  Internal URL:       https://<External URL to the deployed instance>
  Message:
  Phase:              reconciling
  Ready:              true
  Secondary Resources:
    Deployment:
      keycloak-postgresql
    Persistent Volume Claim:
      keycloak-postgresql-claim
    Prometheus Rule:
      keycloak
    Route:
      keycloak
    Secret:
      credential-example-keycloak
      keycloak-db-secret
    Service:
      keycloak-postgresql
      keycloak
      keycloak-discovery
    Service Monitor:
      keycloak
    Stateful Set:
      keycloak
  Version:
Events:

您可以使用 Operator 在 Red Hat Single Sign-On 中创建由自定义资源定义的域。您可以在 YAML 文件中定义 realm 自定义资源的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakRealm
metadata:
  name: test
  labels:
    app: sso
spec:
  realm:
    id: "basic"
    realm: "basic"
    enabled: True
    displayName: "Basic Realm"
  instanceSelector:
    matchLabels:
      app: sso

$ oc describe keycloak <CR-name>

Name:         example-keycloakrealm
Namespace:    keycloak
Labels:       app=sso
Annotations:  <none>
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakRealm
Metadata:
  Creation Timestamp:  2019-12-03T09:46:02Z
  Finalizers:
    realm.cleanup
  Generation:        1
  Resource Version:  804596
  Self Link:         /apis/keycloak.org/v1alpha1/namespaces/keycloak/keycloakrealms/example-keycloakrealm
  UID:               b7b2f883-15b1-11ea-91e6-02cb885627a6
Spec:
  Instance Selector:
    Match Labels:
      App: sso
  Realm:
    Display Name:  Basic Realm
    Enabled:       true
    Id:            basic
    Realm:         basic
Status:
  Login URL:
  Message:
  Phase:      reconciling
  Ready:      true
Events:       <none>

其他资源

您可以使用 Operator 在 Red Hat Single Sign-On 中创建由自定义资源定义的客户端。您可以在 YAML 文件中定义域的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakClient
metadata:
  name: example-client
  labels:
    app: sso
spec:
  realmSelector:
     matchLabels:
      app: <matching labels for KeycloakRealm custom resource>
  client:
    # auto-generated if not supplied
    #id: 123
    clientId: client-secret
    secret: client-secret
    # ...
    # other properties of Keycloak Client

apiVersion: v1
data:
  CLIENT_ID: <base64 encoded Client ID>
  CLIENT_SECRET: <base64 encoded Client Secret>
kind: Secret

Operator 处理自定义资源后，使用以下命令查看状态：

$ oc describe keycloak <CR-name>

Name:         client-secret
Namespace:    keycloak
Labels:       app=sso
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakClient
Spec:
  Client:
    Client Authenticator Type:     client-secret
    Client Id:                     client-secret
    Id:                            keycloak-client-secret
  Realm Selector:
    Match Labels:
      App:  sso
Status:
  Message:
  Phase:    reconciling
  Ready:    true
  Secondary Resources:
    Secret:
      keycloak-client-secret-client-secret
Events:  <none>

您可以使用 Operator 在 Red Hat Single Sign-On 中创建由自定义资源定义的用户。您可以在 YAML 文件中定义用户自定义资源的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakUser
metadata:
  name: example-user
spec:
  user:
    username: "realm_user"
    firstName: "John"
    lastName: "Doe"
    email: "user@example.com"
    enabled: True
    emailVerified: False
    realmRoles:
      - "offline_access"
    clientRoles:
      account:
        - "manage-account"
      realm-management:
        - "manage-users"
  realmSelector:
    matchLabels:
      app: sso

kind: Secret
apiVersion: v1
data:
  password: <base64 encoded password>
  username: <base64 encoded username>
type: Opaque

Operator 处理自定义资源后，使用以下命令查看状态：

$ oc describe keycloak <CR-name>

Name:         example-realm-user
Namespace:    keycloak
Labels:       app=sso
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakUser
Spec:
  Realm Selector:
    Match Labels:
      App: sso
  User:
    Email:           realm_user@redhat.com
    Credentials:
      Type:          password
      Value:         <user password>
    Email Verified:  false
    Enabled:         true
    First Name:      John
    Last Name:       Doe
    Username:        realm_user
Status:
  Message:
  Phase:    reconciled
Events:     <none>

您可以通过修改 Keycloak 自定义资源并创建 keycloak-db-secret YAML 文件来使用 Operator 连接到外部 PostgreSQL 数据库。请注意，值采用 Base64 编码。

apiVersion: v1
kind: Secret
metadata:
    name: keycloak-db-secret
    namespace: keycloak
stringData:
    POSTGRES_DATABASE: <Database Name>
    POSTGRES_EXTERNAL_ADDRESS: <External Database IP or URL (resolvable by K8s)>
    POSTGRES_EXTERNAL_PORT: <External Database Port>
    # Strongly recommended to use <'Keycloak CR-Name'-postgresql>
    POSTGRES_HOST: <Database Service Name>
    POSTGRES_PASSWORD: <Database Password>
    # Required for AWS Backup functionality
    POSTGRES_SUPERUSER: true
    POSTGRES_USERNAME: <Database Username>
 type: Opaque

以下属性设置数据库的主机名或 IP 地址和端口。

其他属性的工作方式与托管或外部数据库相同。按如下所示设置它们：

Keycloak 自定义资源需要更新才能启用外部数据库支持。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  labels:
      app: sso
  name: example-keycloak
  namespace: keycloak
spec:
  externalDatabase:
    enabled: true
  instances: 1

您可以使用 Operator 调度自定义资源定义的数据库的自动备份。自定义资源会触发备份作业，并报告返回其状态。

您可以使用 Operator 创建对本地持久性卷执行一次性备份的备份作业。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakBackup
metadata:
  name: test-backup

您可以使用操作器安装扩展，并满足公司或机构所需的扩展。扩展或主题可以是 Red Hat Single Sign-On 可消耗的任何内容。例如，您可以添加指标扩展。您可以将扩展或主题添加到 Keycloak 自定义资源中。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-keycloak
  labels:
   app: sso
spec:
  instances: 1
  extensions:
   - <url_for_extension_or_theme>
  externalAccess:
    enabled: True

Operator 下载扩展或主题并安装它。

创建自定义请求后，您可以使用 oc 命令编辑或删除它。

例如，要编辑名为 test-realm 的 realm 自定义请求，请使用以下命令：

$ oc edit test-realm

此时会打开一个窗口，您可以在其中进行更改。