Keycloak + 1C ради 2FA OpenID. Какие принципы развёртывания?

Question

[bassoon48]

Нужна связка 1С + Keycloak.

Есть 2 вопроса.

1) Разворачивать Keycloak отдельно на виртуалке, на линукс и там всё настраивать.
Нужен ли будет сертификат letsencrypt для морды 8080?
Нужно ли бросать его во внешний мир или он внутри локалки будет 2FA делать.

2) Можно развернуть keycloak на одной виртуалке с nginx reverse proxy. Тут сразу вижу плюс в том что можно в морду keycloak сунуть wildcard сертификат.
Но вижу проблемы с машстабируемостью.

В общем и целом всё зависит от того, нужно ли в данном кейсе бросать в мир Keycloak? Или в мир у нас смотрит токмо 1ЦЭ?

Answer 1

[Denis Melnikov]

У меня сделано так
1) KC в докере , трафик идет через Traefik , там же серт получает на морду
2) Nginx выступает как Reverse Proxy.

В целом этой схемы достаточно, чтоб сделать аутентификация через OIDC ( а там внутри еще и домен привязан )
1C сначала идет на Nginx -> Traefik -> KC , там происходит магия и 1С пускает нас. Что в локалке, что из вне

В твоем случае, можешь поставить куда угодно и через Nginx и Lets Enc сделать Wild серт и уже трафик гнать на KC

Comments

[bassoon48]

Сделал KC отдельно key.olips.ru у него свой серт

Потом отдельно 1C 1c.olips.ru у него тоже свой серт

Перед ними находится nginx reverse proxy c wildcard сертом *.olips.ru

Авторизация использую Authorization Code Flow.

Есть неприятные баги вот тут у челикслава похожее - https://habr.com/ru/articles/895294/

В конце статьи и ещё один челикслав в комментах пишет.

У меня также. Тонкий клиент белое окно, если туда сюда переключить - появляется форма KC. Я ввожу данные и бесконечно крутятся точки.

В браузере почти работает.

Захожу на 1c.olips.ru
Меня редиректит на KC
ввожу данные
Кидает обратно в 1c.olips.ru

И всё хоть 100 раз нажимай вход. Редиректы идут и обратно возвращается на 1c.olips.ru
НО! Если открыть новую вкладку всё идеально работает.

Без разницы удалённо или внутри локалки поведение одинаковое. Проблема не в nginx reverse proxy.

Я подозреваю что баг в платформе 8.3.26.1521

От поддержки 1С ответа нет.

П. С. мне ваще кажется что данный функционал у них на уровне beta или дальше alpha

[bassoon48]

Мысли есть?

[Denis Melnikov]

bassoon48, есть такой же баг, когда в вебе после KC возвращает на форму... Так же думаю что баг платаформы, ждем нового релиза

[bassoon48]

Denis Melnikov, в браузере поведение такое же как у меня?

1С морда ----> KC форма -------> 1С морда и не идёт никуда

Открываем новую вкладку - всё работает и колосится.

[Denis Melnikov]

bassoon48, Да, прям копия

[bassoon48]

Denis Melnikov, Отпишитесь пожалуйста в этой теме если найдёте рабочую версию платформы. Мы тоже обновимся и не будем трогать