Keycloak + 1C ради 2FA OpenID. Какие принципы развёртывания?

Question

[bassoon48]

Нужна связка 1С + Keycloak.

Есть 2 вопроса.

1) Разворачивать Keycloak отдельно на виртуалке, на линукс и там всё настраивать.
Нужен ли будет сертификат letsencrypt для морды 8080?
Нужно ли бросать его во внешний мир или он внутри локалки будет 2FA делать.

2) Можно развернуть keycloak на одной виртуалке с nginx reverse proxy. Тут сразу вижу плюс в том что можно в морду keycloak сунуть wildcard сертификат.
Но вижу проблемы с машстабируемостью.

В общем и целом всё зависит от того, нужно ли в данном кейсе бросать в мир Keycloak? Или в мир у нас смотрит токмо 1ЦЭ?

Answer 1

[Denis Melnikov]

У меня сделано так
1) KC в докере , трафик идет через Traefik , там же серт получает на морду
2) Nginx выступает как Reverse Proxy.

В целом этой схемы достаточно, чтоб сделать аутентификация через OIDC ( а там внутри еще и домен привязан )
1C сначала идет на Nginx -> Traefik -> KC , там происходит магия и 1С пускает нас. Что в локалке, что из вне

В твоем случае, можешь поставить куда угодно и через Nginx и Lets Enc сделать Wild серт и уже трафик гнать на KC