Benutzerverwaltung Keycloak (IAM)
Hinter dem normalen Berechtigungskonzept der JUMO smartWARE SCADA befindet sich ein Keycloak System, welches als IAM die übergreifende Benutzerverwaltung übernimmt.
Zu Beginn ist lediglich der “root” Benutzer vorhanden
Zugriff auf die Keycloak Administrationskonsole
SCADA-URL mit der Endung /auth in Webbrowser eingeben: https://Hostname/auth/
Auf “Administration Console” klicken
Anmelden mit Benutzer = „root“ und Passwort = root-Password
Zusätzliche Benutzer erstellen und alle Benutzer einsehen
Manage → Users → Add user
Folgende Eingaben sind notwendig und anschließend mit „Save“ bestätigen:
Username
First Name (optional: Aber sinnvoll, um den Benutzer später in der Zentralen Administration wiederzufinden)
User Enabled → ON
Email Verified → ON
Passwort vergeben
Unter „Credentials“ Passwort vergeben und mit „Set Password“ bestätigen
Unter “Temporary” → OFF (d.h. der Benutzer wird nicht nochmal aufgefordert das Passwort zu ändern)
Überprüfung ob der User angelegt wurde:
Users → View all users
Es ist immer Hilfreich innerhalb Keycloak über die Fragezeichen zu hovern, um zusätzliche Informationen zu erhalten.
“Single Sign On” Gedanke: Ein Benutzername und ein Passwort für alle Anwendungen
Verknüpfung der SCADA Benutzerverwaltung mit einer firmeninternen Benutzerverwaltung
In der Keycloak Konsole unter “User Federation” auf “Add provider” gehen und eine Auswahl treffen:
Option 1: LDAP Anbindung
Option 2: Kerberos
Anschließend alle notwendigen und gewünschten Einstellungen treffen
Anschließend kann jeder Benutzer innerhalb des eingestellten Providers mit bekanntem Benutzernamen und Passwort auf die SCADA Anwendung zugreifen.
Login Einstellungen ändern
User Registration → Hier kann eingestellt werden, das sich Nutzer registrieren müssen, um auf die SCADA Anwendung zugreifen zu können.
Edit Username → Off
Forgot password → Ist diese Funktion aktiv und ein Email Server in Keycloak eingerichtet kann die Passwort vergessen Funktion genutzt werden.
E-Mail Server zur Verifizierung einrichten
Wird z.B. benötigt, wenn die Passwort vergessen oder Email verifizieren Funktion genutzt werden soll. Im generellen, wenn die Keycloak Konsole Mails verschicken soll.
Sicherheits- und Passwortrichtlinien einstellen
Unter diesen Bereichen können Sicherheits- und Passwortrichtlinien eingestellt werden:
Token Einstellungen ändern
Hier kann u.a. eingestellt werden, wie lange bei Anmeldung die Sitzung im Browser aktiv bleibt, bevor das System einen automatisch abmeldet und zu einer erneuten Anmeldung auffordert: “Access Token Lifespan For Implict Flow”