DVZ Datenverarbeitungszentrum
Mecklenburg-Vorpommern GmbH
Lübecker Straße 283
19059 Schwerin

KeyCloak als Identity- und Access-Management-Lösung

Der unsichtbare Pförtner

Zentralisiert, sicher und einfach in der Nutzung – ohne diese Attribute kommt kaum eine Anwendung heutzutage aus. Doch wie sieht es aus, wenn es um die Verwaltung der Benutzeridentitäten und Zugriffsrechte für diese Dienste geht? Die Open-Source-Lösung KeyCloak ermöglicht genau diese Administration auf sichere und zentralisierte Weise und kommt auch in der DVZ M-V GmbH bereits mehrfach zum Einsatz.

Grafik von einem Mann, der einen Schlüssel für ein Schloss hält

Als webbasierte Identity- und Access-Management-Lösung (IAM) mit Schwerpunkt in der Identity-Provider-Funktionalität (IdP) stellt KeyCloak die Benutzeridentitäten samt zugehöriger Zugriffsrechte für die angebundene Anwendung in Form eines Authentifizierungsgateways entsprechend abgesichert bereit. Die Open-Source-Software auf Java-Basis existiert seit 2014 und wird kontinuierlich
weiterentwickelt.

Ein Blick ins Innere

Um die Authentifizierung und Autorisierung von Benutzer*innen in Anwendungen und Diensten zu ermöglichen, arbeiten innerhalb von KeyCloak verschiedene Komponenten zusammen. Den Kern von KeyCloak bildet dabei der Identity-Provider (IdP), der die Identität der Benutzer*innen verwaltet und das Single Sign-on (SSO) zwischen verschiedenen Programmen ermöglicht. Der IdP ist verantwortlich für das Ausstellen von Zugriffstoken, die von Applikationen verwendet werden können, um auf geschützte Ressourcen zuzugreifen. KeyCloak verfügt zudem über Adapter, welche die Autorisierung von Benutzer*innen in einer Softwarelösung oder einem Dienst ermöglichen. Sie stellen sicher, dass nur autorisierte Benutzer*innen auf die geschützten Ressourcen zugreifen können. Zusätzlich können die Adapter die Rolle der Benutzer*innen abrufen, um zu entscheiden, welche Aktionen sie ausführen dürfen.

Standardisiert und konfigurierbar

Außerdem unterstützt KeyCloak eine Vielzahl von Protokollen und Standards. Die Open-Source-Lösung bietet darüber hinaus die Möglichkeit, die Konfiguration über ein zentrales, webbasiertes Interface vorzunehmen und darüber beispielsweise Benutzer*innen und Rollen zu administrieren. Neben den lokal verwalteten Benutzer*innen unterstützt KeyCloak auch die Anbindung externer Benutzerdatenquellen und bietet beim Zugriff auf solche standardmäßig User Storage Provider für LDAP (Lightweight Directory Access Protocol) oder Active Directory an. Zu guter Letzt kann die Lösung auch Authentifizierungsanfragen an externe IdPs delegieren. Auf diese Weise wird es Benutzer*innen ermöglicht, sich mit ihren Accounts externer Dienste zu registrieren bzw. einzuloggen.

Mann mit Pfeilen über dem Kopf, symbolisch für austüfteln

Verschiedene Einsatzszenarien erprobt

Im DVZ befasst man sich bereits seit einigen Jahren mit der Technologie und den möglichen Einsatzszenarien rund um KeyCloak. Und dies keinesfalls auf rein theoretischer Ebene: So fand die Open-Source-Software bereits in der Realisierung einiger Lösungen Verwendung, die aus dem DVZ stammen bzw. an denen das DVZ mitgearbeitet hat. Beispielsweise kam KeyCloak bereits 2017 zum Einsatz, als es mit der Novellierung des Bundesmeldegesetzes den öffentlichen Ämtern fortan möglich sein sollte, deutschlandweit auf die Meldedaten der mehr als 2.000 Meldebehörden zuzugreifen. Weiter ging es in 2020: Nachdem die elektronische Anzeigepflicht für Waffenhersteller und -händler bundesweit beschlossen wurde, setzte man die Open-Source-Lösung bei der vom DVZ entwickelten und betriebenen Kopfstelle des Nationalen Waffenregisters ein. Den aktuellsten Einsatz findet KeyCloak bei der Anbindung der verschiedenen Active Directorys aus den Landesbehörden an die neue E-Akte-Lösung, an deren Einführung gegenwärtig mit Hochdruck gearbeitet wird. Darüber hinaus führt das DVZ die Vorarbeiten für ein Projekt durch, um KeyCloak den Kund*innen aus den Landesbehörden als standardisierten Service anbieten zu können.

Einschränkungen von KeyCloak

Trotz der breiten Einsatzmöglichkeiten von KeyCloak zur Nutzerauthentifizierung lassen sich nicht alle Anforderungen komplexer System- und Anwendungslandschaften mit diesem webbasierten IAM Tool umsetzen. So unterstützt KeyCloak bspw. keine rollenbasierte Provisionierung und Deprovisionierung von Benutzeridentitäten (Role Based Access Control). Auch im Bereich der Benutzerautorisierung weist die Open- Source-Lösung Grenzen auf, da diese auf die Rechte- und Rollendefinition der angebundenen Identitätsprovider (z. B. Verzeichnisdienst) beschränkt ist. Ebenso unterstützt KeyCloak derzeit keine Meta-Verzeichnisse oder die Abbildung individueller Struktur und Administrationsworkflows, um hier einige Beispiele zu nennen. Fest steht jedoch: In einer Zeit, in der die Verwaltung von digitalen Identitäten immer wichtiger wird, ist KeyCloak eine vielversprechende Lösung, die viele Vorteile bietet.