Single Sign-On mit Keycloak
RemotePC-Team- und Enterprise-Plan-Benutzer können Single Sign-On (SSO) für den Zugriff auf ihr Konto verwenden. Administratoren der Konten können einen SAML 2.0-Identitätsanbieter (IdP) auswählen, um sich bei Ihrem RemotePC-Konto anzumelden, ohne sich ein weiteres Passwort merken zu müssen.
Um Single Sign-On (SSO) mit Keycloak einzurichten, muss der Admin folgendes tun:
- Konfigurieren Sie Single Sign-On (SSO) mit Keycloak als IdP
- Benutzer hinzufügen
- Konfigurieren Sie das RemotePC-Konto für Single Sign-On (SSO)
Um Keycloak als Identity Provider für SSO zu verwenden, müssen Sie einen SAML 2.0 Client erstellen.
So erstellen Sie einen SAML 2.0-Client,
- Melden Sie sich an der Keycloak-Administrationskonsole an. Sobald Sie sich eingeloggt haben, sehen Sie die Administrationskonsole mit einem bereits vorhandenen Master-Realm.
- Gehen Sie zur Registerkarte "Clients", klicken Sie rechts auf der Seite auf die Schaltfläche "Erstellen" und fügen Sie untenstehende URL hinzu:
Client-ID: https://sso.remotepc.com/rpcnew/sso/metadata
- Klicken Sie auf das Dropdown-Feld "Client-Protokoll" und wählen Sie "saml".
- Klicken Sie auf "Speichern". Dadurch wird der Client erstellt und Sie werden automatisch zur Registerkarte "Client-Einstellungen" weitergeleitet.
- Um Keycloak für SSO mit RemotePC zu verwenden, müssen wir ein paar Änderungen in den Keycloak-Client-Einstellungen vornehmen.
Nehmen Sie die erforderlichen Änderungen wie unten beschrieben vor:
- Kunden-ID: https://sso.remotepc.com/com/rpcnew/sso/metadata
- Name: RemotePC
- Aktiviert: EIN
- Zustimmung erforderlich: AUS
- Client-Protokoll: saml
- AuthnStatement einbeziehen: ON
- Include OneTimeUse Bedingung: AUS
- Dokumente signieren: ON
- REDIRECT-Signierschlüssel-Suche optimieren: AUS
- Vorzeichen-Assertionen: AUS
- Signatur-Algorithmus: RSA_SHA1
- SAML-Signatur-Schlüssel Name: KEY_ID
- Kanonisierungsmethode: EXKLUSIV
- Assertions verschlüsseln: AUS
- Unterschrift des Kunden erforderlich: AUS
- POST-Bindung erzwingen: ON
- Frontkanal Abmeldung: EIN
- Force Name ID Format: ON
- Name ID Format: email
- Gültige Redirect-URLs: https://sso.remotepc.com/rpcnew/sso/process
- Master SAML Processing URL: https://sso.remotepc.com/rpcnew/sso/process
- Assertion Consumer Service POST Binding URL: https://sso.remotepc.com/rpcnew/sso/metadata
- Assertion Consumer Service Redirect Binding URL: https://sso.remotepc.com/rpcnew/sso/metadata
- Klicken Sie auf "Speichern".
Um SSO für Benutzerkonten zu aktivieren, muss der Administrator Benutzer zum SAML 2.0 Client hinzufügen, der auf der Keycloak Administration Console erstellt wurde.
So fügen Sie Benutzer hinzu,
- Gehen Sie zur Registerkarte "Benutzer" und klicken Sie auf "Benutzer hinzufügen".
- Geben Sie den "Benutzernamen" und die "E-Mail" ein und klicken Sie auf "Speichern".
Hinweis: Die eingegebene E-Mail-Adresse sollte mit der übereinstimmen, die Sie zur Anmeldung bei Ihrem RemotePC-Konto angegeben haben. - Sobald der Benutzer erstellt ist, gehen Sie zur Registerkarte "Credentials" (Zugangsdaten) und legen Sie ein Passwort für den Benutzer fest, das für die Anmeldung verwendet wird.
- Stellen Sie den Kippschalter "Temporär" auf "AUS" und klicken Sie dann auf "Passwort setzen", um Ihre Änderungen zu übernehmen.
Der Administrator muss die empfangenen SAML 2.0-URLs und das Zertifikat in der Single Sign-On-Anwendung von der RemotePC-Weboberfläche aus bereitstellen.
So konfigurieren Sie SSO,
- Melden Sie sich über einen Webbrowser bei RemotePC an.
- Klicken Sie auf den oben rechts angezeigten Benutzernamen und dann auf "Mein Konto".
- Klicken Sie auf 'Single Sign-On'.
- Geben Sie einen Namen für Ihr SSO-Profil ein und fügen Sie untenstehende URLs hinzu:
- IDP-Aussteller-URL:
http://localhost:8080/auth/realms/master
Beispiel: https://serverdomainname/auth/realms/master - Single Sign-On Anmelde-URL:
http://localhost:8080/auth/realms/master/protocol/saml
Beispiel: https://serverdomainname/auth/realms/master/protocol/saml
Hinweis: Die URLs können je nach Ihrer Installation von Keycloak variieren. Standardmäßig ist Keycloak auf Port 8080 installiert. Wenn Sie dies geändert haben oder wenn Ihre Keycloak-Installation auf einem anderen Port existiert, müssen Sie diese URLs ändern.
- IDP-Aussteller-URL:
- Fügen Sie das 'X.509-Zertifikat' hinzu, das Sie von Ihrem SAML 2.0-Client erhalten haben und das in der Keycloak-Administrationskonsole erstellt wurde.
Hinweis: Zum Anzeigen und Kopieren des X.509-Zertifikats,
i. Gehen Sie in Ihrer Keycloak-Administrationskonsole auf die Registerkarte 'Realm-Einstellungen'.
ii. Wählen Sie die Registerkarte "Keys" aus und klicken Sie auf die Schaltfläche "Certificate" auf der rechten Seite der Seite. - Klicken Sie auf 'Single Sign-On konfigurieren'.
Sie erhalten eine E-Mail, wenn SSO für Ihr Konto aktiviert ist.