DevOps • Инженерам • 14 апреля 2025 • 13 мин чтения

Если вы когда-либо логинились через Google, GitHub или Facebook, не создавая аккаунт — вы уже сталкивались с SSO (Single Sign-On). Именно так работает Keycloak — опенсорс-платформа для идентификации и управления доступом.

Расскажем, что такое Keycloak простыми словами — откуда он взялся, как устроен внутри и почему это решение выбирают даже те, кто раньше предпочитал самописные.

Современные приложения — это множество микросервисов. Удержать контроль над доступом сложно. Keycloak — решение от Red Hat, которое централизует управление пользователями, ролями и правами. Он экономит время на разработку, снижает риски уязвимостей, поддерживает OAuth2, OpenID Connect, SAML и хранит пользователей централизованно.

С его помощью можно:

• подключать вход через соцсети;
• управлять доступом централизованно;
• защищать API токенами;
• делегировать авторизацию внешним системам.

Для DevOps это не просто удобство — это необходимость. Без Keycloak система превращается в набор незащищённых точек входа.

Банки, госструктуры, вузы, стартапы и корпорации ценят его за простоту, масштабируемость и поддержку протоколов.

Установил, подключил — и пользователи логинятся. Админ настраивает доступ, разработчик — интегрирует API. Безопасность: аудит, MFA, логирование — уже встроены. Keycloak — это стандарт в мире микросервисов.

Один аккаунт — множество сервисов. Это и есть SSO. Keycloak написан на Java и поддерживает стандарты OAuth2, OIDC и SAML.

Он подходит:

• разработчикам — для быстрой авторизации;
• бизнесу — для управления доступом;
• пользователям — для удобного входа.

Встроены MFA, политики паролей, подтверждение почты и восстановление доступа.

• На курсе «Безопасность проекта: аутентификация в Keycloak» мы продемонстрируем, где можно найти готовые решения и как их эффективно интегрировать.

1. Роли и политики — назначение прав по ролям, группам и атрибутам.
2. Поддержка протоколов — подключение к большинству платформ.
3. Безопасность — защита микросервисов, двухфакторка, внешние IDP, журнал входов.

Keycloak — это щит DevSecOps-инженера: строит безопасную систему без костылей.

docker run -p 8080:8080 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
quay.io/keycloak/keycloak:latest \
start-dev

После запуска можно перейти по адресу http://localhost:8080 и настроить Realm, клиентов и пользователей.

const Keycloak = require('keycloak-connect');
const session = require('express-session');
const memoryStore = new session.MemoryStore();

const keycloak = new Keycloak({ store: memoryStore });
app.use(keycloak.middleware());

Keycloak — это щит DevSecOps-инженера: строит безопасную систему без костылей.

Если в вашем проекте несколько микросервисов, без общей системы аутентификации всё превращается в хаос. Каждый сервис требует логин, отдельную сессию и свою безопасность.

SSO (Single Sign-On) — это механизм, при котором пользователь входит один раз и получает доступ ко всем приложениям без повторного ввода логина и пароля.

Пример: у вас фронтенд, API, админка и аналитика. С Keycloak пользователь входит один раз — и работает с ними всеми, без лишних проверок.

Keycloak:

• аутентифицирует пользователя;
• создаёт сессию;
• выдаёт токен (JWT) с правами;
• передаёт его между сервисами.

Токен можно автоматически обновлять (refresh token), и пользователь не замечает сложностей.

Keycloak легко развернуть даже новичку в DevOps.

Быстрый запуск через Docker

docker run -p 8080:8080 \
-e KEYCLOAK_ADMIN=admin \
-e KEYCLOAK_ADMIN_PASSWORD=admin \
quay.io/keycloak/keycloak:latest \
start-dev

После запуска заходите на http://localhost:8080, входите как admin и настраиваете realm, клиентов и пользователей.

Чтобы подключить Keycloak:

1. Зарегистрируйте приложение как client.
2. Выберите протокол (чаще OpenID Connect).
3. Укажите URL редиректов.
4. Настройте авторизацию.

Пример на Node.js:

const Keycloak = require('keycloak-connect');
const session = require('express-session');
const keycloak = new Keycloak({ store: memoryStore });
app.use(keycloak.middleware());

Есть библиотеки для Java, .NET, Python, PHP.

В панели администратора можно:

• включить 2FA;
• задать правила паролей;
• настроить подтверждение по почте;
• ограничить вход по IP;
• подключить Google, Telegram, LDAP и др.

Рекомендации:

• использовать Kubernetes или Docker Compose;
• подключить внешнюю БД (PostgreSQL, MySQL);
• настроить HTTPS и ключи;
• включить аудит и резервное копирование.

Keycloak подходит как стартапам, так и распределённым системам.

Система входа — это критичный элемент. Ошибки могут привести к утечкам и штрафам. Keycloak решает это:

• В банках — контроль доступа к операциям.
• В госуслугах — единый вход в сервисы.
• В образовании — логин студентов, преподавателей, админов.
• В e-commerce — соцсети, разграничение прав менеджеров.

У каждого клиента — свой Realm и свои пользователи. Вы управляете доступом масштабируемо — от 10 до 10 000 пользователей.

Компания с филиалами. Подключается:

• LDAP;
• вход по e-mail/телефону;
• MFA;
• разграничение прав (HR, бухгалтерия и др.).

Keycloak сокращает затраты, ускоряет онбординг, повышает безопасность.

Keycloak — это база для безопасности. Он:

• экономит ресурсы;
• упрощает масштабирование;
• защищает пользователей;
• поддерживает DevSecOps-подход.

Если вы хотите быстро внедрить авторизацию и построить надёжную систему — это ваш выбор.

🔐 Готовы освоить Keycloak и прокачать навыки в DevSecOps?

Записывайтесь на курс «Безопасность проекта: аутентификация в Keycloak» и получите реальный опыт работы с одной из самых востребованных платформ идентификации. Без теории ради теории. Только практика и пошаговое внедрение в ваш стек.

Всё — чтобы ваш проект был защищён с самого старта.