WinCC OA Benutzeroberflächen-Authentifizierung mit Keycloak

Keycloak ist eine Open-Source-Plattform für Identitäts- und Zugriffsmanagement, die Unternehmen dabei unterstützt, ihre Anwendungen und Dienste abzusichern. Sie fungiert als zentraler Authentifizierungsserver, sodass sich Benutzer einmal anmelden und auf mehrere Anwendungen zugreifen können, ohne sich erneut authentifizieren zu müssen. Keycloak wird häufig zur Implementierung von Single Sign-On (SSO), zur Verwaltung von Benutzeridentitäten und zur Durchsetzung von Sicherheitsrichtlinien in Web-, Mobil- und Cloud-Umgebungen eingesetzt.

Keycloak ist flexibel konzipiert und unterstützt branchenübliche Authentifizierungsprotokolle wie OpenID Connect (OIDC) und SAML. Dadurch eignet es sich für die Integration mit einer Vielzahl von Anwendungen und Diensten, unabhängig davon, ob diese individuell entwickelt wurden oder von Drittanbietern stammen. Administratoren können Benutzer, Rollen, Gruppen und Authentifizierungsabläufe zentral verwalten, während Entwickler von einer einfachen Integration und robusten Sicherheitsfunktionen profitieren. Typische Anwendungsfälle sind die Absicherung von Unternehmensanwendungen, die Aktivierung von Social Login und die Unterstützung von Multi-Tenancy durch die Verwendung von Realms.

Keycloak bietet zudem erweiterte Funktionen wie anpassbare Anmeldeseiten, Self-Service für Benutzer und Unterstützung starker Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA). Mit MFA können Organisationen verlangen, dass Benutzer einen zusätzlichen Verifizierungsschritt, wie z. B. ein Einmalpasswort (OTP), angeben, um die Sicherheit über den Standard-Benutzernamen und das Passwort hinaus zu erhöhen.

Diese Einführung bietet einen Überblick über die Rolle von Keycloak bei der Authentifizierung und Benutzerverwaltung. Die folgenden Abschnitte beschreiben die grundlegenden Schritte zur Konfiguration von Keycloak und zur Aktivierung von MFA, decken jedoch nicht alle möglichen Funktionen oder Szenarien ab. Ausführliche Schritt-für-Schritt-Anleitungen finden Sie in den unten verlinkten Aufgaben.

Keycloak-Grundkonfiguration

Um Keycloak als Authentifizierungsanbieter zu verwenden, müssen Sie zunächst einen Keycloak-Server einrichten, ein Realm erstellen, Clients konfigurieren und Benutzer hinzufügen. Diese Grundkonfiguration ermöglicht es Ihrer Anwendung, Benutzer über OIDC oder SAML zu authentifizieren.

Eine Schritt-für-Schritt-Anleitung zur Einrichtung von Keycloak für OIDC-Authentifizierung finden Sie unter Keycloak für OIDC-Authentifizierung einrichten (Grundkonfiguration).

Anmerkung:

Bitte beachten Sie, dass diese Konfiguration für eine grundlegende Einrichtung gedacht ist und nicht für den Einsatz in Produktionsumgebungen! Für die Verwendung von Keycloak in einer Produktionsumgebung ist es zwingend erforderlich, geeignete Zertifikate bereitzustellen und unverschlüsselte Kommunikation zu deaktivieren. Weitere Informationen finden Sie unter Keycloak konfigurieren – Starten im Produktionsmodus

OIDC-Authentifizierung für Ihr Projekt konfigurieren

Nachdem Keycloak eingerichtet wurde, müssen Sie Ihr Projekt so konfigurieren, dass Keycloak als OIDC-Identity-Provider verwendet wird. Dazu bearbeiten Sie Ihre Projektkonfigurationsdatei und geben Authentifizierungstyp, Realm, Client-ID und OIDC-Endpunkte an. Diese Einstellungen stellen sicher, dass Ihre Anwendung sicher mit Keycloak für die Benutzerauthentifizierung kommunizieren kann.

Ausführliche Anweisungen zur Konfiguration der OIDC-Authentifizierung für Ihr Projekt finden Sie unter OIDC-Authentifizierung für WinCC OA Projekt konfigurieren.

Multi-Faktor-Authentifizierung (MFA) in Keycloak

Keycloak unterstützt Multi-Faktor-Authentifizierung (MFA), um eine zusätzliche Sicherheitsebene über Benutzername und Passwort hinaus bereitzustellen. MFA kann von Administratoren so konfiguriert werden, dass Benutzer einen zweiten Authentifizierungsfaktor, wie z. B. ein Einmalpasswort (OTP) aus einer Authenticator-App, registrieren und verwenden müssen.

Administratoren sind für das Aktivieren und Konfigurieren von MFA-Richtlinien in der Keycloak-Administrationskonsole verantwortlich. Endbenutzer müssen dann MFA für ihre eigenen Konten registrieren und aktivieren, sofern erforderlich.

Ausführliche Anweisungen zur Konfiguration von MFA als Administrator finden Sie unter Multi-Faktor-Authentifizierung (MFA) als Administrator in Keycloak konfigurieren.

MFA als Endbenutzer einrichten

Nachdem Administratoren MFA aktiviert haben, müssen Endbenutzer den Einrichtungsprozess für ihre eigenen Konten abschließen. Dies umfasst in der Regel das Anmelden, das Registrieren einer Authenticator-App und das Verifizieren des zweiten Faktors.

Eine Schritt-für-Schritt-Anleitung für Endbenutzer finden Sie unter Multi-Faktor-Authentifizierung (MFA) als Benutzer einrichten.