Dans un monde où les applications se multiplient, la gestion des identités et des accès devient un enjeu majeur. Les entreprises ont besoin d’un système centralisé pour authentifier les utilisateurs et gérer leurs droits. C’est là qu’intervient Keycloak, une solution open source d’Identity and Access Management (IAM) développée par Red Hat.

Keycloak permet notamment :

• le Single Sign-On (SSO) ;
• l’authentification multifacteur (MFA) ;
• la gestion centralisée des utilisateurs, rôles et groupes ;
• la fédération d’identités via des IdP comme LDAP, Active Directory, Google, GitHub, etc.

Dans cet article, nous allons voir comment Keycloak se connecte à un IdP et comment mettre en place cette fédération d’identités.

Un IdP est un service qui gère l’authentification des utilisateurs. Il vérifie leur identité et transmet les informations nécessaires (login, email, rôle, etc.) à l’application consommatrice.

Exemples d’IdP courants :

• LDAP / Active Directory
• Azure AD
• Google Workspace
• GitHub, GitLab
• Autres instances Keycloak

Keycloak agit comme un Service Provider (SP) ou Relying Party, qui délègue l’authentification à un IdP externe via des protocoles standards :

• SAML 2.0
• OpenID Connect (OIDC)
• OAuth 2.0

Ainsi, au lieu de créer un nouvel utilisateur dans Keycloak, on peut simplement le connecter à son IdP existant (par exemple Active Directory).

Une fois Keycloak installé et démarré, le service est généralement accessible via une URL du type :

http://<adresse_serveur>:8080/

ou, si vous utilisez HTTPS :

https://<domaine_keycloak>/

En ouvrant cette adresse dans votre navigateur, vous arrivez sur la page d’accueil de Keycloak.

• Le bouton Administration Console permet d’accéder à la console d’administration.
• Le bouton Account Console permet aux utilisateurs de gérer leur profil personnel.

Cliquez sur Administration Console. Vous arrivez sur l’écran de connexion où il faut renseigner :

• Nom d’utilisateur (par défaut admin si vous l’avez défini à l’installation),
• Mot de passe administrateur.

Ces identifiants sont ceux définis lors de l’installation ou via les variables d’environnement :

KEYCLOAK_ADMIN=admin
KEYCLOAK_ADMIN_PASSWORD=monMotDePasse
    

Une fois connecté, vous arrivez sur la console d’administration. Les principales sections sont :

• Realm : contexte d’authentification (par défaut master).
• Clients : applications qui utilisent Keycloak comme fournisseur d’identité.
• Users : gestion des utilisateurs, création, suppression, affectation de rôles.
• Groups & Roles : gestion centralisée des autorisations.
• Identity Providers : connexion de Keycloak à d’autres IdP (Google, LDAP, etc.).

En plus de la console admin, chaque utilisateur dispose d’un accès à la Account Console via :

https://<domaine_keycloak>/realms/<realm>/account

Depuis cette interface, un utilisateur peut :

• modifier ses informations personnelles,
• changer son mot de passe,
• configurer une authentification multifacteur (MFA),
• consulter ses sessions actives.

• Entreprise : unifier l’authentification des collaborateurs via Active Directory.
• Éducation : permettre aux étudiants de se connecter avec leur compte Google.
• Multi-applications : utiliser Keycloak comme proxy SSO entre plusieurs IdP et des applications internes.

Keycloak est une solution puissante pour gérer les identités et les accès. Grâce à la connexion à des Identity Providers externes, il devient possible de centraliser l’authentification, d’améliorer la sécurité et de simplifier la gestion des utilisateurs.

En configurant Keycloak comme fédération d’identités, vous ouvrez la porte à une authentification fluide et unifiée pour toutes vos applications.