《OpenShift / RHEL / DevSecOps / Ansible 汇总目录》
说明：本文已经在 OpenShift 4.11 环境中验证

本文将部署一个应用，然后用 RHSSO 对应用访问进行身份认证，并对不同的登录用户和应用资源进行访问授权。

安装环境

1. 执行命令安装 Java 环境。

$ cd ~
$ curl -LO https://download.java.net/java/GA/jdk11/9/GPL/openjdk-11.0.2_linux-x64_bin.tar.gz
$ tar xzvf openjdk-11.0.2_linux-x64_bin.tar.gz
$ JAVA_PATH=~/jdk-11.0.2/bin
$ PATH=$PATH:$JAVA_PATH/bin

2. 执行命令安装 Maven 环境。

$ curl -LO https://dlcdn.apache.org/maven/maven-3/3.8.6/binaries/apache-maven-3.8.6-bin.tar.gz
$ tar xzvf apache-maven-3.8.6-bin.tar.gz
$ PATH=$PATH:~/apache-maven-3.8.6/bin

3. 执行命令安装 Make 环境。

$ yum install make

4. 使用 Operator 安装 RHSSO，然后使用默认配置在名为 sso 的项目中创建一个 Keycloak 实例，名称为 example-keycloak。
5. 执行以下命令获得 RHSSO 控制台的访问地址和 admin 用户的密码，即可登录 RHSSO 控制台。

$ RH_SSO_HOST=$(oc get route keycloak -o jsonpath='{.spec.host}' -n sso) && echo $RH_SSO_HOST
$ oc get secret credential-example-keycloak -n sso -o go-template --template="{{.data.ADMIN_PASSWORD | base64decode}}"

部署应用并配置登录和授权

部署应用

1. 在新建的 sso-app 项目中部署 quarkus-petclinic 应用。

$ oc new-project sso-app
$ git clone -b sso-base https://github.com/aolle/quarkus-petclinic.git && cd quarkus-petclinic
$ ./mvnw install -Dquarkus.kubernetes.deploy=true

2. 获得访问应用的 Route 地址，然后访问应用，此时应用还无需登录即可访问。

$ oc get route quarkus-petclinic -o jsonpath='{.spec.host}' -n sso-app

配置 RHSSO 的用户和组

本节将创建属于 vet 角色的 angel 用户以及属于 assistant 角色的 elisa 用户。

1. 在 RHSSO 的控制台中点击 Master，然后点击 Add realm。
   
2. 设置 Name 为 demo，然后点击 Create。
   
3. 点击菜单的 Roles，然后点击 Add Role 按钮。
4. 在 Add Role 页面中为 Role Name 设为 vet ，然后点击 Create。
5. 重复步骤再创建名一个为 assistant 的 Role。
6. 点击菜单的 Users，然后点击 Add user 按钮。
7. 在 Add user 页面中为 Username 设为 angel，然后点击 Save。
8. 进入 angel 用户的 Credentials 栏目，设置用户密码后点击 Set Password。
   
9. 进入 angel 用户的 Role Mappings 栏目，给用户赋予 vet 角色。
   
10. 重复以上步骤创建名为 elisa 的用户，并赋予 assistant 角色。
11. 点击菜单的 Groups，然后点击 New 按钮。
12. 在 Create group 页面中设置 Name 为 staff，然后点击 Save。
13. 再次点击菜单的 Groups，然后在 User Groups 页面中选中 staff，点击 New 按钮。
    
14. 在 Create group 页面中设置 Name 为 Personal staff，然后 Save。
15. 最后应该在 User Groups 页面中看到下图的组关系。
    

配置应用身份认证

本节将实现对应用 http://quarkus-petclinic-sso.apps.cluster-72c7x.72c7x.sandbox2951.opentlc.com 的访问进行身份认证。

1. 点击菜单的 Clients，然后点击 Create 按钮。
2. 在 Add Client 页面中设置 Client ID 为 quarkus-petclinic，然后点击 Save。
3. 在 quarkus-petclinic 的 Setting 页面根据下表进行配置，然后点击 Save。
   | 属性 | 值 |
   |–|–|
   | Access Type | confidential |
   | Authorization Enabled| ON |
   | Valid Redirect URIs| http://quarkus-petclinic-sso.apps.cluster-72c7x.72c7x.sandbox2951.opentlc.com/* |

配置应用访问授权

本节将配置只允许 vet 角色的用户才能访问应用的 VETERINARIANS 栏目，属于 demo realm 的其他用户可以访问应用的其他栏目。

1. 点击菜单的 Clients，然后进入 quarkus-petclinic 的 Authorization → Resources。
   
2. 点击 Name 为 Default Resource 一行后的 Create Permission 按钮。
3. 在 Add Resource Permission 页面中设置 Name 为 Default Resource Permission，然后点击 Create Policy…​ → Group。
   
4. 在 Add Group Policy 页面中设置 Name 为 Default Group Policy；然后先选中 Groups 的 staff 再点击 Select，在出现的表中选则 Extend to Children，再将 Logic 设为 Negative，最后点击 Save。
   
5. 页面会跳转回 Add Resource Permission 页面，点击 Save。
   
6. 在 Authorization​ → Resources 中点击 Create。
   
7. 在 Add Resource 页面中将 Name 和 Display name 设为 Vets Resource，将 URI 设为 /vets.html，然后点击 Save。
   
8. 进入 Authorization → Resources 页面，在 Vets Resource 一行点击 Create Permission 按钮。
   
9. 在 Add Resource Permission 页面中设置 Name 为 Vets Resource Permission， 在 Apply Policy 的 Create Policy 下拉框中选中Role。
   
10. 在 Add Role Policy 页面中设置 Name 为 Vet Role Policy，为 Realm Roles 选择出 vet，然后选中 Required，最后点击 Save。
    
11. 页面会再次跳回 Add Resource Permission 页面，点击 Save 按钮。
    

为应用配置登录和访问授权

1. 在 quarkus-petclinic 的 Clients 的 Credentials 栏目中记下下图中的 Secret 内容。
   
2. 执行命令，基于 Secret 内容创建 configmap 和 secret。

$ MY_SSO_CLIENT_SECRET=kFJFDBluHlQIVCQg9S0aF3WAzUwXABto
$ oc create configmap quarkus-petclinic-config --from-literal=SSO_HOST=${RH_SSO_HOST} -n sso-app
$ oc create secret generic quarkus-petclinic-secret --from-literal=SSO_CLIENT_SECRET=${MY_SSO_CLIENT_SECRET} -n sso-app

3. 执行命令，将一下配置追加到应用的 application.properties 配置文件中。

$ cat >> ~/quarkus-petclinic/src/main/resources/application.properties  << EOF
quarkus.oidc.auth-server-url=https://${RH_SSO_HOST}/auth/realms/demo
quarkus.oidc.client-id=quarkus-petclinic
quarkus.oidc.credentials.secret=${MY_SSO_CLIENT_SECRET}
quarkus.oidc.tls.verification=none
quarkus.oidc.roles.source=accesstoken
 
quarkus.oidc.application-type=web-app
quarkus.oidc.webapp.auth-server-url=${quarkus.oidc.auth-server-url}
quarkus.oidc.webapp.client-id=${quarkus.oidc.client-id}
quarkus.oidc.webapp.credentials.secret=${quarkus.oidc.credentials.secret}
quarkus.oidc.webapp.roles.source=${quarkus.oidc.roles.source}

quarkus.keycloak.policy-enforcer.enable=true
EOF

4. 执行以下命令，为应用 pom.xml 文件增加扩展，然后重新部署运行应用。

./mvnw quarkus:add-extension -Dextensions='oidc,keycloak-authorization'
./mvnw install -Dquarkus.kubernetes.deploy=true

5. 分别用 angel 和 elisa 用户登录，确认他们都需要登录才能访问应用。并且 elisa 无法访问应用的 VETERINARIANS 栏目，而 angel 可以访问 VETERINARIANS 栏目。

参考

https://olleb.com/rhsso-workshop/index.html