Описание файла Keycloak

За настройки ресурса отвечает файл appsettings.json, который расположен в kid-2fa-plugin.jar.

Будьте осторожны при изменении.jar-файлов. Изменение файла может привести к некорректной работе плагина или даже к его неработоспособности.

Для изменения настроек ресурса, отредактируйте файл конфигурации appsettings.json:

1. Создайте резервную копию оригинального kid-2fa-plugin.jar. Это поможет восстановить оригинальный файл, если что-то пойдет не так.

2. Откройте kid-2fa-plugin.jar с помощью архиватора:

Используйте архиватор, который умеет работать с форматом zip.
Щелкните правой кнопкой мыши на kid-2fa-plugin.jar и выберите «Открыть с помощью».
В списке программ выберите нужный архиватор.

3. Внутри kid-2fa-plugin.jar вы найдете различные папки и файлы, которые представляют собой код и ресурсы плагина. Найдите файл appsettings.json.

4. Отредактируйте appsettings.json:

Используйте удобный редактор кода.
Внесите необходимые изменения в файл.

5. Сохраните изменения и закройте архиватор.

7. Ваш изменённый kid-2fa-plugin.jar файл готов к использованию.

8. После внесения изменений, перезапустите Keycloak.

Пример конфигурационного файла appsettings.json

{
  "KeycloakServerConfiguration": {
    "SourceName": "keycloak"
  },
  "VerificationApiConfiguration": {},
  "PolicyConfiguration": {
    "Policy": "AllUsers",
    "Exceptions": {
      "Domains": {
        "default": {
          "Groups": []
        }
      },
      "Users": []
    }
  },
  "AuthenticationConfiguration": {
    "AllowedFactors": [
      "Connect"
    ]
  }
}

Файл состоит из следующих блоков:

Конфигурация KeycloakServerConfiguration
Конфигурация API
Конфигурация политики запроса второго фактора
Конфигурация аутентификации
Примеры настройки

Конфигурация
KeycloakServerConfiguration

KeycloakServerConfiguration

"KeycloakServerConfiguration": {
  "SourceName": "keycloak"
}

Имя параметра	Значение параметра
SourceName	Имя ресурса, с которым работает Keycloak. Можно задать любое значение типа строки (string). Значение по умолчанию: «keycloak». Параметр также используется для журналирования

Имя параметра

Значение параметра

SourceName

Имя ресурса, с которым работает Keycloak. Можно задать любое значение типа строки (string).

Значение по умолчанию: «keycloak». Параметр также используется для журналирования

Конфигурация API

Блок VerificationApiConfiguration позволяет настроить взаимодействие с API Kontur.ID для проверки второго фактора.

Конфигурация политики запроса второго фактора

PolicyConfiguration

"PolicyConfiguration": {
  "Policy": "AllUsers",
  "Exceptions": {
    "Domains": {
      "default": {
        "Groups": []
      }
    },
    "Users": []
  }
}

Имя параметра	Значение параметра
Policy	Настройка политики. Возможные значения: "AllUsers" — спрашивать подтверждение доступа у всех пользователей; "AllUsersWithExceptions" — спрашивать подтверждение доступа у всех пользователей, кроме тех, которые находятся в исключении; "NoOneWithExceptions" — спрашивать подтверждение доступа только у пользователей, которые находятся в списке исключений
Exceptions	Настройка исключений по правилам политики. Атрибуты: "Domains" — список доменов с группами. Представлен в виде ключ-значение, где ключ — это домен и "Groups" — список групп в домене. "Users" — cписок идентификаторов пользователей в исключении

Имя параметра

Значение параметра

Policy

Настройка политики.
Возможные значения:

"AllUsers" — спрашивать подтверждение доступа у всех пользователей;
"AllUsersWithExceptions" — спрашивать подтверждение доступа у всех пользователей, кроме тех, которые находятся в исключении;
"NoOneWithExceptions" — спрашивать подтверждение доступа только у пользователей, которые находятся в списке исключений

Exceptions

Настройка исключений по правилам политики.
Атрибуты:

"Domains" — список доменов с группами. Представлен в виде ключ-значение, где ключ — это домен и "Groups" — список групп в домене.
"Users" — cписок идентификаторов пользователей в исключении

Конфигурация аутентификации

Конфигурация этого блока позволяет настроить правила аутентификации для второго фактора.

AuthenticationConfiguration

"AuthenticationConfiguration": {
  "AllowedFactors": [   
    "Call"
  ]
}

Имя параметра	Значение параметра
AllowedFactors	Настройка второго фактора. Возможные значения: "Connect" — подтверждение доступа через push-уведомление и OTP-код в приложении Контур.Коннект. "Call" — подтверждение доступа через звонок. "Sms" — подтверждение доступа через СМС

Имя параметра

Значение параметра

AllowedFactors

Настройка второго фактора.

Возможные значения:

"Connect" — подтверждение доступа через push-уведомление и OTP-код в приложении Контур.Коннект.
"Call" — подтверждение доступа через звонок.
"Sms" — подтверждение доступа через СМС

Примеры настройки

Проверка второго фактора у всех пользователей

"PolicyConfiguration": {
    "Policy": "AllUsers"
}

Проверка второго фактора у всех пользователей, кроме тех, которые находятся в исключении

"PolicyConfiguration": {
  "Policy": "AllUsersWithExceptions",
  "Exceptions": {
    "Domains": {
      "default": {
        "Groups": [
          "group1",
          "group2"
        ]
      }
    },
    "Users": [
      "userId"
    ]
  }
}

Проверка второго фактора у пользователей, которые находятся в списке исключений

"PolicyConfiguration": {
  "Policy": "NoOneWithExceptions",
  "Exceptions": {
    "Domains": {
      "default": {
        "Groups": [
          "group1",
          "group2"
        ]
      }
    },
    "Users": [
      "userId"
    ]
  }
}

Включение второго фактора у пользователя

Чтобы настроить подтверждение двухфакторной аутентификации через push-уведомление и OTP-код в приложении Контур.Коннект укажите:
```
"AuthenticationConfiguration": {
  "AllowedFactors": [
    "Connect"
  ]
}
```
Чтобы настроить подтверждение двухфакторной аутентификации через звонок укажите:
```
"AuthenticationConfiguration": {
  "AllowedFactors": [   
    "Call"
  ]
}
```
Чтобы настроить подтверждение двухфакторной аутентификации через СМС укажите:
```
"AuthenticationConfiguration": {
  "AllowedFactors": [
    "Sms"
  ]
}
```
Чтобы настроить подтверждение двухфакторной аутентификации с помощью нескольких факторов укажите:
```
"AuthenticationConfiguration": {
  "AllowedFactors": [
    "Connect",
    "Call",
    "Sms"
  ]
}
```
В этом случае приоритет подтверждения второго фактора следующий:
- Если настроено приложение Контур.Коннект, сотрудник подтвердит фактор через push-уведомление либо с помощью кода из СМС или ввода OTP-кода.
- Если у пользователя не настроено приложение Контур.Коннект, сотрудник подтвердит фактор через звонок или с помощью кода из СМС.
- Если у пользователя не настроено приложение Контур.Коннект и не привязан телефон, сотруднику необходимо будет пройти регистрацию.

Описание файла Keycloak

Конфигурация KeycloakServerConfiguration

Конфигурация API

Конфигурация политики запроса второго фактора

Конфигурация аутентификации

Примеры настройки

Конфигурация
KeycloakServerConfiguration