Retour d'expérience sur la mise en place de #Keycloak haute disponibilité au sein de services SaaS. MeetUP: https://www.meetup.com/sacreetech/

1. Mickaël HUBERT - Ingénieur VoIP

2. Retour d’expérience sur la mise en
place d’un SSO open-source

3. SSO, c’est quoi ?

4. SSO, Single Sign-On
“Une seule connexion”
Mécanisme permettant d'accéder à de nombreuses
applications en ne s’identifiant qu’une seule fois

5. Méthodes pour se loguer

6. source: https://ja.confluence.atlassian.com
OpenID-Connect

7. Tokens retournés
{
"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJ6
Szd2T1dZR0tNdkdNZFBWaEdieGJ6REN6VFR2aXRWekVESURQVWxad1gwIn0.eyJleHAiOjE2
NjMwODIyNTAsImlhdCI6MTY2MzA4MTk1MCwiYXV0aF90aW1lIjoxNjYzMDgxOTQ5LCJqdGki
OiI2Mjlm…",
"expires_in":300,
"refresh_expires_in":1800,
"refresh_token":"eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI
2Y2EwMjdlMS1lNzFhLTQyMTgtOTNkMy1kZDZlMDE5MDMwZDEifQ.eyJleHAiOjE2NjMwODM3
NTAsImlhdCI6MTY2MzA4MTk1MCwianRpIjoiM2Y3ZDQ4MzItNjZiMi00YjgxLWE0MTMtMzBk
ZjY4…",
"token_type":"Bearer",
"id_token":"eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJ6Szd2
T1dZR0tNdkdNZFBWaEdieGJ6REN6VFR2aXRWekVESURQVWxad1gwIn0.eyJleHAiOjE2NjMw
ODIyNTAsImlhdCI6MTY2MzA4MTk1MCwiYXV0aF90aW1lIjoxNjYzMDgxOTQ5LCJqdGkiOiJl
ZjExNTQ3Mi1lNGRmLTQ4ZjktODc4MS1lYmMwZTI4Nzk1MTkiLCJpc3MiOiJodHRwczov…",
"session_state":"164cb0cf-d601-4cc7-8d9d-26afc159ea79",
"scope":"openid profile email"
}

8. JWT
source: https://research.securitum.com/jwt-json-web-token-
security/

9. Pour quoi faire ?
(chez Allo-Media)

10. L’existant
H2H H2B SFTP
VOIP
Ex|Intranets MRCP
L’internet
SIPREC

11. Besoins:
- Connexion à nos outils en passant par le SSO d’un de nos gros clients
- Centralisation des comptes utilisateurs (internes / externes)
- Standardiser tout en sécurisant l’accès à nos divers Extranets / API
- Ne pas maintenir une solution d’authentification "ad hoc" par API
- Eviter la redondance de code dans les appli
- Alléger le code

12. - Étude de solutions payantes SAAS (Auth0, Okta, Azure, etc…)
- Bien trop chères pour nos finances
- SLA uniquement sur les offres Enterprise (plus onéreuses)
- Manque de fonctionnalités sur les offres entrée de gamme
- Étude de solutions on premise
- Mise en place d’un proto de Keycloak, prise en main du produit
Comment ?
- Pas de frais de licence != gratuit !
- Souplesse du produit (ajout de endpoints, modification du fonctionnement)
- Communauté
- Intégration 100% interne (en France)
- Maîtrise 100% interne
Pourquoi l’open-source ?

13. Keycloak
- Realms
- Clients (applications)
- Scopes
- Roles
- Identity providers
- User federation (LDAP)
- Groups
- Brute force detection
- Users
- User registration
- Verify email
- Edit username
- Remember me
- Internationalization
- Theme
- Password policy
- OTP

14. Côté infra ?
- Faciliter le déploiement (Ansible)
- Sécurisation de l’outil (ouvert sur L’internet)
- Redondance (double data center)
- Faciliter l’exploitation des logs (Graylog)
- Faciliter l’exploitation des métriques (Prometheus + Grafana)
- Développement de script de monitoring (Icinga2)

15. Faciliter
le
déploiement
DEV
+
+

16. Faciliter
le
déploiement Staging /
Production

17. Sécurité # Extrait de configuration HaProxy
# Blocage de certains endpoints
acl acl_1 path_beg /js/ /realms/ /resources/ /robots.txt
acl acl_2 path_beg /realms/master
acl acl_3 path_reg -i ^/realms/.*/health/check.*
acl acl_4 path_reg -i ^/realms/.*/metrics
http-request deny if acl_2
http-request deny if acl_3
http-request deny if acl_4
http-request allow if acl_1
http-request deny
https://id.monsso.fr/js/keycloak.js
https://id.monsso.fr/realms/master
https://id.monsso.fr/realms/client1/protocol/
http://id.monsso.fr/realms/client1/metrics/

18. Redondance

19. Faciliter
l’exploitation
des
logs
– (quarkus-logging-gelf) →

20. Faciliter
l’exploitation
des
métriques
– (keycloak-metrics-spi) → +

21. Développement
de
script
de
monitoring
– (keycloak-health-checks) →
{
"name": "keycloak",
"state": "UP",
"details": {
"database": {
"connection": "established",
"state": "UP"
},
"filesystem": {
"freebytes": 37773889536,
"state": "UP"
},
"infinispan": {
"hostInfo": {
"numberOfCpus": 2,
"totalMemoryKb": 197632,
"freeMemoryInKb": 61581
},
"clusterName": "allocluster",
"healthStatus": "HEALTHY",
"numberOfNodes": 2,
"nodeNames": [
"keycloak-1-2120",
"keycloak-2-28633"
],
"cacheDetails": [
{
"cacheName": "realms",
"healthStatus": "HEALTHY"
},
{
"cacheName": "authenticationSessions",
"healthStatus": "HEALTHY"
},
…

22. Côté appli ?
- H2H (Humain 2 Humain)
- Websocket
- Elixir
- Temps réel
- Client type confidential (client_id / client_secret)
- Utilisation de JWKS (mise en cache des clés publiques)
- Réception d’audio long / transcription / enrichissement / retourne le texte en json
- H2B (Humain to bot) ⇒ == MRCP
- Websocket
- Rust
- Temps réel
- Client type confidential (client_id / client_secret)
- Utilisation de JWKS (mise en cache des clés publiques)
- Réception d’audio très court / transcription / builtin / retourne le texte en json

23. Côté appli ?
- Extranets (front)
- Vue JS
- Client type public (username / password)
- Utilisation de JWKS (mise en cache des clés publiques)
- problèmes actuels
- Multi realm → demande de l’email dès le départ, afin de router la demande
d’authentification au bon ID provider
- Problème dans la lib JS de Keycloak avec la dernière version de Firefox

24. Côté appli ?
- API Back
- Python (django)
- Client type confidential (client_id / client_secret)
- Utilisation de JWKS (mise en cache des clés publiques)
- Echange d’informations avec le front (transcriptions, tags, audio, etc …)

25. Benchmark
- Outil dédié: https://github.com/keycloak/keycloak-benchmark
- Déjà beaucoup de scénarios de tests
exemples :
- keycloak.scenario.authentication.ClientSecret
- keycloak.scenario.authentication.LoginUserPassword
- keycloak.scenario.admin.CreateUsers
- keycloak.scenario.authentication.AuthorizationCode

26. Benchmark
- Résultats CLI avec 300 users simultanés et en moyenne 407 requêtes / s:
Simulation keycloak.scenario.authentication.ClientSecret completed in 36 seconds
Parsing log file(s)...
Parsing log file(s) done
Generating reports...
================================================================================
---- Global Information --------------------------------------------------------
> request count 15092 (OK=15092 KO=0 )
> min response time 67 (OK=67 KO=- )
> max response time 5902 (OK=5902 KO=- )
> mean response time 663 (OK=663 KO=- )
> std deviation 214 (OK=214 KO=- )
> response time 50th percentile 685 (OK=685 KO=- )
> response time 75th percentile 745 (OK=745 KO=- )
> response time 95th percentile 844 (OK=844 KO=- )
> response time 99th percentile 935 (OK=935 KO=- )
> mean requests/sec 407.892 (OK=407.892 KO=- )
---- Response Time Distribution ------------------------------------------------
> t < 800 ms 13426 ( 89%)
> 800 ms < t < 1200 ms 1635 ( 11%)
> t > 1200 ms 31 ( 0%)
> failed 0 ( 0%)
================================================================================
Reports generated in 0s.
Please open the following file: /home/mhubert/…/keycloak-benchmark/keycloak-benchmark-0.8-SNAPSHOT/results/clientsecret-
20220916135435056/index.html
Global: percentage of failed events is less than or equal to 0.0 : true
Global: mean of response time is less than or equal to 300.0 : false

27. Benchmark
- Résultats GUI:

28. Benchmark
- Résultats GUI:

29. Benchmark
- Résultats GUI:

30. Au final
H2H H2B SFTP
VOIP
Ex|Intranets MRCP
L’internet
SIPREC
SSO possible LDAP ?

31. Ce qu’il reste à faire
A court terme:
- Mettre en prod
- Tester plus en profondeur la sécurité et la robustesse (par nous-même)
- https://research.securitum.com/jwt-json-web-token-security/
- 1 journée / mois bug bounty
A moyen terme:
- Intégrer LDAP
- Marque blanche / autonomie de nos clients (client_registration)
- Ex: s’inscrire et obtenir 1H de service gratuit (reco, enrich, etc …)

32. For more informations : uh.live
Thanks for watching
https://github.com/Mickaelh51
https://fr.linkedin.com/in/sipengineer
On recrute:
https://uh.live/fr/backend-job