Podman

开始在 Podman 上使用 Keycloak

开始之前

请确保您的机器或容器平台能够为 Keycloak 的预期使用提供足够的内存和 CPU。有关如何开始进行生产环境容量规划的更多信息,请参阅CPU 和内存资源容量规划概念

请确保您已安装 Podman。

启动 Keycloak

从终端输入以下命令以启动 Keycloak

podman run -p 8080:8080 -e KC_BOOTSTRAP_ADMIN_USERNAME=admin -e KC_BOOTSTRAP_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:26.2.0 start-dev

此命令启动 Keycloak,并将其暴露在本地端口 8080 上,同时创建一个初始管理员用户,用户名和密码均为 admin

登录到管理控制台

  1. 访问 Keycloak 管理控制台

  2. 使用您之前创建的用户名和密码登录。

创建 realm

在 Keycloak 中,realm 相当于一个租户(tenant)。每个 realm 允许管理员创建隔离的应用和用户组。最初,Keycloak 包含一个名为 master 的 realm。仅使用此 realm 管理 Keycloak,而不要用于管理任何应用程序。

使用以下步骤创建第一个 realm。

  1. 打开 Keycloak 管理控制台

  2. 单击 当前 realm 旁边的 创建 Realm

  3. Realm name 字段中输入 myrealm

  4. 单击 创建

Add realm
图 1. 添加 realm

创建用户

最初,realm 中没有用户。使用以下步骤创建一个用户

  1. 确认您仍然在 当前 realm 旁边的 myrealm realm 中。

  2. 单击左侧菜单中的 用户

  3. 单击 创建新用户

  4. 使用以下值填写表单

    • 用户名: myuser

    • 名字: 任意名字

    • 姓氏: 任意姓氏

  5. 单击 创建

Create user
图 2. 创建用户

此用户需要密码才能登录。要设置初始密码

  1. 单击页面顶部的 凭据

  2. 设置密码 表单中填写密码。

  3. 临时 切换为 关闭,以便用户在首次登录时无需更新此密码。

Set password
图 3. 设置密码

登录到账户控制台

您现在可以登录到账户控制台以验证此用户配置正确。

  1. 打开 Keycloak 账户控制台

  2. 使用 myuser 和您之前创建的密码登录。

作为账户控制台中的用户,您可以管理您的帐户,包括修改您的个人资料、添加双因素身份验证以及添加身份提供商帐户。

Keycloak Account Console

保护第一个应用程序

要保护第一个应用程序,首先需要向您的 Keycloak 实例注册该应用程序

  1. 打开 Keycloak 管理控制台

  2. 单击 当前 realm 旁边的 myrealm

  3. 单击 客户端

  4. 单击 创建客户端

  5. 使用以下值填写表单

    • 客户端类型: OpenID Connect

    • 客户端 ID: myclient

      Add client
      图 4. 添加客户端
  6. 单击 下一步

  7. 确认已启用 标准流程

  8. 单击 下一步

  9. 登录设置 下进行这些更改。

    • 有效重定向 URI 设置为 https://keycloak.java.net.cn/app/*

    • Web origins 设置为 https://keycloak.java.net.cn

  10. 单击 保存

Update client
图 5. 更新客户端]

要确认客户端已成功创建,您可以使用 Keycloak 网站上的 SPA 测试应用程序。

  1. 打开 https://keycloak.java.net.cn/app/

  2. 单击 保存 以使用默认配置。

  3. 单击 登录 以使用您之前启动的 Keycloak 服务器对此应用程序进行身份验证。

下一步

在生产环境中运行 Keycloak 之前,请考虑以下操作

  • 切换到生产就绪的数据库,例如 PostgreSQL。

  • 使用您自己的证书配置 SSL。

  • 将管理员密码更改为更安全的密码。

有关更多信息,请参阅服务器指南

本页内容