Keycloak – Hiện Thực Hóa Kiến Trúc IAM Trong Hệ Thống Microservices

Khi một hệ thống chuyển dịch từ Monolith sang Microservices, việc quản lý xác thực (Authentication) và ủy quyền (Authorization) trở nên cực kỳ phức tạp. Keycloak đóng vai trò là một trung tâm điều phối (Orchestrator), đảm bảo các nguyên lý an toàn thông tin được thực thi nhất quán trên toàn bộ hạ tầng.

1. Ánh xạ các thực thể định danh trong Keycloak

Để triển khai kiến trúc IAM, Keycloak sử dụng các khái niệm quản lý phân cấp, cho phép cô lập dữ liệu và chính sách:

• Realms: Là thực thể cao nhất trong Keycloak, đại diện cho một không gian quản lý độc lập. Mỗi Realm sở hữu bộ người dùng, cấu hình xác thực và phân quyền riêng. Đây là cách Keycloak hiện thực hóa tính năng Multi-tenancy.

• Clients: Đại diện cho các ứng dụng hoặc dịch vụ yêu cầu xác thực. Trong Microservices, mỗi dịch vụ thường được đăng ký là một OIDC Client.

• Roles & Groups: Công cụ để thực thi mô hình RBAC (Role-Based Access Control). Keycloak phân tách rõ ràng giữa Realm Roles (quyền hạn toàn cục) và Client Roles (quyền hạn đặc thù cho từng dịch vụ).

2. Vận hành Giao thức OIDC và OAuth 2.0

Keycloak không chỉ hỗ trợ mà còn chuẩn hóa cách thức các giao thức này hoạt động trong môi trường phân tán.

Luồng Authorization Code với Keycloak

Đây là luồng an toàn nhất được khuyến nghị cho các ứng dụng web và di động:

1. Chuyển hướng: Ứng dụng (Client) chuyển hướng người dùng đến Keycloak Login Page.

2. Xác thực: Người dùng cung cấp bằng chứng (Credentials) trực tiếp cho Keycloak.

3. Cấp mã: Keycloak trả về một Authorization Code ngắn hạn.

4. Trao đổi Token: Client gửi mã này (kèm theo Secret) qua một kênh an toàn (Back-channel) để nhận bộ ba Token: Access Token, ID Token và Refresh Token.

3. Ứng dụng Mật mã học trong Keycloak Token

Dựa trên nền tảng mật mã học ở Kỳ 2, Keycloak sử dụng JWT (JSON Web Token) làm định dạng chính cho các Token.

• Cơ chế ký số (Signing): Keycloak sử dụng cặp khóa RSA (mặc định) để ký vào JWT. Phần Payload chứa các "Claims" (như preferred_username, roles).

• Xác thực Offline: Các Microservices không cần gọi điện lại Keycloak cho mỗi Request. Chúng chỉ cần lấy Public Key của Keycloak (qua điểm cuối /certs) để xác minh chữ ký của JWT. Điều này giúp hệ thống đạt được tính Stateless và giảm thiểu độ trễ.

4. Khả năng tích hợp và mở rộng (Identity Federation)

Keycloak đóng vai trò là một "Broker" giữa người dùng và các nguồn dữ liệu định danh khác nhau:

• User Federation: Keycloak có thể kết nối và đồng bộ hóa dữ liệu từ các kho lưu trữ sẵn có như LDAP hoặc Active Directory.

• Identity Brokering: Cho phép người dùng đăng nhập thông qua các Identity Provider bên thứ ba (Google, Facebook, hoặc các IdP doanh nghiệp khác qua SAML/OIDC).

5. Vai trò của Gateway và Policy Enforcement Point (PEP)

Trong kiến trúc Microservices, Keycloak thường được kết hợp với một API Gateway. Gateway đóng vai trò là PEP:

1. Gateway chặn mọi Request gửi đến hệ thống.

2. Nó kiểm tra tính hợp lệ của JWT với Keycloak (hoặc xác thực offline).

3. Gateway bóc tách thông tin định danh từ Token và chuyển tiếp vào các dịch vụ nội bộ dưới dạng các Headers an toàn.

Kết luận

Keycloak là sự kết tinh của các tiêu chuẩn bảo mật hiện đại. Nó biến các lý thuyết toán học phức tạp của mật mã học và các quy trình nghiêm ngặt của giao thức OIDC thành một công cụ có thể cấu hình và vận hành ổn định. Việc sử dụng Keycloak không chỉ giúp giảm thiểu rủi ro bảo mật mà còn tạo ra một nền tảng định danh vững chắc, cho phép hệ thống mở rộng không giới hạn mà vẫn duy trì được sự kiểm soát tập trung.