Zum Inhalt

Multi-Faktor-Authentifizierung im Browser-Flow konfigurieren

Ziel

In dieser Aufgabe passen Sie den Browser-Flow in Keycloak an. Sie kopieren den bestehenden Flow, hängen ihn an die Account-Konsole und modifizieren ihn. Zunächst konfigurieren Sie den Flow so, dass als verpflichtender zweiter Faktor One-Time-Passwords (OTPs) genutzt werden. In einem zweiten Schritt erweitern Sie den Flow, sodass der Benutzer zwischen OTPs und WebAuthn Tokens als zweiten Faktor wählen kann.

Hilfsmittel

  • Versuchen Sie, die unten stehenden Aufgaben mit Hilfe der Folien eigenständig zu lösen.
  • Sollten Sie dabei Probleme haben, finden Sie bei jeder Aufgabe einen ausklappbaren Block, in dem der Lösungsweg beschrieben wird.

Aufgabe 1 - Browser-Flow kopieren und an die Account-Konsole anhängen

  • Wechseln Sie in den Master-Realm
  • Wechseln Sie in der Keycloak-Admin-Konsole zum Menüpunkt Authentication.
  • Duplizieren Sie den Browser-Flow
Lösung (Klicken Sie auf den Pfeil, falls Sie nicht weiterkommen)
  • Navigieren Sie zu Authentication > Flows.
  • Wählen Sie den Flow Browser aus und klicken Sie auf Duplicate unter Actions rechts oben.
  • Geben Sie als Namen Account-Browser-2FA ein.
  • Konfigurieren Sie die Account-Konsole so, dass sie den duplizierten Browser-Flow verwendet
Lösung (Klicken Sie auf den Pfeil, falls Sie nicht weiterkommen)
  • Navigieren Sie zu Clients > account-console.
  • Im Tab Advanced finden Sie ganz unten Authentication flow overrides
  • Wählen Sie für Browser Flow den duplizierten Flow aus
  • Speichern Sie.

Aufgabe 2 - OTP als verpflichtenden zweiten Faktor konfigurieren

2.1: Flow konfigurieren

  • Öffnen Sie den Flow Account-Browser-2FA in Authentication > Flows.
  • Modifizieren Sie den Flow so, dass beim Login das OTP Form verpflichtend ist.
Lösung (Klicken Sie auf den Pfeil, falls Sie nicht weiterkommen)

2.2: Flow testen

  • Testen Sie den Login:
    • Rufen Sie die Login-Seite des Realms (Account-Konsole) auf.
    • Melden Sie sich an und überprüfen Sie, ob nach Eingabe der regulären Anmeldedaten zwingend ein OTP eingegeben werden muss.

Aufgabe 3 - Flexiblen zweiten Faktor konfigurieren

3.1: Vorhandenen OTP-Schritt ersetzen

  • Öffnen Sie erneut den Flow Account-Browser-2FA.
  • Entfernen oder deaktivieren Sie den bisherigen, verpflichtenden OTP-Schritt.
  • Modifizieren Sie den Flow so, dass der Nutzer mehrere Alternativen als zweiten Faktor angeboten bekommt.
    • OTP-Form
    • WebAuthn Authenticator
    • Password Form (falls kein WebAuthn Token vorhanden ist; führt zu einer zweiten Passworteingabe)
Lösung (Klicken Sie auf den Pfeil, falls Sie nicht weiterkommen)

3.2: Flow testen

  • Testen Sie den Login:
    • Rufen Sie die Login-Seite des Realms (Account-Konsole) auf.
    • Melden Sie sich an und überprüfen Sie, ob nach Eingabe der regulären Anmeldedaten zwingend ein OTP eingegeben werden muss.