Credentials Management am Beispiel von Keycloak
Die sichere und konforme Verwaltung von geheimen Anmelde-Daten („Credentials“) ist ein zentraler Punkt zahlreicher Verfahrens- und Härtungsleitlinien. Ein Spannungsfeld tritt auf, wenn moderne Methoden der Entwicklung und des Betriebs von Software (Continuous Deployment, agentische Workflows, MCP-Authentifizierung u.a.) zum Einsatz kommen, die oft einen hohen
Automatisierungsgrad aufweisen. Identitäts-bezogene Credentials – noch dazu mit kurzen oder sehr kurzen Laufzeiten – werden dabei zur Herausforderung.
Der Identity Provider Keycloak bietet die Möglichkeit, Authentifizierungsabläufe („Authentication Flows“) präzise und flexibel zu gestalten, und ihm kommt bei der Umsetzung solcher Anforderungen eine zentrale Rolle zu.
In diesem Vortrag werden anhand von praxisorientierten Darstellungen die technischen Möglichkeiten dafür beleuchtet:
- Technischer Überblick über die Rolle von Credentials in Keycloak, Betrachtung von bestimmten Token-Typen (Access-Token, Offline-Token u.a.) und deren Risikobewertung
- Best-Practises beim Einsatz einer Keycloak-Authentifizierung für Gatekeeper-Komponenten wie Control Planes und API-Gateways
- Federated Client Authentication mit SPIFFE
Vorkenntnisse
Dieser Vortrag richtet sich an Cloud-Architekten, Operations-Engineers und alle Interessenten, die den Keycloak-IdP in Cloud-Umgebungen zum Beispiel mit Kubernetes konform und sicher betreiben möchten. Grundkenntnisse von Keycloak sind empfehlenswert.
Lernziele
- Credential- und Token-Typen in Keycloak verstehen und bewerten
- Best Practices für die Authentifizierung von Gatekeeper-Komponenten kennenlernen
- Einsatzmöglichkeiten von SPIFFE-basierter Federated Client Authentication verstehen