Keycloak

Eclipse Che依靠Keycloak来创建、导入、管理、删除和验证用户及相关内容。Keycloak自身使用自己的身份验证机制和用户存储。当用户登录Che时，Keycloak会返回给Che一个令牌。

Keycloak支持单独创建和验证用户，也可以依赖第三方身份管理系系统以及社交账号来验证（如：Twitter、Github等）。

请注意，所有类型的用户（本地或从第三方导入）都需要设置邮件地址字段。Che无法与其个人资料中没有电子邮件的用户建立登录关系。

初始Keycloak的登录账号与密码均为admin。如果你是使用Docker安装的Che，则Keycloak会默认安装并完成初始化配置，访问地址为$CHE_HOST:5050/auth。否则，您可以在OpenShift Web console > keycloak namespace（部署了OpenShift的情况下）中找到您的Keycloak URL 。管理员用户也是具有系统范围权限的预定义Che用户。因此，您可以无需注册并直接使用相同的账号密码作为管理员账号登录Che（您也可以另行创建新的具有管理员权限的账号）。

登录

输入$CHE_HOST:5050/auth进入Keycloak页面。首页中分别有五个选项，选择Administration Console进入Keycloak控制台登录页面，输入账号密码后，进入到Keycloak控制台首页

用户信息

Manage account

首次登录Keycloak，强烈建议您修改管理员的密码，您可以通过点击右上角username > Manage account来管理你个人的账号信息

Account选项卡用来编辑用户的基本信息，包括：Email-邮件地址、First name-名字、Last name-姓氏

Password选项卡用来修改当前用户的登录密码，包括：Password-当前登录密码、New Password-新登录密码、Confirmation-确认新密码

Authenticator选项卡用来绑定手机上的二次身份的验证器，绑定后每次登录Keycloak后台都需要进行二次身份验证

操作步骤

1. 在手机上下载二次身份验证器，官方推荐：FreeOTP与Google Authenticator，也可使用其他验证器，这里选用Google Authenticator
2. 打开app，选择下方开始设置 > 扫描条形码并扫描页面上的二维码
   
3. 将APP显示的六位密码输入页面上One-time code一览，点击save保存。
   

sessions选项卡以列表的形式展示了当前用户登录的所有会话，您可以点击Log out all sessions按钮退出所有的会话

Applications选项卡展示了当前用户可以访问的在Keycloak控制下的应用以及对应的权限与功能，并可点击超链接快速跳转到对应的应用

Server Info

Server Info展示了当前运行Keycloak服务器的状况以及Keycloak自身的状况

Info

Info选项卡展示了当前运行Keycloak服务器的各项状态

Providers

Providers选项展示了Keycloak提供的各项服务

域管理

在选项区域的最上一个选项就是当前正在配置的域，在Keycloak中，其所管理的应用被称为域，默认有两个域：Che、Master，前者是Eclipse Che的域，后者是Keycloak的主域。故而，本文中的所有操作都是在Che域下进行操作的。

域设置

Realm Settings用来设置域的全局属性等内容

通用设置-General

General选项用来设置域中的一些通用内容，包括：

• Name：域名称
• Display name：显示的名称
• HTML Display name：HTML中显示的名称
• Enabled：是否启用该域
• Endpoints：端口配置
  

登录设置-Login

Login选项用来设置用户的登录注册相关权限，包括：

• User registration：是否显示注册页面，关闭后登陆页将不显示注册链接与注册页面。该选项不影响第三方新用户登录以及老用户登录
• Email as username：是否使用Email作为用户名。如果启用，则注册页面将不会显示用户名字段，Email将会作为用户名使用
• Edit username：是否可修改用户名。如果启用，则在用户信息界面可修改用户名，否则该字段为只读不可修改
• Forgot password：是否启用忘记密码功能。如果启用，将会在登录页面显示一个链接，使忘记密码的用户可以自主找回密码
• Remember Me：是否允许记住登录信息。如果启用，用户登录界面可以选择是否记住登录信息
• Verify email：是否需要验证邮箱。如果启用，新用户注册完成后第一次登录时将会要求验证邮箱
• Login with email：是否可以使用邮箱登录。如果开启，除了使用用户名外还可以用邮箱号登录

• Require SSL：指定需要SSL验证的链接请求

  • none：全部不验证
  • all requests：验证所有请求
  • external requests：仅验证外部请求

密钥设置-Keys

Keys选项卡展示了当前Keycloak使用的加密协议的密钥，如RSA、AES等密钥信息

邮件发送设置-Email

Email选项设置发送邮件的邮箱参数，系统将会用该配置的邮箱向用户邮箱发送邮件信息，需要填写的字段包括：

• Host：SMTP服务器地址
• Port：SMTP端口
• From Display Name：发件人名称
• From：发件邮箱地址
• Reply To Display Name：回复邮件时显示的名称
• Reply To：回复邮件的地址