Einfaches Single Sign-On für die Liechtensteinische Landesverwaltung

Drei Länder – ein Projekt: Für die Liechtensteinische Landesverwaltung (LLV) entwickelten Puzzle Schweiz und Puzzle Deutschland im Jahr 2019 das Setup für ein Anmeldesystem auf Basis der Open-Source-Software Keycloak.

 

Aus den Anforderungen der Liechtensteinische Landesverwaltung (LLV) resultierte eine Lösung für Single Sign-on (SSO) auf Basis von Keycloak. Dieses SSO sollte sowohl Skalierbarkeit als auch Ausfallsicherheit durch die Verteilung auf zwei Rechenzentren gewährleisten. Bei den Anwendungen – den Clients der Keycloak-Infrastruktur – handelt es sich neben der Standard-Software auch um hauseigene Entwicklungen auf Basis von Java und JavaScript. Diese werden über das Authentisierungsprotokoll OpenID Connect (OIDC) an Keycloak angebunden. Aber auch der alternative SAMLv2-Standard sollte unterstützt werden. Neben der reinen Authentisierung der Nutzenden stellen auch deren Berechtigungen ein wichtiges Thema dar. Konkret sollte Keycloak dazu Nutzer- und Gruppeninformationen aus dem Active Directory der LLV nutzen und diese auf Rollen für die Anwendungen abbilden.

Puzzle setzte drei Umgebungen mit identischen Parametern auf (TEST, ACCEPT und PROD). Die Schritte für Installation und Konfiguration wurden mit dem Automatisierungs-Tool Ansible durchgeführt, was auch zukünftige Wartungsarbeiten erleichtern sollte.

„Der konsequente Einsatz offener Technologien wie Keycloak und Ansible hat es uns erlaubt, eine massgeschneiderte Lösung zu entwerfen, ohne auf Flexibilität zu verzichten. Auch für künftige Anpassungen und Erweiterungen ist die LLV so bestens gerüstet.“

Ramon Spahr, Software Architect bei Puzzle ITC

 

Nachdem die Entwickelnden der LLV eigenständig verschiedene Java- und JavaScript-Anwendungen integriert hatten, ging es um das Testen der Lösung. Dazu hat Puzzle verschiedene Failover-Szenarien erarbeitet, diese getestet und die Ergebnisse im Betriebshandbuch dokumentiert.

Wie es sich für Open-Source-Projekte gehört, haben LLV und Puzzle auch einen Beitrag zur Verbesserung geleistet: die Kerberos-Integration zeigte ein kleines Fehlverhalten, für das Puzzle einen Fix entwickeln konnte. Der entsprechende Patch ist zwischenzeitlich auch in die offiziellen Code-Repositories von Keycloak zurückgeflossen.

Mai 2019 – August 2019
Keycloak, Java, Javascript, Ansible
Single Sign-On, Keycloak, Verwaltung


Die Liechtensteinische Landesverwaltung (LLV) untersteht der Regierung und beschäftigt rund 1100 Mitarbeitende. Das Amt für Informatik ist der zentrale und interne IT-Dienstleister der LLV.
www.llv.li