此亚马逊云科技解决方案有何用途?
通过此解决方案您可以快速在亚马逊云科技云上构建高可用架构的Keycloak集群,用以实现标准化的身份及访问控制系统。Keycloak 是一款开源的身份及访问控制软件,提供单点登录(SSO)功能,支持 OpenID Connect、OAuth 2.0、SAML 2.0 标准协议。Keycloak 提供可自定义的用户界面,用于登录,注册和帐户管理等。您可将其集成到现有的 LDAP 和 Azure Active Directory 服务器中,还可以将身份验证委派给第三方身份提供商。
亚马逊云科技解决方案概述
下图显示了本解决方案的架构图。您可以使用该解决方案的实施指南和随附的 Amazon CloudFormation 模板或以Cloud Development Kit(CDK)的方式进行自动部署。
- 在两个可用区部署的高可用架构;
- 根据 Amazon 最佳实践在 Amazon Virtual Private Cloud (Amazon VPC) 中配置了公有和私有子网进行资源隔离;
- 处在私有子网中的资源通过公有子网中的NAT网关连接到互联网,但不能接收来自互联网的未经请求的入站连接;
- 在私有子网中:
- 使用 Amazon Fargate 运行和扩展 Amazon ECS 容器工作负载;
- 使用 Application Load Balancer 负载均衡请求流量;
- 部署 Amazon Aurora Serverless MySQL-Compatible 或 Amazon Aurora MySQL-Compatible 数据库集群。
- 为 Amazon ECS 服务创建 IAM 角色;
- 通过 Amazon Secrets Manager 管理 Keycloak 控制台登录和数据库连接密钥;
- 通过 Amazon Certificate Manager (ACM) 将现有的证书应用到 Application Load Balancer 的域名上;
- 在 Amazon Route 53 中添加别名记录,用于访问Keycloak控制台。
功能特性
集成多种身份认证服务
此方案支持通过配置Keycloak来集成不同的身份认证服务,用户可通过第三方身份认证服务商提供的服务登录应用程序。
标准协议
此方案支持 OpenID Connect, OAuth 2.0 以及 SAML 2.0 标准协议。
自动化一键部署
通过 CloudFormation 模板,用户可以一键启动 Keycloak 集群在亚马逊云科技部署所需要的 VPC 网络环境,以及相应的计算、存储、数据库及其他必要资源,省去了您手动安装配置 keycloak 集群的时间。
