Authentifizieren und Autorisieren von Benutzern und Gruppen mit Keycloak

Die Authentifizierung und Autorisierung von Benutzern und Gruppen in edoc platform wird zentral mittels Keycloak gesteuert. Bei Keycloak handelt es sich um eine Open-Source-Software als zentrales Identität- und Zugriffsverwaltung (Identity and Access Management) mit der Option für die Single-Sign-On (SSO)-Anmeldung.

Keycloak wird beim Installieren von edoc platform als Container bereitgestellt und kann an diverse externe Authentifizierungssysteme, z.B. LDAP oder OpenID Connect, angebunden werden oder auch als eigenständige Identität- und Zugriffsverwaltung betrieben werden.

Die Kommunikation mit edoc agent erfolgt mithilfe des Benutzers edoc_agent. Dieser Benutzer spielt eine zentrale Rolle bei der Interaktion zwischen Keycloak und edoc platform.

Die Verwaltung der Berechtigungen erfolgt durch definierte Rollen. Die Rolle admin hat eine Sonderstellung im Rollenkonzept, da diese Rolle erweiterte Rechte und Zugriffsprivilegien besitzt, die über Rechte und Privilegien der regulären Benutzer hinausgehen.

Der Zugriff auf die Dienste erfolgt über den Endpunkt /auth, der als zentraler Zugangspunkt für die Benutzer dient.