pas.plugins.oidc 1.0.0

将 Keycloak 设置为服务器

请参考Keycloak 文档获取最新指示。具体来说，这里我们将使用 Docker 镜像，因此请遵循在 Docker 上开始使用 Keycloak 的说明。这不会为您提供一个生产环境配置，但对于本地开发来说已经足够。

注意：Keycloak 默认在端口 8080 上运行。Plone 也使用相同的端口。当您阅读此文档时，您可能知道如何让 Plone 使用不同的端口。所以让我们让 Keycloak 使用其首选端口。在撰写本文时，这是启动 Keycloak 容器的方法：

docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:19.0.3 start-dev

插件可以与旧的（已弃用）Keycloak redirect_uri 参数一起使用。要使用此功能，您需要在插件配置中启用选项。要测试，可以运行带有 --spi-login-protocol-openid-connect-legacy-logout-redirect-uri=true 选项的 Keycloak 服务器。

docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin quay.io/keycloak/keycloak:19.0.3 start-dev --spi-login-protocol-openid-connect-legacy-logout-redirect-uri=true

注意：当您退出此容器时，它仍然存在，您可以重新启动它，这样您就不会丢失您的配置。使用 docker ps -a 查找容器的名称，然后使用 docker container start -ai <name>。

进一步遵循 Keycloak Docker 文档

• 打开Keycloak 管理控制台，确保您已以 admin 身份登录。

• 在左上角单击“master”，然后单击“创建领域”。

• 在“领域名称”字段中输入 plone。

• 单击“创建”。

• 在左上角单击“master”，然后单击“plone”。

• 在左侧菜单中单击“管理” -> “用户”。

• 单击“创建新用户”。

• 请记住在“凭证”选项卡中为此用户设置密码。

• 在另一个浏览器中检查您是否可以使用此用户登录到Keycloak 账户控制台。

在原始浏览器中，按照确保您第一个应用安全性的步骤进行。但我们将为 Plone 使用不同的设置。在我上次检查时，实际的用户界面与文档中的描述有所不同。因此

• 打开Keycloak 管理控制台，确保您已以 admin 身份登录。

• 在左上角单击“master”，然后单击“plone”。

• 在左侧菜单中单击“管理” -> “客户端”。

• 单击“创建客户端”

  • 客户端类型： OpenID Connect

  • 客户端 ID： plone

  • 将“始终在控制台显示”设置为“开”，适用于测试。

  • 单击“下一步”并单击“保存”。

• 现在您可以填写“设置” -> “访问设置”。我们将假设 Plone 在端口 8081 上运行

  • 根 URL： https://127.0.0.1:8081/Plone/

  • 主页 URL： https://127.0.0.1:8081/Plone/

  • 有效的重定向 URI： https://127.0.0.1:8081/Plone*

    提示：除非您知道自己在做什么，否则请保留其他设置不变。

• 现在您可以填写“设置” -> “能力配置”。

  • 将客户端认证设置为开启。这定义了OIDC客户端的类型。当开启时，OIDC类型设置为保密访问类型。当关闭时，设置为公开访问类型。

  • 点击保存。

• 现在您可以通过凭据 -> 客户端密钥访问，并点击复制的图标来复制它。这将在配置Plone插件时是必要的。

Keycloak配置完成！

设置Plone为客户端

• 在您的Zope实例配置中，确保Plone在8081端口运行。

• 确保使用pip或Buildout安装了pas.plugins.oidc。

• 启动Plone并创建一个ID为Plone的Plone站点。

• 在附加组件控制面板中，安装pas.plugins.oidc。

• 在ZMI中，转到https://127.0.0.1:8081/Plone/acl_users/oidc/manage_propertiesForm的插件属性

• 设置以下属性

  • OIDC/Oauth2 发行者: https://127.0.0.1:8080/realms/plone/

  • 客户端 ID： plone

    警告：此属性必须与Keycloak中设置的客户端ID匹配。

  • 客户端密钥: ••••••••••••••••••••••••••••••••

    警告：此属性必须与Keycloak中获取的客户端密钥匹配。

  • 使用已弃用的退出重定向URI url(/Plone/acl_users/oidc/logout)被选中。如果需要运行旧的Keycloak版本，请使用此选项。

  • 请求服务器的Open ID作用域：这取决于您使用Keycloak的版本以及那里可用的作用域。在较新的Keycloak版本中，您必须包括openid作为作用域。建议使用openid和profile。

  • 提示：除非您知道自己在做什么，否则请保留其他设置不变。

  • 点击保存。

Plone配置完成！

查看这个截图

警告

注意，在Keycloak 18之前，退出参数为redirect_uri，自18版起已弃用。但如果需要，Keycloak服务器可以使用redirect_uri运行，也可以启用插件中的旧版redirect_uri参数。问题是，如果插件中启用了已弃用的参数但服务器中没有启用，则插件将无法工作。

所以，这是它的工作方式

• 在Keycloak中启用了旧版redirect_uri参数时，插件以默认模式工作。

• 在Keycloak中启用了旧版redirect_uri参数时，插件也可以以旧版模式工作。

• 在Keycloak中禁用了旧版redirect_uri参数（自18版起默认值），插件以默认模式工作。

• 在Keycloak中禁用了旧版redirect_uri参数（自18版起默认值），插件不以旧版模式工作。

因此，对于Keycloak，如果Keycloak以旧版模式运行，则使用默认模式或旧版模式无关紧要。

备注

• 如果Keycloak中禁用了旧版redirect_uri参数，这是从Keycloak 18版以来的默认值，如Stack Overflow中的此评论所述： https://stackoverflow.com/a/72142887。

• 只有当在插件属性https://127.0.0.1:8081/Plone/acl_users/oidc/manage_propertiesForm中取消选中“使用已弃用的退出重定向URI url(/Plone/acl_users/oidc/logout)”选项时，插件才能正常工作。

登录

转到另一个浏览器，或者从Keycloak管理员控制台注销管理员用户。目前，Plone登录表单没有改变。

相反，为了测试，请访问插件的登录页面：https://127.0.0.1:8081/Plone/acl_users/oidc/login，这将带您到Keycloak进行登录，然后返回。如果您在Keycloak中设置了这些信息，现在应该已经登录到Plone，并看到全名和电子邮件。

注销

如果登录如预期那样工作，您可以尝试从Plone注销。目前，Plone注销表单没有改变。

相反，为了测试，请访问插件的注销页面：https://127.0.0.1:8081/Plone/acl_users/oidc/logout，这将带您到Keycloak注销，然后返回到注销后的重定向URL。