realm-management trên realm mục tiêu.
Nền tảng được hỗ trợ
| Nền tảng | Hỗ trợ |
|---|---|
| Keycloak tự host | Tất cả phiên bản |
| Phase Two | Dịch vụ Keycloak được quản lý |
Điều kiện tiên quyết
- Một realm Keycloak mà bạn muốn CloudThinker kiểm tra.
- Quyền admin để tạo client bảo mật và gán service-account roles —
kcadm.sh(tự host) hoặc realm console (Phase Two). - Base URL và tên realm của realm.
Kết nối được phạm vi hóa theo các role bạn cấp cho service account
cloudthinker-svc. Hãy gán các role realm-management có đặc quyền tối thiểu đáp ứng nhu cầu của CloudThinker.Thiết lập
Cả hai cách đều tạo ra cùng một artifact: một client bảo mậtcloudthinker-svc với các role realm-management trên service account. Tự host dùng kcadm.sh; Phase Two dùng realm console.
- Keycloak tự host
- Phase Two
Cung cấp client bằng Sử dụng các role hẹp hơn (ví dụ:
kcadm.sh, CLI admin của Keycloak. Chạy từ bất kỳ shell nào có sẵn công cụ này.Gán realm-management roles
view-realm, view-users) nếu bạn muốn đặc quyền tối thiểu.Thêm kết nối trong CloudThinker
Điều hướng đến Connections → Keycloak và nhập:
- KEYCLOAK_URL:
http://<host-ip>:8080 - KEYCLOAK_REALM: tên realm của bạn
- KEYCLOAK_CLIENT_ID:
cloudthinker-svc - KEYCLOAK_CLIENT_SECRET: secret từ bước trước
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| KEYCLOAK_URL | Base URL của Keycloak | http://<host-ip>:8080 |
| KEYCLOAK_REALM | Tên realm mục tiêu | my-realm |
| KEYCLOAK_CLIENT_ID | Client ID của service account | cloudthinker-svc |
| KEYCLOAK_CLIENT_SECRET | Client secret từ bước credentials | — |
Quyền bắt buộc
Service accountcloudthinker-svc cần các role realm-management trên realm mục tiêu. Các role phổ biến:
| Role | Mục đích |
|---|---|
view-realm | Đọc cài đặt realm |
view-users | Liệt kê và kiểm tra người dùng |
view-clients | Liệt kê và kiểm tra client |
query-users, query-clients, query-groups | Chạy các truy vấn tra cứu |
manage-users, manage-clients, manage-realm | Thực hiện thay đổi (chỉ gán khi cần) |
Khả năng của agent
Sau khi kết nối, Oliver có thể:| Khả năng | Mô tả |
|---|---|
| Kiểm tra realm | Xem xét cài đặt và cấu hình realm |
| Kiểm toán client | Liệt kê client, xem xét flow và cài đặt authorization |
| Quản lý người dùng | Xem người dùng, phiên làm việc và trạng thái credentials |
| Xem xét role và group | Kiểm tra role, composite và cấu trúc phân cấp group |
| Phân tích quyền truy cập | Xác định service account có đặc quyền thừa và client không còn dùng |
Xác minh kết nối
Ví dụ prompt
Khắc phục sự cố
401 Unauthorized
401 Unauthorized
403 Forbidden trên thao tác realm
403 Forbidden trên thao tác realm
- Service account thiếu role
realm-managementbắt buộc cho thao tác đó - Tự host: chạy lại
add-rolesvới role còn thiếu - Phase Two: kiểm tra lại cả hai trang của danh sách gán role
Không thể tiếp cận Keycloak URL
Không thể tiếp cận Keycloak URL
- Tự host: xác nhận base URL khớp với hostname Keycloak của bạn
- Phase Two: sao chép URL chính xác từ trường Details → Host của realm
Client secret trống
Client secret trống
- Client phải là bảo mật —
publicClient=false(tự host) hoặc Client authentication được bật (Phase Two) - Client công khai không có secret
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Client riêng biệt — sử dụng
cloudthinker-svclàm client service-account riêng biệt, không dùng chung client admin. - Xoay vòng secret — định kỳ xoay vòng client secret qua tab Credentials.
Liên quan
Oliver Agent
Agent bảo mật và tuân thủ
Tổng quan kết nối
Tất cả kết nối hiện có