Конфигурация Keycloak и Git сервисов

Данный документ содержит описание требований платформы Graviton к Keycloak и Git сервисам.

Git

В конфигурации платформы указывается 5 переменных окружения связанных с git сервисом:

Более подробное описание переменных можно найти в документе “Описание компонент системы”.

Пользователь указанный в переменной VCS_USER должен иметь права на создание репозитория, либо права не ниже Maintainer внутри уже созданного репозитория, указанного в переменной VCS_URL

Keycloak

Требования к Keycloak realm’у указанному в переменной окружения OIDC_URL:

  1. В realm’е должен быть создан Client указываемый в переменной окружения OIDC_CLIENT_ID со следующими параметрами:
    1. Client Protocol - openid-connect
    1. Access Type - public
    1. В Valid Redirect URIs должен быть указан адрес платформы по следующему шаблону: (http|https)://<DOMAIN_NAME>/*
  1. Для возможности использования one-time-password должен быть созданы

Сценарий аутентификации

Защищённый секретом (confidential) клиент:

связанный с созданным сценарием аутентификации:

И наделённый следующими сервисными ролями:

  1. На nonprod окружениях должны быть созданы роли platform-admin и business-admin (на prod окружении только роль business-admin), для ролей должна быть добавлена Composite role Realm-admin как показано на скриншоте
  1. На nonprod окружениях должны быть созданы группы platform-admin и business-admin(на prod окружении только роль business-admin) с Role mapping к одноименным группам
  1. Должен быть создан пользователь Administrator состоящий в группах и ролях созданных в предыдущих пунктах