Haal meer uit Keycloak met de admin CLI, REST API en plug-ins

Automatiseren met de admin CLI
Handmatig klikken in een User Interface? Hoeft niet. Keycloak biedt een krachtige admin CLI. Daarmee kun je realms aanmaken, clients configureren of complete scripts uitvoeren bij het opzetten van een nieuwe server. “Het scheelt een hoop tijd én muisklikken”, vat Java Developer Akke het samen. “Vooral handig als je Keycloak als onderdeel van een CI/CD-pipeline inzet.” Met de CLI kun je Keycloak configureren vóórdat je de server opstart. Ideaal voor ontwikkelteams, testomgevingen of multisite-implementaties.

Keycloak aansturen met de REST API
Keycloak valt redelijk laagdrempelig aan te sturen met behulp van de REST API.

De REST API biedt een eenvoudige manier om dat geautomatiseerd (en in bulk) te doen met scripts, in plaats van in de interface waar je operaties een voor een moet uitvoeren. Zo kun je met de REST API gebruikers aanmaken, rechten toekennen of instellingen aanpassen; allemaal buiten de interface om. “Je hebt een token nodig en daarbinnen staan de toegestane acties. Dat maakt het veilig en flexibel tegelijk”, aldus Akke. De REST API is krachtig, maar kan overweldigend zijn. IAM-expert Omar: “De lijst met endpoints is groot. Het vraagt wat ervaring om te weten welke je nodig hebt en welke parameters je moet meesturen. Maar als je dat weet, kun je er bijna alles mee.”

Plug-ins: maatwerk waar nodig
Soms is API-toegang niet genoeg en wil je écht iets toevoegen aan Keycloak zelf. Dan komt het aan op plug-in development. Daarmee kun je Keycloak verrijken met nieuwe logica, validatie of zelfs gebruikerservaring. “Bijvoorbeeld een plug-in die voorkomt dat gebruikers een Keycloak-wachtwoord kunnen aanmaken als ze via een externe partij worden geauthenticeerd”, legt Omar uit. Dat klinkt eenvoudig, maar er komt best wat bij kijken. “Je moet inhaken op de juiste interfaces in Keycloak, zorgen voor compatibiliteit met meerdere versies door de jaren heen, goed testen en onderhouden bij updates”, zegt Akke. “Het is geen quick fix, maar wél waardevol als je net dat beetje extra nodig hebt.”

Integreren met wat je al hebt
Keycloak wordt vaak gekoppeld aan applicaties die gevoelige of persoonsgebonden informatie beheren. Denk aan een database, een HR-platform of een klantportaal. Voordat gebruikers toegang krijgen, zorgt Keycloak voor de juiste authenticatie. Die kan verlopen via gebruikersaccounts, maar ook via externe providers zoals DigiD of eHerkenning. Omar: “Keycloak ondersteunt SAML-communicatie, maar de standaardconfiguratie schiet bij sommige koppelingen tekort. Voor DigiD of eHerkenning heb je aanvullende velden nodig. Vanuit First8 Conclusion hebben wij een eigen SAML-extensie ontwikkeld die dat mogelijk maakt.” Deze extensie, in gebruik door meerdere overheidsinstanties, is inmiddels toegevoegd aan de officiële lijst van Keycloak-extensies. “Een goed voorbeeld van een plug-in die ontstond vanuit een klantvraag, maar inmiddels veel breder wordt gebruikt”, zegt Akke.

Standaard houden of toch uitbreiden?
De gouden regel bij Keycloak-integratie: hou het zo standaard mogelijk. Maar als je extra functionaliteit nodig hebt, zijn er volop mogelijkheden. Omar: “Niet alles kan standaard in Keycloak, maar met plug-ins kun je bijna alles alsnog voor elkaar krijgen.” Akke vult aan: “Het is wel belangrijk om rekening te houden met onderhoud. Plug-ins groeien idealiter mee met Keycloak zelf, en updates kunnen je code breken. Daarom houden wij nieuwe releases goed in de gaten en zorgen we voor toekomstbestendige uitbreidingen.” Het is belangrijk om niet te veel shortcuts te nemen, weet Omar: “We zien dat mensen soms geen testcases schrijven of de upgradeguide overslaan. Dat breekt je later op.”