Die Single-Sign-on-Lösung Keycloak ist seit vergangenem Jahr zentraler Baustein unserer Identity- und Access-Management-Strategie. Keycloak ermöglicht es, die Anmeldung für Drittanwendungen zu übernehmen, sodass man sich über Standardprotokolle wie SAML und OpenID Connect nur einmalig zentral anmelden muss und dann auf alle freigeschalteten Dienste zugreifen kann.
Langfristig wird Keycloak unsere bisherigen Lösungen SimpleSAMLphp und Kopano Konnect ablösen. Die Entwicklungsabteilung arbeitet an der Implementierung weiterer Funktionen. Seit Dezember 2022 ist Keycloak Teil des durch unseren Support abgedeckten Funktionsumfangs von UCS. Schon heute kann Keycloak also als App über das App Center installiert werden.
Ausfallsicherheit und Hochverfügbarkeit bei Keycloak
Bei einer so zentralen Komponente sind Ausfallsicherheit und Hochverfügbarkeit natürlich ein wichtiges Thema. Bereits heute ist es möglich, Keycloak mehrfach in einer UCS-Domäne zu installieren. Dabei sind alle Installationen unter demselben Namen im Netzwerk erreichbar und teilen sich die Login-Sitzungen. Das ermöglicht Lastenverteilung in der Domäne und sorgt für eine gewisse Ausfallsicherheit. Alle Instanzen teilen sich außerdem eine Konfiguration.
In der Standardinstallation der App wird die Konfiguration in einer zentralen Datenbank auf einem UCS-System gespeichert. Um Keycloak wirklich ausfallsicher und hochverfügbar zu betreiben, muss das also auch für das Datenbanksystem gelten, also etwa als Cluster betrieben werden. Einen solchen Cluster stellt UCS für Keycloak von Haus aus nicht bereit. Allerdings kann man die Keycloak-App so konfigurieren, dass sie eine externe Datenbank nutzt.
Das Betreiben eines Clusters mit den Datenbanken, die UCS mitliefert, ist prinzipiell möglich. Allerdings ist das Aufsetzen nicht trivial und UCS liefert auch keine einfachen Möglichkeiten dazu mit. Administrator*innen müssen dieses Setup nicht nur aufbauen, sondern auch selber betreiben.
MariaDB bietet Support für Cluster-Betrieb
Hier kommt MariaDB ins Spiel. MariaDB in der Enterprise-Variante, zusammen mit einem SQL-Proxy im gleichen Netzwerk als Cluster aufgesetzt, erlaubt ein hochverfügbares Datenbank-Setup, das von Keycloak genutzt werden kann.
MariaDB und Univention sind nun eine technische Kooperation eingegangen, mit der wir Kund*innen umfänglichen Support für den ausfallsicheren und hochverfügbaren Einsatz von Keycloak auf UCS bieten können.
Stefan Schmit, Sr. Solution Engineer bei MariaDB plc unterstreicht:
Wir bieten mit dem MariaDB Enterprise Server in Kombination mit unserem SQL-Proxy MaxScale eine hochverfügbare Datenbankarchitektur, die Ausfälle sofort korrigiert. Zusammen mit Univention und unserem Support erhält man dadurch für Keycloaks kritischen Workload eine hochverfügbare Datenbank und das auf verschiedenen Plattformen, sei es on-prem, Private Cloud (Bsp. VMware, Kubernetis) oder Public Cloud (AWS, Google Cloud) als Database-as-a-Service (DBaaS) SkySQL.
Wenn Sie Fragen zu MariaDB, dem kombinierten Einsatz mit UCS oder Keycloak haben, können Sie diese gerne über die Kommentarfunktion unseres Blogs stellen.