Подмена субъекта в Keycloak: не кнопка, а модель безопасности

В сфере искусственного интеллекта произошло заметное событие. mishaapimenovaa 7 минут назад Подмена субъекта в Keycloak: не кнопка, а модель безопасности 6 мин 267 DevOps * IT-компании Веб-разработка * Запрос «а дайте саппорту возможность заходить под пользователем» почти всегда звучит как простая фича. На практике это изменение в модели авторизации, аудита и ответственности. В терминах Keycloak задача формулируется не как «войти под пользователем», а как «разрешить субъекту A получить токен, в котором он будет субъектом Б, с контролируемыми правами и прозрачным аудитом».

Это принципиально важно, потому что Keycloak оперирует токенами, клиентами и правами на их выпуск, а не кнопками на экране. Почему встроенная подмена субъекта — не решениеВ админ-консоли Keycloak есть функция подмены субъекта, которая позволяет завершить текущую административную сессию, создать сессию пользователя и переключить контекст работы так, будто действия выполняются уже от его имени. Для разработки и тестирования это удобно.

Технические детали

Для реализации — проблемно. Основные узкие места:теряется информация об инициаторе действий;в логах остаётся только пользователь;аудит становится неполным;невозможно доказать, что действия выполнял сотрудник поддержки. Корректный подход: обмен ключами доступаKeycloak предоставляет механизм обмена ключами доступа, который решает задачу на уровне протокола.

Как это работаетКлиент (например, администратор) с активным ключом доступа совершает следующие действия:отправляет запрос на /protocol/openid-connect/token;указывает grant_type=urn:ietf:params:oauth:grant-type:token-exchange;передаёт: subject_token (текущий ключ доступа сотрудника); requested_subject (ID пользователя); опционально scope и audience. Keycloak в этот момент:проверяет права клиента;сверяет разрешения на подмену субъекта;выпускает новый ключ доступа с другим sub. Основные настройки в KeycloakС Keycloak всё как с хорошей техникой: снаружи может казаться, что сейчас нажмём пару кнопок — и всё заработает.

Но если речь про обмен ключами доступа, внутри уже начинается территория правил, ограничений и аккуратных настроек. Чтобы всё работало предсказуемо и без лишних прав, стоит пройтись по трём важным блокам. Разрешение обмена ключами доступа для клиентаСначала нужно подготовить сам клиент.

Отраслевые последствия

Без этого функция token-exchange просто не взлетит, даже если дальше всё настроено правильно. В настройках клиента:включите сервисные учётные записи (Service Accounts), если используется серверная часть;настройте разрешения клиента (Client Permissions);разрешите token-exchange. Политики и разрешенияДальше начинается самое важное: определить, кто вообще может запускать обмен ключами доступа и в каких случаях.

Здесь лучше сразу задавать правила явно.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.