Maîtrisez la gestion des identités, l’authentification unique (SSO) et la sécurisation des applications web et API avec la formation Keycloak en Tunisie
Description de la formation Keycloak Sécurité
Cette formation vous permet de maîtriser Keycloak, une solution open source de gestion des identités et des accès (IAM). Elle repose sur les protocoles OpenID Connect, OAuth 2.0 et SAML, et couvre les besoins en authentification unique (SSO), sécurisation des applications web, mobiles et API REST, fédération d’utilisateurs et gestion centralisée des rôles et permissions.
À travers des cas pratiques et des exemples concrets, vous apprendrez à intégrer Keycloak dans vos applications, à définir des stratégies d’autorisation et à administrer un cluster Keycloak en toute sécurité.
Objectifs
Objectif opérationnel :
Maîtriser le déploiement et la gestion des fonctionnalités de Keycloak pour sécuriser différents types d’applications.
Objectifs pédagogiques :
À l’issue de la formation, vous serez capable de :
- Comprendre les usages et fonctionnalités de Keycloak ;
- Mettre en place l’authentification unique (SSO) avec OpenID Connect ;
- Intégrer Keycloak dans vos applications web, mobiles, microservices et API REST ;
- Définir et appliquer des politiques d’accès et de sécurité ;
- Administrer et sécuriser un cluster Keycloak en production.
À qui s’adresse cette formation ?
Public cible
Cette formation s’adresse aux architectes, développeurs et administrateurs système souhaitant sécuriser leurs applications et gérer les accès de façon centralisée.
Prérequis : Aucun.
Programme de la formation Keycloak Sécurité
1. Introduction à Keycloak
- Présentation des fonctionnalités et des cas d’usage
- Protocoles supportés : SAML, OpenID Connect, OAuth2, JWT
- Architecture et répertoires clés
- Concepts fondamentaux : royaumes, clients, utilisateurs, rôles, groupes, scopes
Atelier : Installation de Keycloak et sécurisation d’une première application
2. Rappels sur les standards de sécurité
- Fonctionnement de OAuth2.0, OpenID Connect et JWT
- Utilisation d’outils d’inspection et de validation des jetons
Atelier : Exploration des jetons et mise en œuvre d’un flow d’authentification
3. Authentification et gestion des sessions
- Mise en place de l’authentification OpenID
- Personnalisation des tokens et des profils utilisateurs
- Gestion du logout (front et back-channel)
Atelier : Implémentation d’un flow complet d’authentification et gestion des sessions
4. Gestion des accès et autorisations
- Fonctionnement de OAuth2 et des différents consentements
- Limitation des accès par audience, rôles et scopes
- Validation des tokens et des permissions
Atelier : Mise en place des ACLs et gestion des scopes
5. Sécurisation des différents types d’applications
- Sécurisation des applications web (server-side et SPA)
- Intégration des applications mobiles et natives
- Sécurisation des API REST et microservices
Atelier : Mise en œuvre du Device Code Flow et Credentials Flow
6. Intégration de Keycloak dans les applications
- Utilisation des adaptateurs : Javascript, Spring Boot, Quarkus
- Mise en place d’un Reverse Proxy
Atelier : Intégration pratique dans des applications NodeJS, SpringBoot et Quarkus
7. Mise en place des stratégies d’autorisation
- Modèles RBAC, GBAC, ABAC et gestion des scopes OAuth2
- Utilisation du service d’autorisation de Keycloak
Atelier : Création de stratégies d’accès personnalisées dans Keycloak
8. Administration et sécurisation de Keycloak
- Gestion des utilisateurs, sessions et jetons
- Configuration avancée pour la production
- Intégration d’un fournisseur d’identité externe
- Mise en place d’authentification forte (OTP, WebAuthn)
Atelier : Scénarios d’administration et de sécurisation
9. Sécurisation de l’infrastructure
- Sécurisation de Keycloak, de la base de données et des communications en cluster
- Meilleures pratiques pour la gestion des accès et des applications