AWS Layanan Modernisasi Mainframe (Managed Runtime Environment experience) tidak lagi terbuka untuk pelanggan baru. Untuk kemampuan yang mirip dengan Layanan Modernisasi AWS Mainframe (pengalaman Lingkungan Runtime Terkelola), jelajahi Layanan Modernisasi AWS Mainframe (Pengalaman yang Dikelola Sendiri). Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat Perubahan [AWS ketersediaan Modernisasi Mainframe](https://docs.aws.amazon.com/m2/latest/userguide/mainframe-modernization-availability-change.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan otentikasi untuk aplikasi Gapwalk
Untuk mengonfigurasi OAuth2 otentikasi aplikasi Gapwalk Anda, Anda perlu menyiapkan penyedia identitas (iDP) dan mengintegrasikannya dengan aplikasi Anda. Panduan ini mencakup langkah-langkah untuk menggunakan Amazon Cognito atau Keycloak sebagai IDP Anda. Dengan Amazon Cognito, Anda dapat memperbarui file konfigurasi aplikasi Anda dengan detail kumpulan pengguna Cognito. Dengan Keycloak, Anda dapat mengontrol akses ke aplikasi APIs dan sumber daya berdasarkan peran yang ditetapkan pengguna.
**Topics**
+ [Konfigurasikan OAuth2 otentikasi Gapwalk dengan Amazon Cognito](ba-runtime-auth-cognito.md)
+ [Konfigurasikan OAuth2 otentikasi Gapwalk dengan Keycloak](ba-runtime-auth-keycloak.md)
# Konfigurasikan OAuth2 otentikasi Gapwalk dengan Amazon Cognito
Topik ini menjelaskan cara mengonfigurasi OAuth2 otentikasi untuk aplikasi Gapwalk menggunakan Amazon Cognito sebagai penyedia identitas (iDP).
## Prasyarat
Dalam tutorial ini kita akan menggunakan Amazon Cognito sebagai IDP dan PlanetDemo sebagai proyek modern.
Anda dapat menggunakan penyedia identitas eksternal lainnya. ClientRegistration Informasi harus diperoleh dari IDP Anda dan diperlukan untuk otentikasi Gapwalk. Untuk informasi selengkapnya, lihat [Panduan Developer Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/) .
** ClientRegistration Informasi:**
id klien
ID dari ClientRegistration. Dalam contoh kita itu akan terjadi PlanetsDemo.
rahasia klien
Rahasia klien Anda.
titik akhir otorisasi
URI titik akhir otorisasi untuk server otorisasi.
titik akhir token
URI titik akhir token untuk server otorisasi.
titik akhir jwks
URI digunakan untuk mendapatkan JSON Web Key (JWK) yang berisi kunci untuk memvalidasi tanda tangan web JSON yang dikeluarkan oleh server otorisasi.
pengalihan URI
URI tempat server otorisasi mengalihkan pengguna akhir jika akses diberikan.
## Pengaturan Amazon Cognito
Pertama kita akan membuat dan mengonfigurasi kumpulan pengguna dan pengguna Amazon Cognito yang akan kita gunakan dengan aplikasi Gapwalk yang digunakan untuk tujuan pengujian.
**catatan**
Jika Anda menggunakan IDP lain, Anda dapat melewati langkah ini.
**Buat kumpulan pengguna**
1. Buka Amazon Cognito di Konsol Manajemen AWS dan autentikasi menggunakan kredensil Anda. AWS
1. Pilih **Kolam Pengguna**.
1. Pilih **Buat kolam pengguna**.
1. Di **Konfigurasikan pengalaman masuk**, pertahankan jenis penyedia default kumpulan **pengguna Cognito**. **Anda dapat memilih satu atau beberapa **opsi masuk kumpulan pengguna Cognito**; untuk saat ini, pilih **Nama pengguna**, lalu pilih Berikutnya.**
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-auth-provider.png)
1. **Di **Konfigurasikan persyaratan keamanan**, pertahankan default dan nonaktifkan **otentikasi multi-faktor dengan** memilih Tidak ada **MFA**, lalu pilih Berikutnya.**
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-sec-requirements.png)
1. Sebagai langkah keamanan, nonaktifkan **Aktifkan pendaftaran mandiri**, lalu pilih **Berikutnya**.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-config-sign-up.png)
1. **Pilih **Kirim email dengan Cognito**, lalu pilih Berikutnya.**
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-email.png)
1. Di **Integrasikan aplikasi Anda**, tentukan nama untuk kumpulan pengguna Anda. Di **halaman otentikasi yang di-host**, pilih **Gunakan UI yang Dihosting Cognito**.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-domain.png)
1. Untuk mempermudah, di **Domain**, pilih **Gunakan domain Cognito** dan masukkan awalan domain; misalnya,. `https://planetsdemo` Aplikasi demo harus ditambahkan sebagai klien.
1. Di **klien aplikasi awal**, pilih **Klien rahasia**. Masukkan nama klien aplikasi, seperti**planetsdemo**, lalu pilih **Hasilkan rahasia klien**.
1. Di URL **callback yang diizinkan, masukkan URL** untuk mengarahkan pengguna setelah otentikasi. URL harus diakhiri dengan `/login/oauth2/code/cognito` Misalnya, untuk aplikasi kami dan aplikasi backend Gapwalk dan BAC:
```
http://localhost:8080/bac
http://localhost:8080/bac/login/oauth2/code/cognito
http://localhost:8080/gapwalk-application
http://localhost:8080/gapwalk-application/login/oauth2/code/cognito
http://localhost:8080/planetsdemo
http://localhost:8080/planetsdemo/login/oauth2/code/cognito
```
Anda dapat mengedit URL nanti.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/cog-urls.png)
1. Di **Login yang diizinkan**, URLs masukkan URL halaman keluar yang Anda inginkan untuk dialihkan oleh Amazon Cognito saat aplikasi Anda mengeluarkan pengguna. Misalnya, untuk aplikasi backend Gapwalk dan BAC:
```
http://localhost:8080/bac/logout
http://localhost:8080/gapwalk-application/logout
http://localhost:8080/planetsdemo/logout
```
Anda dapat mengedit URL nanti.
1. Simpan nilai default di **pengaturan klien aplikasi lanjutan** dan bagian **izin baca dan tulis Atribut**.
1. Pilih **Berikutnya**.
1. Di **Tinjau dan buat**, verifikasi pilihan Anda, lalu pilih **Buat kumpulan pengguna**.
Untuk informasi selengkapnya, lihat [Membuat kumpulan pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html).
**Pembuatan pengguna**
Karena pendaftaran mandiri dinonaktifkan, buat pengguna Amazon Cognito. Arahkan ke Amazon Cognito di. Konsol Manajemen AWS Pilih kumpulan pengguna yang Anda buat, lalu di **Pengguna** pilih **Buat pengguna**.
Di **Informasi pengguna**, pilih **Kirim undangan email**, masukkan nama pengguna dan alamat email, lalu pilih **Buat kata sandi**. Pilih **Create user** (Buat pengguna).
**Pembuatan peran**
Di tab **Grup**, buat 3 grup (SUPER\$1ADMIN, ADMIN, dan USER), dan kaitkan pengguna Anda ke satu atau beberapa grup ini. Peran ini kemudian dipetakan ke ROLE\$1SUPER\$1ADMIN, ROLE\$1ADMIN dan ROLE\$1USER oleh aplikasi Gapwalk untuk memungkinkan untuk mengakses beberapa panggilan API REST terbatas.
Aplikasi ini mengimplementasikan scope-to-role pemetaan hierarkis yang bekerja dengan beberapa OAuth2 penyedia identitas. Ketika token JWT yang dikeluarkan oleh Cognito digunakan untuk otorisasi server sumber daya, cakupan yang ditentukan dalam token secara otomatis dipetakan ke peran yang sesuai.
## Integrasikan Amazon Cognito ke dalam aplikasi Gapwalk
Sekarang setelah kumpulan pengguna dan pengguna Amazon Cognito Anda siap, buka `application-main.yml` file aplikasi modern Anda dan tambahkan kode berikut:
```
gapwalk-application.security: enabled
gapwalk-application.security.identity: oauth
gapwalk-application.security.issuerUri: https://cognito-idp..amazonaws.com/
gapwalk-application.security.domainName:
spring:
security:
oauth2:
client:
registration:
cognito:
client-id:
client-name:
client-secret:
provider: cognito
authorization-grant-type: authorization_code
scope: openid
redirect-uri: ""
provider:
cognito:
issuer-uri: ${gapwalk-application.security.issuerUri}
authorization-uri: ${gapwalk-application.security.domainName}/oauth2/authorize
jwk-set-uri: ${gapwalk-application.security.issuerUri}/.well-known/jwks.json
token-uri: ${gapwalk-application.security.domainName}/oauth2/token
user-name-attribute: username
resourceserver:
jwt:
jwk-set-uri: ${gapwalk-application.security.issuerUri}/.well-known/jwks.json
```
Ganti placeholder berikut seperti yang dijelaskan:
1. Buka Amazon Cognito di Konsol Manajemen AWS dan autentikasi menggunakan kredensil Anda. AWS
1. Pilih **Kumpulan Pengguna** dan pilih kumpulan pengguna yang Anda buat. Anda dapat menemukan **ID kumpulan pengguna** Anda*pool-id*.
1. Pilih **Integrasi aplikasi** di mana Anda dapat menemukan*your-cognito-domain*, lalu buka **Klien aplikasi dan analitik** dan pilih aplikasi Anda.
1. Di **App client: YourApp** Anda dapat menemukan*client-name*,*client-id*, dan *client-secret* (**Tampilkan rahasia klien**).
1. *region-id*sesuai dengan ID AWS Wilayah tempat Anda membuat pengguna dan kumpulan pengguna Amazon Cognito. Contoh:`eu-west-3`.
1. Untuk *redirect-uri* memasukkan URI yang Anda tentukan untuk **URL callback Diizinkan**. Dalam contoh kita itu`http://localhost:8080/planetsdemo/login/oauth2/code/cognito`.
Anda sekarang dapat menerapkan aplikasi Gapwalk Anda dan menggunakan pengguna yang dibuat sebelumnya untuk masuk ke aplikasi Anda.
# Konfigurasikan OAuth2 otentikasi Gapwalk dengan Keycloak
Topik ini menjelaskan cara mengkonfigurasi OAuth2 otentikasi untuk aplikasi Gapwalk menggunakan Keycloak sebagai penyedia identitas (iDP). Dalam tutorial ini kita menggunakan Keycloak 24.0.0.
## Prasyarat
+ [Jubah kunci](https://www.keycloak.org/)
+ Aplikasi Gapwalk
## Pengaturan keycloak
1. Buka dasbor Keycloak Anda di browser web Anda. Kredensi default adalah admin/admin. Pergi ke bilah navigasi kiri atas, dan buat ranah dengan nama**demo**, seperti yang ditunjukkan pada gambar berikut.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_2.png)
1. Buat klien dengan nama**app-demo**.
![\[User interface for creating a new client in an authentication management system.\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_3.jpg)
Ganti `localhost:8080` dengan alamat aplikasi Gapwalk Anda
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_4.png)
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_5.png)
1. **Untuk mendapatkan rahasia klien Anda, pilih **Klien**, lalu **app-demo**, lalu Kredensial.**
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_6.jpg)
1. Pilih **Klien**, lalu **cakupan Klien**, lalu **Tambahkan mapper yang telah ditentukan sebelumnya**. Pilih **peran ranah**.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_7.jpg)
1. Edit peran ranah Anda dengan konfigurasi yang ditunjukkan pada gambar berikut.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_8.jpg)
1. Ingat **Nama Klaim Token** yang ditentukan. Anda akan memerlukan nilai ini dalam definisi pengaturan Gapwalk untuk properti. `gapwalk-application.security.claimGroupName`
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_9.jpg)
1. Pilih **peran Realms**, dan buat 3 peran:**SUPER\$1ADMIN**,**ADMIN**, dan**USER**. Peran ini kemudian dipetakan ke`ROLE_SUPER_ADMIN`,`ROLE_ADMIN`, dan `ROLE_USER` oleh aplikasi Gapwalk untuk dapat mengakses beberapa panggilan API REST terbatas.
![\[alt_text\]](http://docs.aws.amazon.com/id_id/m2/latest/userguide/images/ba-runtime-auth-keycloak_10.jpg)
## Integrasikan Keycloak ke dalam aplikasi Gapwalk
Edit Anda `application-main.yml` sebagai berikut:
```
gapwalk-application.security: enabled
gapwalk-application.security.identity: oauth
gapwalk-application.security.issuerUri: http:///realms/
gapwalk-application.security.claimGroupName: "keycloak:groups"
gapwalk-application.security.userAttributeName: "preferred_username"
# Use "username" for cognito,
# "preferred_username" for keycloak
# or any other string
spring:
security:
oauth2:
client:
registration:
demo:
client-id:
client-name: Demo App
client-secret:
provider: keycloak
authorization-grant-type: authorization_code
scope: openid
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
provider:
keycloak:
issuer-uri: ${gapwalk-application.security.issuerUri}
authorization-uri: ${gapwalk-application.security.issuerUri}/protocol/openid-connect/auth
jwk-set-uri: ${gapwalk-application.security.issuerUri}/protocol/openid-connect/certs
token-uri: ${gapwalk-application.security.issuerUri}/protocol/openid-connect/token
user-name-attribute: ${gapwalk-application.security.userAttributeName}
resourceserver:
jwt:
jwk-set-uri: ${gapwalk-application.security.issuerUri}/protocol/openid-connect/certs
```
Ganti**,**,**, dan ** dengan nama host server Keycloak Anda, nama ranah Anda, ID klien Anda, dan rahasia klien Anda.