Skip to content

Keycloak 플러그인

Keycloak 플러그인은 Keycloak realm과 runtime 상태를 Konduo 리소스로 등록합니다. 인증 제공자 역할이 아니라, Keycloak 운영 상태와 read-only directory evidence를 보여주는 리소스 플러그인입니다.

특징

  • issuer discovery, Admin API readiness, user/group read-only 조회를 제공합니다.
  • Prometheus mapping pack으로 HTTP, JVM, DB pool, cache, worker pool, session/password hashing 신호를 연결합니다.
  • diagnostics는 discovery, Admin API, metrics, history evidence를 분리해 보여줍니다.
  • alert rules는 JVM pressure, DB wait, worker saturation, cache efficiency, scrape evidence를 다룹니다.

등록 전 확인

  • issuer URL, Admin API service account client id/secret, realm-management read-only role을 준비합니다.
  • user/group 조회에는 최소 view-realm, view-users, query-users 수준의 권한을 사용합니다.
  • 메트릭 대시보드는 Keycloak scrape target을 선택하는 label filter가 필요합니다.

운영 팁

  • 이 플러그인은 Konduo 로그인 방식을 변경하지 않습니다.
  • directory users/groups는 normalized response row이며 Konduo identity로 저장되지 않습니다.
  • generic availability는 Core health/probe 상태를 기준으로 보고, metric rules는 Keycloak domain risk를 보조합니다.

Keycloak Enterprise 확장

Keycloak Enterprise 확장은 Keycloak 리소스 모니터링에 MCP descriptor, anomaly rule, Admin API 진단, metric mapping을 추가합니다. 로그인은 별도의 auth-oidc 공급자가 담당하고, Keycloak 플러그인은 realm 운영과 진단에 집중합니다.

특징

  • MCP에서 dashboard template, monitoring overview, diagnostics, metrics mapping, alert/anomaly rule catalog를 제공합니다.
  • Admin API discovery, realm 상태, JVM, DB pool, worker, cache, 인증 트래픽 압력을 진단 evidence로 노출합니다.
  • Prometheus mapping pack은 Keycloak logical metric을 실제 metric 이름으로 연결합니다.
  • related instance template으로 Keycloak realm에서 auth-oidc 공급자 생성을 도와줍니다.

등록 전 확인

  • Keycloak base URL, realm, Admin API 접근 권한, metric endpoint 노출 여부를 준비합니다.
  • 로그인 연동이 필요하면 Keycloak resource와 별도로 auth-oidc provider client를 등록합니다.
  • Admin API service account credential과 login client credential을 분리합니다.

운영 팁

  • Keycloak 플러그인의 directory/Admin API route를 로그인 처리 경로로 사용하지 않습니다.
  • anomaly rule은 metric source 연결이 있어야 의미 있는 평가가 가능합니다.
  • OIDC 로그인 장애와 Keycloak resource 진단 장애를 분리해 추적합니다.