红帽单点登录构建于 JBoss EAP 应用服务器及其子项目（用于缓存）和 Hibernate （用于持久性）之上。本指南仅涵盖基础架构级别配置的基础知识。强烈建议您使用 JBoss EAP 及其子项目的文档。以下是文档的链接：

安装 Red Hat Single Sign-On 服务器提供了这些先决条件：

Red Hat Single Sign-On 服务器下载 ZIP 文件包含用于运行 Red Hat Single Sign-On 服务器的脚本和二进制文件。您首先安装 7.5 服务器，然后安装 7.5.3 服务器补丁。

您必须订阅 JBoss EAP 7.4 和 RH-SSO 7.5 存储库，然后才能从 RPM 安装 RH-SSO。

subscription-manager repos --enable=jb-eap-7.4-for-rhel-<RHEL_VERSION>-server-rpms --enable=rhel-<RHEL_VERSION>-server-rpms

subscription-manager repos --enable=jb-eap-7.4-for-rhel-8-x86_64-rpms --enable=rhel-8-for-x86_64-baseos-rpms --enable=rhel-8-for-x86_64-appstream-rpms

以下是服务器分发中的一些重要目录：

单机操作模式仅在您希望运行一个工作时有用，并且只有一个红帽单点登录服务器实例。它不适用于集群部署，且所有缓存都是非分布式且仅限本地的。不建议在生产环境中使用单机模式，因为您有单点故障。如果您的独立模式服务器停机，用户将无法登录。这个模式实际上只可用于测试驱动器，并使用 Red Hat Single Sign-On 的功能进行播放

$ .../bin/standalone.sh

> ...\bin\standalone.bat

当您要在集群中运行 Red Hat Single Sign-On 时，会适用独立集群操作模式。这个模式要求您在要运行服务器实例的每个机器上具有 Red Hat Single Sign-On 分发副本。最初部署这种模式非常简单，但可能会变得非常繁琐。要进行配置更改，您需要修改每台计算机上的每个发行版。对于大型集群，此模式可能会变得耗时且容易出错。

$ .../bin/standalone.sh --server-config=standalone-ha.xml

> ...\bin\standalone.bat --server-config=standalone-ha.xml

域模式是集中管理和发布您服务器的配置的一种方式。

以标准模式运行集群可能会很快成为随着集群大小增长而变化。每次需要配置更改时，都会在集群的每个节点上执行它。域模式通过提供存储和发布配置来解决此问题。设置可能非常复杂，但最终值得设置。此功能内置于红帽单点登录从 JBoss EAP 应用服务器中。

以下是在域模式下运行的一些基本概念：

在域模式中，域控制器在 master 节点上启动。集群的配置位于域控制器中。接下来，在集群中的每个机器上启动主机控制器。每个主机控制器部署配置指定在该机器上启动多少个 Red Hat Single Sign-On 服务器实例。当主机控制器启动时，它会启动多个 Red Hat Single Sign-On 服务器实例，因为它已配置为执行此操作。这些服务器实例从域控制器拉取其配置。

    <profiles>
        <profile name="auth-server-standalone">
            ...
        </profile>
        <profile name="auth-server-clustered">
            ...
        </profile>

    <socket-binding-groups>
        <socket-binding-group name="standard-sockets" default-interface="public">
           ...
        </socket-binding-group>
        <socket-binding-group name="ha-sockets" default-interface="public">
           ...
        </socket-binding-group>
        <!-- load-balancer-sockets should be removed in production systems and replaced with a better software or hardware based one -->
        <socket-binding-group name="load-balancer-sockets" default-interface="public">
           ...
        </socket-binding-group>
    </socket-binding-groups>

$ domain.sh -Djboss.http.port=80

    <server-groups>
        <!-- load-balancer-group should be removed in production systems and replaced with a better software or hardware based one -->
        <server-group name="load-balancer-group" profile="load-balancer">
            <jvm name="default">
                <heap size="64m" max-size="512m"/>
            </jvm>
            <socket-binding-group ref="load-balancer-sockets"/>
        </server-group>
        <server-group name="auth-server-group" profile="auth-server-clustered">
            <jvm name="default">
                <heap size="64m" max-size="512m"/>
            </jvm>
            <socket-binding-group ref="ha-sockets"/>
        </server-group>
    </server-groups>

    <servers>
        <!-- remove or comment out next line -->
        <server name="load-balancer" group="loadbalancer-group"/>
        ...
    </servers>

    <servers>
        ...
        <server name="server-one" group="auth-server-group" auto-start="true">
             <socket-bindings port-offset="150"/>
        </server>
    </servers>

$ .../bin/domain.sh --host-config=host-master.xml

> ...\bin\domain.bat --host-config=host-master.xml

在 Red Hat Single Sign-On 7.2 中作为技术预览功能引进的跨站点复制，在任何 Red Hat SSO 7.x 版本中不再作为支持的功能提供，包括最新的 RH-SSO 7.6 版本。红帽不推荐在自己的环境中实施或使用此功能，因为它不被支持。另外，这个功能的支持例外不再被视为或接受。

讨论了跨站点复制的新解决方案，并特别考虑红帽构建的 Keycloak (RHBK)的未来发行版本，这是将要引入的产品，而不是 Red Hat SSO 8。很快将提供更多详细信息。

在其他上下文中，会使用该设置在其他上下文中讨论每个配置设置的具体设置。但是，了解用于声明 SPI 提供商设置的格式会很有用。

红帽单点登录是一个高度可扩展的高度模块化系统。有 50 个以上的服务提供商接口(SPI)，您可以交换出每个 SPI 的实现。SPI 的实现称为 提供程序。

SPI 声明中的所有元素都是可选的，但完整的 SPI 声明类似如下：

<spi name="myspi">
    <default-provider>myprovider</default-provider>
    <provider name="myprovider" enabled="true">
        <properties>
            <property name="foo" value="bar"/>
        </properties>
    </provider>
    <provider name="mysecondprovider" enabled="true">
        <properties>
            <property name="foo" value="foo"/>
        </properties>
    </provider>
</spi>

这里我们为 SPI myspi 定义了两个提供程序。default-provider 列为 myprovider。但是，它最多是 SPI，决定它如何对待这个设置。某些 SPI 允许多个提供程序，有些则不允许。因此，default-provider 可以帮助选择 SPI。

另请注意，每个提供程序定义了自己的一组配置属性。以上两个供应商都有名为 foo 的属性只是一个一致性。

各个属性值的类型由提供程序解释。但是，有一个例外。考虑 eventsStore SPI 的 jpa 供应商：

<spi name="eventsStore">
    <provider name="jpa" enabled="true">
        <properties>
            <property name="exclude-events" value="[&quot;EVENT1&quot;,
                                                    &quot;EVENT2&quot;]"/>
        </properties>
    </provider>
</spi>

我们看到值开头并以方括号结尾。这意味着该值将作为列表传递到提供程序。在本例中，系统会将提供商传递一个列表，其中有两个元素值 EVENT1 和 EVENT2。要在列表中添加更多值，只需用逗号分隔各个列表元素。不幸的是，您需要用 " 来转义每个列表元素周围的引号。

按照 服务器开发人员指南 中的步骤，了解自定义供应商和提供程序配置的更多详情。

除了手动编辑配置之外，您还可以通过 jboss-cli 工具发出命令来更改配置。CLI 允许您本地或远程配置服务器。在结合脚本脚本时，这特别有用。

要启动 JBoss EAP CLI，您需要运行 jboss-cli。

$ .../bin/jboss-cli.sh

> ...\bin\jboss-cli.bat

这将使您进入提示，如下所示：

[disconnected /]

如果要在运行中的服务器上执行命令，您将首先执行 connect 命令。

[disconnected /] connect
connect
[standalone@localhost:9990 /]

您可以考虑自己，"我没有输入任何用户名或密码！"。如果您在运行单机服务器或域控制器的同一计算机上运行 jboss-cli，并且您的帐户具有适当文件权限，则不必设置或输入 admin 用户名和密码。请参见 JBoss EAP 配置指南，了解在使用该设置时如何使操作更加安全。

如果您发生在与单机服务器相同的机器上，并且您希望在服务器不激活时发出命令，则可以将服务器嵌入到 CLI 中，并在禁止传入请求的特殊模式中进行更改。要做到这一点，首先使用您要更改的配置文件执行 embed-server 命令。

[disconnected /] embed-server --server-config=standalone.xml
[standalone@embedded /]

CLI 也可以在 GUI 模式下运行。GUI 模式会启动 Swing 应用程序，允许您以图形方式查看和编辑 正在运行的 服务器的完整管理模型。当您需要格式化 CLI 命令并了解可用选项时，GUI 模式特别有用。GUI 也可以从本地或远程服务器检索服务器日志。

CLI 具有广泛的脚本功能。脚本只是一个包含 CLI 命令的文本文件。考虑关闭主题和模板缓存的简单脚本。

/subsystem=keycloak-server/theme=defaults/:write-attribute(name=cacheThemes,value=false)
/subsystem=keycloak-server/theme=defaults/:write-attribute(name=cacheTemplates,value=false)

要执行该脚本，您可以遵循 CLI GUI 中的 Scripts 菜单，或者从命令行执行脚本，如下所示：

$ .../bin/jboss-cli.sh --file=turn-off-caching.cli

以下是一些配置任务以及如何使用 CLI 命令执行它们。请注意，在除第一个示例中，我们都使用通配符路径 ** 来表示您应该替换或者 keycloak-server 子系统的路径。

对于独立，这只是：

** = /subsystem=keycloak-server

对于域模式，这意味着：

** = /profile=auth-server-clustered/subsystem=keycloak-server

/subsystem=keycloak-server/:write-attribute(name=web-context,value=myContext)

**/theme=defaults/:write-attribute(name=default,value=myTheme)

**/spi=mySPI/:add
**/spi=mySPI/provider=myProvider/:add(enabled=true)

**/spi=mySPI/provider=myProvider/:write-attribute(name=enabled,value=false)

**/spi=mySPI/:write-attribute(name=default-provider,value=myProvider)

**/spi=dblock/:add(default-provider=jpa)
**/spi=dblock/provider=jpa/:add(properties={lockWaitTimeout => "900"},enabled=true)

**/spi=dblock/provider=jpa/:map-put(name=properties,key=lockWaitTimeout,value=3)

**/spi=dblock/provider=jpa/:map-remove(name=properties,key=lockRecheckTime)

**/spi=eventsStore/provider=jpa/:map-put(name=properties,key=exclude-events,value=[EVENT1,EVENT2])

以下是获取为 Red Hat Single Sign-On 配置的 RDBMS 的步骤。

本章将针对所有示例使用 PostgresSQL。其他数据库遵循相同的安装步骤。

为您的 RDBMS 查找并下载 JDBC 驱动程序 JAR。在使用这个驱动程序前，您必须将它打包成模块并将其安装到服务器中。模块定义了 JAR，它们被加载到 Red Hat Single Sign-On classpath 中，并且这些 JARs 在其他模块上具有的依赖项。

将 JDBC 声明到您的部署配置文件中，以便它会在服务器引导时加载并变为可用。

您可以修改 Red Hat Single Sign-On 用来将其连接到您的新外部数据库的现有数据源配置。您可以在您注册了 JDBC 驱动程序的同一配置文件和 XML 块中执行此操作。以下是设置新数据库连接的示例：

  <subsystem xmlns="urn:jboss:domain:datasources:6.0">
     <datasources>
       ...
       <datasource jndi-name="java:jboss/datasources/KeycloakDS" pool-name="KeycloakDS" enabled="true" use-java-context="true">
           <connection-url>jdbc:postgresql://localhost/keycloak</connection-url>
           <driver>postgresql</driver>
           <pool>
               <max-pool-size>20</max-pool-size>
           </pool>
           <security>
               <user-name>William</user-name>
               <password>password</password>
           </security>
       </datasource>
        ...
     </datasources>
  </subsystem>

此组件的配置可在您的分发中的 standalone.xml、standalone-ha.xml 或 domain.xml 文件中找到。此文件的位置取决于您的 操作模式。

<subsystem xmlns="urn:jboss:domain:keycloak-server:1.1">
    ...
    <spi name="connectionsJpa">
     <provider name="default" enabled="true">
         <properties>
             <property name="dataSource" value="java:jboss/datasources/KeycloakDS"/>
             <property name="initializeEmpty" value="false"/>
             <property name="migrationStrategy" value="manual"/>
             <property name="migrationExport" value="${jboss.home.dir}/keycloak-database-update.sql"/>
         </properties>
     </provider>
    </spi>
    ...
</subsystem>

可能的配置选项有：

Red Hat Single Sign-On 中的数据库模式只考虑以下特殊字段中 Unicode 字符串：

否则，字符仅限于数据库编码中的字符，通常为 8 位。然而，对于某些数据库系统，可以启用 Unicode 字符的 UTF-8 编码，并在所有文本字段中使用完整的 Unicode 字符。通常，该字符串的长度比 8 位编码的情况要短。

某些数据库需要对数据库和/或 JDBC 驱动程序进行特殊设置，才能处理 Unicode 字符。请在下面查找您的数据库的设置。请注意，如果此处列出数据库，它仍然可正常工作，只要它处理数据库和 JDBC 驱动程序级别的 UTF-8 编码。

从技术上讲，Unicode 支持的关键条件是数据库是否允许为 VARCHAR 和 CHAR 字段设置 Unicode 字符。如果是，则 Unicode 将非常明显的几率，通常是字段长度的开支。如果它只支持 NVARCHAR 和 NCHAR 字段中的 Unicode 支持，因为 Keycloak 模式使用 VARCHAR 和 CHAR 字段。

show server_encoding;

create database keycloak with encoding 'UTF8';

默认主机名供应商使用配置的 frontendUrl 作为 frontend 请求的基本 URL （来自用户代理的请求），并使用请求 URL 作为后端请求（直接来自客户端的请求）。

frontend 请求不必具有与 Keycloak 服务器相同的 context-path。这意味着，您可以在 https://auth.example.org 或 https://example.org/keycloak 上公开 Keycloak，而内部的 URL 可以是 https://10.0.0.10:8080/auth。

这样，用户代理（浏览器）可以通过公共域名向 Red Hat Single Sign-On 发送请求，而内部客户端可以使用内部域名或 IP 地址。

这反映在 OpenID Connect Discovery 端点中，例如 authorization_endpoint 使用 frontend URL，而 token_endpoint 使用后端 URL。此时，实例的公共客户端将通过公共端点联系 Keycloak，这将导致 authorization_endpoint 和 token_endpoint 的基础。

要为 Keycloak 设置 frontendUrl，您可以将 -Dkeycloak.frontendUrl=https://auth.example.org 传递给启动，或者在 standalone.xml 中配置它。请参见以下示例：

<spi name="hostname">
    <default-provider>default</default-provider>
    <provider name="default" enabled="true">
        <properties>
            <property name="frontendUrl" value="https://auth.example.com"/>
            <property name="forceBackendUrlToFrontendUrl" value="false"/>
        </properties>
    </provider>
</spi>

使用以下命令更新 frontendUrl ：

/subsystem=keycloak-server/spi=hostname/provider=default:write-attribute(name=properties.frontendUrl,value="https://auth.example.com")

如果您希望所有请求通过公共域名，您也可以强制后端请求使用 frontend URL，方法是将 forceBackendUrlToFrontendUrl 设置为 true。

也可以覆盖各个域的默认前端 URL。这可以在管理控制台中完成。

如果您不想在公共域中公开 admin 端点和控制台，请使用 adminUrl 属性 adminUrl 为 admin 控制台设置固定 URL，这与 frontendUrl 不同。另外，还需要从外部阻止对 /auth/admin 的访问，以获取有关如何引用 服务器管理指南 的详细信息。

要开发自定义主机名提供程序，您需要实施 org.keycloak.urls.HostnameProviderFactory 和 org.keycloak.urls.HostnameProvider。

有关如何开发自定义提供程序的更多信息，请参阅《 服务器开发人员指南》 中的 Service Provider Interfaces 部分的说明。

默认情况下，Red Hat Single Sign-On 绑定到 localhost 回环地址 127.0.0.1。如果您需要网络中提供的身份验证服务器，则这不是非常实用的默认值。通常，我们建议您在公共网络上部署反向代理或负载均衡器，并将流量路由到私有网络上的单个 Red Hat Single Sign-On 服务器实例。在这两种情况下，您仍需要设置网络接口以绑定到 localhost 以外的其他接口。

设置绑定地址非常简单，可以在命令行中使用 standalone.sh 或 domain.sh boot 脚本（在 Choosing an Operating Mode 章节中讨论） 在命令行中完成。

$ standalone.sh -b 192.168.0.5

B 交换机 为任何公共接口设置 IP 绑定地址。

或者，如果您不想在命令行中设置绑定地址，您可以编辑部署的配置集配置。打开 profile 配置文件(standalone.xml 或 domain.xml，具体取决于您的 操作模式)，并查找 接口 XML 块。

    <interfaces>
        <interface name="management">
            <inet-address value="${jboss.bind.address.management:127.0.0.1}"/>
        </interface>
        <interface name="public">
            <inet-address value="${jboss.bind.address:127.0.0.1}"/>
        </interface>
    </interfaces>

公共接口 对应于创建可公开提供的套接字的子系统。这些子系统的一个示例是 Web 层，提供 Red Hat Single Sign-On 的身份验证端点。管理界面与 JBoss EAP 的管理层开启的套接字对应。特别是允许使用 jboss-cli.sh 命令行界面和 JBoss EAP Web 控制台的套接字。

在查看 公共接口 时，您会看到它有一个特殊的字符串 ${jboss.bind.address:127.0.0.1}。这个字符串 表示 可以通过设置 Java 系统属性（如：

$ domain.sh -Djboss.bind.address=192.168.0.5

-b 只是此命令的一种简写表示法。因此，您可以直接在配置集配置中更改 bind 地址值，或者在引导时在命令行中更改它。

为每个套接字打开的端口有一个预定义默认值，可在命令行中或配置内被覆盖。为了说明此配置，我们预先 以独立模式运行，并打开 …​/standalone/configuration/standalone.xml。搜索 socket-binding-group。

    <socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
        <socket-binding name="management-http" interface="management" port="${jboss.management.http.port:9990}"/>
        <socket-binding name="management-https" interface="management" port="${jboss.management.https.port:9993}"/>
        <socket-binding name="ajp" port="${jboss.ajp.port:8009}"/>
        <socket-binding name="http" port="${jboss.http.port:8080}"/>
        <socket-binding name="https" port="${jboss.https.port:8443}"/>
        <socket-binding name="txn-recovery-environment" port="4712"/>
        <socket-binding name="txn-status-manager" port="4713"/>
        <outbound-socket-binding name="mail-smtp">
            <remote-destination host="localhost" port="25"/>
        </outbound-socket-binding>
    </socket-binding-group>

socket-bindings 定义服务器将打开的套接字连接。这些绑定指定它们使用 的接口 （绑定地址）以及它们将打开的端口号。您最感兴趣的内容包括：

当在 域 模式下运行时，套接字配置会稍微复杂，因为示例 domain.xml 文件定义了多个 socket-binding-groups。如果向下滚动到 server-group 定义，您可以看到每个 server-group 使用什么 socket-binding-group。

    <server-groups>
        <server-group name="load-balancer-group" profile="load-balancer">
            ...
            <socket-binding-group ref="load-balancer-sockets"/>
        </server-group>
        <server-group name="auth-server-group" profile="auth-server-clustered">
            ...
            <socket-binding-group ref="ha-sockets"/>
        </server-group>
    </server-groups>

这个默认行为由每个 Red Hat Single Sign-On 域的 SSL/HTTPS 模式定义。《 服务器管理指南》 中会对此进行更为详细的探讨，但让我们给出一些上下文并简要概述这些模式。

在 Red Hat Single Sign-On 管理控制台中配置每个域的 SSL 模式。

$ keytool -genkey -alias localhost -keyalg RSA -keystore keycloak.jks -validity 10950
    Enter keystore password: secret
    Re-enter new password: secret
    What is your first and last name?
    [Unknown]:  localhost
    What is the name of your organizational unit?
    [Unknown]:  Keycloak
    What is the name of your organization?
    [Unknown]:  Red Hat
    What is the name of your City or Locality?
    [Unknown]:  Westford
    What is the name of your State or Province?
    [Unknown]:  MA
    What is the two-letter country code for this unit?
    [Unknown]:  US
    Is CN=localhost, OU=Keycloak, O=Test, L=Westford, ST=MA, C=US correct?
    [no]:  yes

Red Hat Single Sign-On 服务器通常需要向它安全的应用程序和服务发出非浏览器 HTTP 请求。auth 服务器通过维护 HTTP 客户端连接池来管理这些传出连接。您需要在 standalone.xml、standalone-ha.xml 或 domain.xml 中进行配置。此文件的位置取决于您的 操作模式。

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property name="connection-pool-size" value="256"/>
        </properties>
    </provider>
</spi>

可能的配置选项有：

.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

.*\.(google|googleapis)\.com;http://user01:pas2w0rd@www-proxy.acme.com:8080

# All requests to Google APIs should use http://www-proxy.acme.com:8080 as proxy
.*\.(google|googleapis)\.com;http://www-proxy.acme.com:8080

# All requests to internal systems should use no proxy
.*\.acme\.com;NO_PROXY

# All other requests should use http://fallback:8080 as proxy
.*;http://fallback:8080

echo SETUP: Configure proxy routes for HttpClient SPI

# In case there is no connectionsHttpClient definition yet
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:add(enabled=true)

# Configure the proxy-mappings
/subsystem=keycloak-server/spi=connectionsHttpClient/provider=default:write-attribute(name=properties.proxy-mappings,value=[".*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080",".*\\.acme\\.com;NO_PROXY",".*;http://fallback:8080"])

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property
            name="proxy-mappings"
            value="[&quot;.*\\.(google|googleapis)\\.com;http://www-proxy.acme.com:8080&quot;,&quot;.*\\.acme\\.com;NO_PROXY&quot;,&quot;.*;http://fallback:8080&quot;]"/>
        </properties>
    </provider>
</spi>

HTTPS_PROXY=https://www-proxy.acme.com:8080
NO_PROXY=google.com,login.facebook.com

<spi name="connectionsHttpClient">
    <provider name="default" enabled="true">
        <properties>
            <property name="proxy-mappings" value=".*;NO_PROXY"/>
        </properties>
    </provider>
</spi>

$ keytool -import -alias HOSTDOMAIN -keystore truststore.jks -file host-certificate.cer

<spi name="truststore">
    <provider name="file" enabled="true">
        <properties>
            <property name="file" value="path to your .jks file containing public certificates"/>
            <property name="password" value="password"/>
            <property name="hostname-verification-policy" value="WILDCARD"/>
            <property name="enabled" value="true"/>
        </properties>
    </provider>
</spi>

部署 Red Hat Single Sign-On 的推荐网络架构是在公共 IP 地址上设置 HTTP/HTTPS 负载平衡器，该地址将请求路由到位于专用网络上的红帽单点登录服务器。这会隔离所有集群连接，并提供一个保护服务器的正常方法。

Red Hat Single Sign-On 还附带利用域模式的开箱即用的集群演示。详情请查看集群域示例 章节。

本节讨论在集群的 Red Hat Single Sign-On 部署前面放置反向代理或负载均衡器前需要配置的多个内容。它还涵盖配置群集 域示例 的内置负载均衡器。

下图演示了负载平衡器的使用。在本例中，负载均衡器充当三个红帽单点登录服务器集群之间的反向代理。

<subsystem xmlns="urn:jboss:domain:undertow:12.0">
   <buffer-cache name="default"/>
   <server name="default-server">
      <ajp-listener name="ajp" socket-binding="ajp"/>
      <http-listener name="default" socket-binding="http" redirect-socket="https"
          proxy-address-forwarding="true"/>
      ...
   </server>
   ...
</subsystem>

<subsystem xmlns="urn:jboss:domain:undertow:12.0">
     <buffer-cache name="default"/>
     <server name="default-server">
         <ajp-listener name="ajp" socket-binding="ajp"/>
         <http-listener name="default" socket-binding="http" redirect-socket="https"/>
         <host name="default-host" alias="localhost">
             ...
             <filter-ref name="proxy-peer"/>
         </host>
     </server>
        ...
     <filters>
         ...
         <filter name="proxy-peer"
                 class-name="io.undertow.server.handlers.ProxyPeerAddressHandler"
                 module="io.undertow.core" />
     </filters>
 </subsystem>

<subsystem xmlns="urn:jboss:domain:undertow:12.0">
    ...
    <http-listener name="default" socket-binding="http"
        proxy-address-forwarding="true" redirect-socket="proxy-https"/>
    ...
</subsystem>

$ domain.sh --host-config=host-master.xml -Djboss.bind.address=192.168.0.2 -Djboss.bind.address.management=192.168.0.2

$ domain.sh --host-config=host-slave.xml
     -Djboss.bind.address=192.168.0.5
      -Djboss.bind.address.management=192.168.0.5
       -Djboss.domain.master.address=192.168.0.2

典型的集群部署由负载均衡器（代理）以及 2 个或更多专用网络上的 Red Hat Single Sign-On 服务器组成。出于性能目的，如果负载均衡器将与特定浏览器会话相关的所有请求转发到同一红帽单点登录后端节点，则可能会很有用。

其原因在于，Red Hat Single Sign-On 正在使用在覆盖下的 Infinispan 分布式缓存来保存与当前身份验证会话和用户会话相关的数据。Infinispan 分布式缓存默认使用一个所有者进行配置。这意味着特定的会话只保存在一个集群节点中，如果其他节点想要访问会话，则其他节点需要远程查找会话。

例如，如果 ID 为 123 的身份验证会话保存在 node1 上的 Infinispan 缓存中，而 node2 需要通过网络将请求发送到 node1，才能返回特定的会话实体。

如果特定会话实体总是在本地可用，可以使用粘性会话的帮助来完成。集群环境中的工作流带有公共前端负载均衡器，两个后端 Red Hat Single Sign-On 节点都可以如下：

此时，如果负载均衡器将所有下一请求转发到 node2，这是节点，其所有者为 ID 为 123，因此 Infinispan 可以在本地查找此会话。身份验证完成后，身份验证会话将转换为用户会话，因此也会保存在 node2 上，因为它具有相同的 ID 123。

在集群设置中不强制使用粘性会话，但出于上述原因，最好是性能。您需要通过 AUTH_SESSION_ID Cookie 将负载平衡器配置为粘性。它如何取决于您的负载均衡器。

建议在 Red Hat Single Sign-On 一侧使用系统属性 jboss.node.name，其值与路由名称对应。例如，-Djboss.node.name=node1 将使用 node1 来识别路由。此路由将由 Infinispan 缓存使用，并在节点是特定密钥的所有者时附加到 AUTH_SESSION_ID Cookie。以下是使用这个系统属性启动命令的示例：

cd $RHSSO_NODE1
./standalone.sh -c standalone-ha.xml -Djboss.socket.binding.port-offset=100 -Djboss.node.name=node1

通常在生产环境中，路由名称应使用与后端主机相同的名称，但这不是必须的。您可以使用不同的路由名称。例如，如果您要隐藏您的专用网络内 Red Hat Single Sign-On 服务器的主机名。

<subsystem xmlns="urn:jboss:domain:keycloak-server:1.1">
  ...
    <spi name="stickySessionEncoder">
        <provider name="infinispan" enabled="true">
            <properties>
                <property name="shouldAttachRoute" value="false"/>
            </properties>
        </provider>
    </spi>

</subsystem>

默认集群支持需要 IP 多播。多播是网络广播协议。此协议在引导时用于发现和加入集群。它还用于广播用于复制消息，并使用 Red Hat Single Sign-On 使用的分布式缓存无效。

Red Hat Single Sign-On 的 cluster 子系统在 JGroups 堆栈上运行。开箱即用，集群的绑定地址绑定到专用网络接口，而 127.0.0.1 作为默认 IP 地址。

当集群节点隔离在私有网络中时，它需要访问专用网络才能加入集群或查看集群中的通信。另外，您还可以为集群通信启用身份验证和加密。只要您的专用网络安全，就不需要启用身份验证和加密。在这两种情况下，Red Hat Single Sign-On 不会为集群发送非常敏感信息。

如果要启用集群通信的身份验证和加密，请参阅 JBoss EAP 配置指南中的 保护集群 的安全。

允许 Red Hat Single Sign-On 集群节点同时引导。当 Red Hat Single Sign-On 服务器实例启动时，它可能启动一些数据库迁移、导入或首次初始化。DB 锁定用于防止当集群节点同时引导时相互冲突。

默认情况下，这个锁定的最大超时为 900 秒。如果某个节点正在等待这个锁定，则无法启动失败。通常，您不需要增加/减少默认值，只需在 standalone.xml 中、standalone-ha.xml 或 domain.xml 文件中进行配置。此文件的位置取决于您的 操作模式。

<spi name="dblock">
    <provider name="jpa" enabled="true">
        <properties>
            <property name="lockWaitTimeout" value="900"/>
        </properties>
    </provider>
</spi>

在集群中引导 Red Hat Single Sign-On 取决于您的 操作模式

$ bin/standalone.sh --server-config=standalone-ha.xml

$ bin/domain.sh --host-config=host-master.xml
$ bin/domain.sh --host-config=host-slave.xml

您可能需要使用其他参数或系统属性。例如，绑定主机或系统属性 jboss.node.name 参数 -b 以指定路由的名称，如 Sticky Sessions 部分所述。

为 Red Hat Single Sign-On 配置多个不同的缓存。有一个包含安全应用程序、常规安全数据和配置选项信息的 realm 缓存。还有一个包含用户元数据的用户缓存。这两个缓存都默认为 10000 条目，并使用最近一次使用的驱除策略。它们各自绑定到控制集群设置中驱除的对象修订缓存。这个缓存会被隐式创建，有两倍配置的大小。同样适用于 授权 缓存，它保存授权数据。密钥 缓存保存了有关外部密钥的数据，不需要具有专用修订缓存。它并没有明确声明了 过期时间，因此密钥会被定期过期并强制从外部客户端或身份提供程序下载。

这些缓存的驱除策略和最大条目可以在 standalone. xml、standalone -ha.xml 或 domain.xml 中配置，具体取决于您的 操作模式。在配置文件中，使用 infinispan 子系统有部分，它类似于：

<subsystem xmlns="urn:jboss:domain:infinispan:12.0">
    <cache-container name="keycloak">
        <local-cache name="realms">
            <object-memory size="10000"/>
        </local-cache>
        <local-cache name="users">
            <object-memory size="10000"/>
        </local-cache>
        ...
        <local-cache name="keys">
            <object-memory size="1000"/>
            <expiration max-idle="3600000"/>
        </local-cache>
        ...
    </cache-container>

若要限制或扩展允许的条目的数量，只需添加或编辑特定缓存配置 的对象 元素或特定缓存配置的 expiration 元素。

此外，还有单独的缓存 会话、clientSessions、离线 会话、offClientSessions、loginFailures 和 actionTokens。这些缓存在集群环境中分发，它们默认不会绑定。如果他们有界线，那么某些会话可能会丢失。过期的会话由 Red Hat Single Sign-On 本身内部清除，以避免在不限制的情况下增大这些缓存的大小。如果因为大量会话造成内存问题，您可以尝试：

还有额外的复制缓存 工作，它最常用于在集群节点间发送消息；默认情况下也未绑定。但是，由于此缓存中条目非常短，所以这个缓存不应造成任何内存问题。

有一些缓存，如 会话、authenticationSessions、offlineSessions、login Failure 和一些其他一些（更多详情请参阅 第 10.1 节 “驱除和过期” ），在使用集群设置时将它们配置为分布式缓存。条目不会复制到每个节点，而是选择一个或多个节点作为该数据的所有者。如果节点不是一个特定的缓存条目的所有者，它会查询集群来获取它。这意味着，如果所有拥有数据片段的节点都停机，则数据将永久丢失。默认情况下，Red Hat Single Sign-On 只为数据指定一个所有者。因此，如果一个节点停机，数据就会丢失。这通常意味着用户将被注销，并且必须重新登录。

您可以通过更改 distributed-cache 声明中的 owners 属性来更改复制数据的节点数量。

<subsystem xmlns="urn:jboss:domain:infinispan:12.0">
   <cache-container name="keycloak">
       <distributed-cache name="sessions" owners="2"/>
...

在这里，我们更改了它，至少两个节点将复制一个特定用户的登录会话。

您可以禁用域或用户缓存。

您可以清除域缓存、用户缓存或外部公钥。

要安装 Red Hat Single Sign-On Operator，您可以使用：

RH-SSO Operator 7.6 与 RH-SSO 7.5 完全兼容。7.6 Operator 默认部署 RH-SSO 7.6。要使用 RH-SSO 7.5 镜像，请通过设置 Operator pod 中的 RELATED_IMAGE_RHSSO 环境变量来覆盖镜像协调。要进行该更改，为 OpenShift 集群中的 RH-SSO Operator 更新 OLM 订阅，例如：

apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
spec:
  channel: stable
  config:
    env:
      - name: RELATED_IMAGE_RHSSO
        value: 'registry.redhat.io/rh-sso-7/sso75-openshift-rhel8:7.5'
  name: rhsso-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  ...

完全支持在 RH-SSO 7.5 中使用 RH-SSO Operator 7.6。

您可以通过创建 Keycloak 自定义资源，使用 Operator 自动安装 Red Hat Single Sign-On。当您使用自定义资源安装 Red Hat Single Sign-On 时，您可以创建此处描述的组件和服务，并在下图所示。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-sso
  labels:
    app: sso
spec:
  instances: 1
  externalAccess:
    enabled: True

$ oc describe keycloak <CR-name>

Name:         example-keycloak
Namespace:    keycloak
Labels:       app=sso
Annotations:  <none>
API Version:  keycloak.org/v1alpha1
Kind:         Keycloak
Spec:
  External Access:
    Enabled:  true
  Instances:  1
Status:
  Credential Secret:  credential-example-keycloak
  Internal URL:       https://<External URL to the deployed instance>
  Message:
  Phase:              reconciling
  Ready:              true
  Secondary Resources:
    Deployment:
      keycloak-postgresql
    Persistent Volume Claim:
      keycloak-postgresql-claim
    Prometheus Rule:
      keycloak
    Route:
      keycloak
    Secret:
      credential-example-keycloak
      keycloak-db-secret
    Service:
      keycloak-postgresql
      keycloak
      keycloak-discovery
    Service Monitor:
      keycloak
    Stateful Set:
      keycloak
  Version:
Events:

您可以使用 Operator 在由自定义资源定义的 Red Hat Single Sign-On 中创建域。您可以在 YAML 文件中定义 realm 自定义资源的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakRealm
metadata:
  name: test
  labels:
    app: sso
spec:
  realm:
    id: "basic"
    realm: "basic"
    enabled: True
    displayName: "Basic Realm"
  instanceSelector:
    matchLabels:
      app: sso

$ oc describe keycloak <CR-name>

Name:         example-keycloakrealm
Namespace:    keycloak
Labels:       app=sso
Annotations:  <none>
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakRealm
Metadata:
  Creation Timestamp:  2019-12-03T09:46:02Z
  Finalizers:
    realm.cleanup
  Generation:        1
  Resource Version:  804596
  Self Link:         /apis/keycloak.org/v1alpha1/namespaces/keycloak/keycloakrealms/example-keycloakrealm
  UID:               b7b2f883-15b1-11ea-91e6-02cb885627a6
Spec:
  Instance Selector:
    Match Labels:
      App: sso
  Realm:
    Display Name:  Basic Realm
    Enabled:       true
    Id:            basic
    Realm:         basic
Status:
  Login URL:
  Message:
  Phase:      reconciling
  Ready:      true
Events:       <none>

其他资源

您可以使用 Operator 在 Red Hat Single Sign-On 中创建由自定义资源定义的客户端。您可以在 YAML 文件中定义 realm 的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakClient
metadata:
  name: example-client
  labels:
    app: sso
spec:
  realmSelector:
     matchLabels:
      app: <matching labels for KeycloakRealm custom resource>
  client:
    # auto-generated if not supplied
    #id: 123
    clientId: client-secret
    secret: client-secret
    # ...
    # other properties of Keycloak Client

apiVersion: v1
data:
  CLIENT_ID: <base64 encoded Client ID>
  CLIENT_SECRET: <base64 encoded Client Secret>
kind: Secret

Operator 处理自定义资源后，使用以下命令查看状态：

$ oc describe keycloak <CR-name>

Name:         client-secret
Namespace:    keycloak
Labels:       app=sso
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakClient
Spec:
  Client:
    Client Authenticator Type:     client-secret
    Client Id:                     client-secret
    Id:                            keycloak-client-secret
  Realm Selector:
    Match Labels:
      App:  sso
Status:
  Message:
  Phase:    reconciling
  Ready:    true
  Secondary Resources:
    Secret:
      keycloak-client-secret-client-secret
Events:  <none>

您可以使用 Operator 在 Red Hat Single Sign-On 中创建由自定义资源定义的用户。您可以在 YAML 文件中定义用户自定义资源的属性。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakUser
metadata:
  name: example-user
spec:
  user:
    username: "realm_user"
    firstName: "John"
    lastName: "Doe"
    email: "user@example.com"
    enabled: True
    emailVerified: False
    credentials:
      - type: "password"
        value: "12345"
    realmRoles:
      - "offline_access"
    clientRoles:
      account:
        - "manage-account"
      realm-management:
        - "manage-users"
  realmSelector:
    matchLabels:
      app: sso

例如：

kind: Secret
apiVersion: v1
data:
  password: <base64 encoded password>
  username: <base64 encoded username>
type: Opaque

Operator 处理自定义资源后，使用以下命令查看状态：

$ oc describe keycloak <CR-name>

Name:         example-realm-user
Namespace:    keycloak
Labels:       app=sso
API Version:  keycloak.org/v1alpha1
Kind:         KeycloakUser
Spec:
  Realm Selector:
    Match Labels:
      App: sso
  User:
    Email:           realm_user@redhat.com
    Credentials:
      Type:          password
      Value:         <user password>
    Email Verified:  false
    Enabled:         true
    First Name:      John
    Last Name:       Doe
    Username:        realm_user
Status:
  Message:
  Phase:    reconciled
Events:     <none>

您可以通过创建一个 keycloak-db-secret YAML 文件并将 Keycloak CR externalDatabase 属性设置为 enabled，来使用 Operator 连接到外部 PostgreSQL 数据库。请注意，值为 Base64 编码。

apiVersion: v1
kind: Secret
metadata:
    name: keycloak-db-secret
    namespace: keycloak
stringData:
    POSTGRES_DATABASE: <Database Name>
    POSTGRES_EXTERNAL_ADDRESS: <External Database IP or URL (resolvable by K8s)>
    POSTGRES_EXTERNAL_PORT: <External Database Port>
    POSTGRES_PASSWORD: <Database Password>
    # Required for AWS Backup functionality
    POSTGRES_SUPERUSER: "true"
    POSTGRES_USERNAME: <Database Username>
    SSLMODE: <TLS configuration for the Database connection>
type: Opaque

以下属性设置数据库的主机名或 IP 地址和端口。

其他属性的工作方式与托管或外部数据库相同。将它们设置为如下：

启用 SSL_MODE 后，Operator 会搜索名为 keycloak-db-ssl-cert-secret 的 secret，其中包含 PostgreSQL 数据库使用的 root.crt。创建 secret 是可选的，只有在您希望验证数据库的证书时（例如 SSLMODE: verify-ca）才会使用该 secret。下面是一个示例：

apiVersion: v1
kind: Secret
metadata:
  name: keycloak-db-ssl-cert-secret
  namespace: keycloak
type: Opaque
data:
  root.crt: {root.crt base64}

Operator 将创建一个名为 keycloak-postgresql 的服务。此服务由 Operator 配置，以根据 POSTGRES_EXTERNAL_ADDRESS 的内容公开外部数据库。Red Hat Single Sign-On 使用这个服务连接到数据库，这意味着它不会直接连接到数据库，而是通过这个服务。

Operator 将创建一个名为 keycloak-postgresql 的服务。此服务由 Operator 配置，以根据 POSTGRES_EXTERNAL_ADDRESS 的内容公开外部数据库。Red Hat Single Sign-On 使用这个服务连接到数据库，这意味着它不会直接连接到数据库，而是通过这个服务。

Keycloak 自定义资源需要更新来启用外部数据库支持。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  labels:
      app: sso
  name: example-keycloak
  namespace: keycloak
spec:
  externalDatabase:
    enabled: true
  instances: 1

您可以使用 Operator 来调度由自定义资源定义的数据库备份。自定义资源会触发备份作业并报告其状态。

您可以使用 Operator 创建对本地持久性卷执行一次性备份的备份作业。

apiVersion: keycloak.org/v1alpha1
kind: KeycloakBackup
metadata:
  name: test-backup

您可以使用 Operator 安装您公司或机构所需的扩展。扩展或主题可以是 Red Hat Single Sign-On 可以使用的任何事物。例如，您可以添加指标扩展。您可以在 Keycloak 自定义资源中添加扩展或主题。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-keycloak
  labels:
   app: sso
spec:
  instances: 1
  extensions:
   - <url_for_extension_or_theme>
  externalAccess:
    enabled: True

您可以像任何其他扩展一样打包和部署主题。如需更多信息，请参阅 部署主题 手动条目。

Operator 下载扩展或主题并安装它。

在创建自定义请求后，您可以使用 oc 命令编辑或删除请求。

例如，要编辑名为 test-realm 的域自定义请求，请使用以下命令：

$ oc edit test-realm

这时将打开一个窗口，您可以在其中进行更改。

您可以配置 Operator 如何执行 Red Hat Single Sign-On 升级。您可以从以下升级策略中选择。

apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  name: example-keycloak
  labels:
   app: sso
spec:
  instances: 2
  migration:
    strategy: recreate
    backups:
      enabled: True
  externalAccess:
    enabled: True