lxluxo23/sacg-cronogramas
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

update

Browse Source
This commit is contained in:
luis cespedes 2025-05-15 17:07:31 -04:00
parent db0815f3ed
commit 1dd5f1644f
2 changed files with 359 additions and 89 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

5
src/app/app.config.ts
View File

@ -51,8 +51,8 @@ export const appConfig: ApplicationConfig = {
// Provide Keycloak with initOptions - this automatically creates an APP_INITIALIZER
provideKeycloak({
config: {
url: 'http://localhost:8080', // Asegúrate de que esta URL coincida con tu servidor Keycloak
realm: 'angular-app', // Asegúrate de que este realm existe en tu servidor Keycloak
url: 'http://localhost:8080',
realm: 'angular-app',
clientId: 'angular-app',
},
initOptions: {
@ -62,7 +62,6 @@ export const appConfig: ApplicationConfig = {
pkceMethod: 'S256',
enableLogging: true
},
// Configure the interceptor by providing the URLs where to include the token
providers: [
{
provide: INCLUDE_BEARER_TOKEN_INTERCEPTOR_CONFIG,

443
tutorial-keycloak-completo.md
View File

@ -1,24 +1,131 @@
# Tutorial Completo: Implementación de Keycloak con LDAP e Integración con Angular
# Tutorial: Autenticación con Keycloak, OpenLDAP y Angular
Este tutorial comprensivo explica cómo configurar un sistema de autenticación completo utilizando Keycloak como proveedor de identidad, OpenLDAP como directorio de usuarios, y cómo integrar este sistema con una aplicación Angular moderna. La guía cubre desde la configuración del entorno básico hasta las técnicas más avanzadas de integración con Angular 19.
> **NOTA IMPORTANTE:** Este tutorial utiliza el dominio "correos.com" únicamente con fines demostrativos y educativos. No representa ninguna organización real ni establece ninguna afiliación oficial. Al implementar este sistema en un entorno de producción, deberás sustituirlo por tu propio dominio.
## Índice
1. [Preparación del entorno](#1-preparación-del-entorno)
2. [Instalación y configuración de OpenLDAP](#2-instalación-y-configuración-de-openldap)
3. [Crear estructura LDAP para usuarios y grupos](#3-crear-estructura-ldap-para-usuarios-y-grupos)
4. [Instalación y configuración de Keycloak](#4-instalación-y-configuración-de-keycloak)
5. [Configuración de Keycloak en la interfaz web](#5-configuración-de-keycloak-en-la-interfaz-web)
6. [Integración con Angular: Enfoque básico](#6-integración-con-angular-enfoque-básico)
7. [Integración con Angular 19: Enfoque moderno](#7-integración-con-angular-19-enfoque-moderno)
8. [Servicios de autenticación avanzados](#8-servicios-de-autenticación-avanzados)
9. [Guardias de ruta e interceptores HTTP](#9-guardias-de-ruta-e-interceptores-http)
10. [Componentes de UI para login/logout](#10-componentes-de-ui-para-loginlogout)
11. [Arquitectura del sistema](#11-arquitectura-del-sistema)
12. [Resolución de problemas comunes](#12-resolución-de-problemas-comunes)
13. [Verificación y prueba del sistema](#13-verificación-y-prueba-del-sistema)
14. [Recursos adicionales](#14-recursos-adicionales)
15. [Resumen](#15-resumen)
1. [Fundamentos de Autenticación Empresarial](#fundamentos-de-autenticación-empresarial-ldap-keycloak-y-angular)
2. [Preparación del entorno](#1-preparación-del-entorno)
3. [Instalación y configuración de OpenLDAP](#2-instalación-y-configuración-de-openldap)
4. [Crear estructura LDAP para usuarios y grupos](#3-crear-estructura-ldap-para-usuarios-y-grupos)
5. [Instalación y configuración de Keycloak](#4-instalación-y-configuración-de-keycloak)
6. [Configuración de Keycloak en la interfaz web](#5-configuración-de-keycloak-en-la-interfaz-web)
7. [Integración con Angular: Enfoque básico](#6-integración-con-angular-enfoque-básico)
8. [Integración con Angular 19: Enfoque moderno](#7-integración-con-angular-19-enfoque-moderno)
9. [Servicios de autenticación avanzados](#8-servicios-de-autenticación-avanzados)
10. [Guardias de ruta e interceptores HTTP](#9-guardias-de-ruta-e-interceptores-http)
11. [Componentes de UI para login/logout](#10-componentes-de-ui-para-loginlogout)
12. [Arquitectura del sistema](#11-arquitectura-del-sistema)
13. [Consideraciones de seguridad y buenas prácticas](#12-consideraciones-de-seguridad)
14. [Resolución de problemas comunes](#13-resolución-de-problemas-comunes)
15. [Verificación y prueba del sistema](#14-verificación-y-prueba-del-sistema)
16. [Recursos adicionales](#15-recursos-adicionales)
17. [Resumen](#16-resumen)
# Fundamentos de Autenticación Empresarial: LDAP, Keycloak y Angular
Antes de comenzar con los pasos de implementación, es importante entender los conceptos fundamentales detrás de esta arquitectura de autenticación y los problemas que resuelve.
## ¿Qué es LDAP?
LDAP (Lightweight Directory Access Protocol) es un protocolo estándar diseñado para acceder y mantener servicios de información de directorio distribuidos. Esencialmente, es una base de datos especializada optimizada para operaciones de lectura, búsqueda y autenticación, pero no para transacciones complejas como las bases de datos relacionales.
### Características principales de LDAP:
- **Estructura jerárquica**: Organiza la información en forma de árbol (similar a un sistema de archivos)
- **Optimizado para lectura**: Proporciona acceso rápido a datos que cambian con poca frecuencia
- **Centralización de la información**: Almacena datos de usuarios, grupos, permisos y recursos en un solo lugar
- **Estandarizado**: Compatible con múltiples plataformas y aplicaciones
### ¿Por qué usar LDAP?
- **Gestión centralizada de identidades**: Permite mantener toda la información de usuarios en un solo lugar
- **Reducción de complejidad administrativa**: Evita tener que gestionar usuarios en múltiples sistemas
- **Autenticación unificada**: Los usuarios pueden acceder a múltiples servicios con las mismas credenciales
- **Escalabilidad**: Puede manejar desde pequeñas organizaciones hasta grandes empresas con millones de usuarios
En el contexto empresarial, LDAP se utiliza principalmente como directorio centralizado de usuarios, lo que facilita la gestión de identidades y permisos a nivel organizacional.
## ¿Qué es Keycloak?
Keycloak es una solución de código abierto para gestión de identidad y acceso (IAM) desarrollada por Red Hat. Actúa como un servidor de autenticación y autorización para aplicaciones y servicios.
### Características principales de Keycloak:
- **SSO (Single Sign-On)**: Permite a los usuarios autenticarse una vez y acceder a múltiples aplicaciones
- **Federation de identidades**: Puede integrar múltiples fuentes de usuarios (como LDAP, Active Directory, bases de datos)
- **Autenticación multifactor**: Soporta verificación en dos pasos y otros métodos de autenticación avanzados
- **Protocolos estándar**: Implementa OAuth 2.0, OpenID Connect, SAML 2.0
- **Administración centralizada**: Interfaz web para gestionar usuarios, roles, permisos y aplicaciones
- **Personalizable**: Temas, flujos de autenticación y políticas adaptables
### ¿Por qué usar Keycloak?
- **Implementación rápida de seguridad**: Proporciona funcionalidades robustas sin necesidad de desarrollarlas
- **Experiencia de usuario mejorada**: Los usuarios solo necesitan recordar una contraseña
- **Cumplimiento normativo**: Ayuda a implementar políticas de seguridad requeridas por regulaciones
- **Flexibilidad**: Puede funcionar como intermediario entre aplicaciones modernas y sistemas de identidad heredados
## Objetivo de la integración LDAP + Keycloak + Angular
El objetivo principal de esta arquitectura es implementar un sistema de autenticación empresarial completo y seguro que:
1. **Centralice la gestión de usuarios** en un directorio LDAP
2. **Modernice el acceso** mediante Keycloak, que actúa como proveedor de identidad (IdP)
3. **Integre aplicaciones modernas** (Angular) con esta infraestructura de autenticación
Esta combinación crea una solución robusta donde LDAP almacena los datos de usuarios, Keycloak gestiona la autenticación/autorización y la aplicación Angular consume estos servicios de forma segura.
## Problemas que soluciona esta arquitectura
### 1. Fragmentación de identidades
**Problema**: En organizaciones grandes, es común tener usuarios duplicados en diferentes sistemas.
**Solución**: LDAP centraliza la información de usuarios, mientras Keycloak expone estos datos a aplicaciones modernas.
### 2. Experiencia de usuario deficiente
**Problema**: Obligar a los usuarios a iniciar sesión en cada aplicación por separado.
**Solución**: Single Sign-On a través de Keycloak permite autenticarse una sola vez para acceder a múltiples aplicaciones.
### 3. Seguridad inconsistente
**Problema**: Cada aplicación implementa su propia seguridad, con diferentes estándares y posibles vulnerabilidades.
**Solución**: Keycloak implementa prácticas de seguridad modernas de forma centralizada.
### 4. Dificultad para implementar autenticación robusta
**Problema**: Implementar OAuth2, OpenID Connect o SAML desde cero es complejo y propenso a errores.
**Solución**: Keycloak proporciona estas implementaciones listas para usar.
### 5. Gestión compleja de accesos
**Problema**: Administrar quién puede acceder a qué recursos en múltiples aplicaciones.
**Solución**: Roles y grupos centralizados que se aplican consistentemente en todas las aplicaciones.
## Arquitectura general de la solución
```
+-------------------+ +-------------------+ +-------------------+
| | | | | |
| OpenLDAP |<---->| Keycloak |<---->| Angular App |
| (Directorio) | | (IdP) | | (Cliente) |
| | | | | |
+-------------------+ +-------------------+ +-------------------+
^
|
v
+-------------------+
| |
| APIs/Backends |
| (Recursos) |
| |
+-------------------+
```
1. **OpenLDAP** actúa como almacén principal de usuarios y grupos
2. **Keycloak** se conecta a LDAP y expone sus datos a través de protocolos modernos
3. **Angular** se comunica con Keycloak para autenticación y obtención de tokens
4. Los **backends/APIs** verifican los tokens emitidos por Keycloak
A continuación, veremos paso a paso cómo implementar esta arquitectura.
## 1. Preparación del entorno
@ -76,6 +183,8 @@ ng version
sudo apt install slapd ldap-utils -y
```
![](https://i.ibb.co/5WJpwRZN/imagen.png)
Durante la instalación, se te pedirá configurar una contraseña de administrador para LDAP.
### Reconfigurar LDAP con el dominio correcto
@ -84,6 +193,7 @@ Durante la instalación, se te pedirá configurar una contraseña de administrad
sudo dpkg-reconfigure slapd
```
En la configuración:
1. "¿Omitir configuración del servidor LDAP?" → No
@ -95,11 +205,22 @@ En la configuración:
7. "¿Quiere que se elimine la base de datos cuando se purgue slapd?" → No
8. "¿Mover la base de datos antigua?" → Sí
![](https://i.ibb.co/JR7j4MvN/imagen.png)
![](https://i.ibb.co/WN54f8y9/imagen.png)
![](https://i.ibb.co/LzY3gwBV/imagen.png)
![](https://i.ibb.co/HTk3N29Y/imagen.png)
### Verificar que LDAP se esté ejecutando correctamente
```bash
sudo systemctl status slapd
```
![](https://i.ibb.co/RXPrQMr/imagen.png)
### Comprobar la conexión LDAP básica
@ -107,7 +228,7 @@ sudo systemctl status slapd
ldapsearch -x -H ldap://localhost -b dc=correos,dc=com -D "cn=admin,dc=correos,dc=com" -W
```
### Instalar phpLDAPadmin para la gestión gráfica
### Instalar phpLDAPadmin para la gestión gráfica (opcional)
```bash
sudo apt install phpldapadmin -y
@ -124,12 +245,14 @@ sudo nano /etc/phpldapadmin/config.php
Busca y modifica las siguientes líneas:
```php
$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','base',array('dc=correos,dc=com'));
$servers->setValue('login','bind_id','cn=admin,dc=correos,dc=com');
```
![](https://i.ibb.co/20j0H35m/imagen.png)
![enter image description here](https://i.ibb.co/ycpGfxKP/imagen.png)
Y cambia esta línea:
Y cambia descomenta y cambia esta línea:
```php
$servers->setValue('login','anon_bind',true);
@ -141,6 +264,8 @@ por:
$servers->setValue('login','anon_bind',false);
```
![](https://i.ibb.co/FkZB3mkp/imagen.png)
![](https://i.ibb.co/4w0hDZqG/imagen.png)
Reinicia el servidor web:
```bash
@ -211,11 +336,11 @@ ldapadd -x -D cn=admin,dc=correos,dc=com -W -f ~/grupos.ldif
### Crear usuarios LDAP
Primero, genera contraseñas encriptadas para los usuarios:
> Aca usaremos la misma contraseña para todos los usuarios para temas practicos
```bash
slappasswd -s "password123"
```
![](https://i.ibb.co/twQFcVxH/imagen.png)
Anota el hash resultante para usarlo en el siguiente archivo.
Crea un archivo para los usuarios:
@ -224,8 +349,6 @@ Crea un archivo para los usuarios:
nano ~/usuarios.ldif
```
Con el siguiente contenido (reemplazando {HASH} con el hash que generaste):
```ldif
dn: uid=admin,ou=usuarios,dc=correos,dc=com
objectClass: inetOrgPerson
@ -238,7 +361,7 @@ cn: Admin User
displayName: Admin User
uidNumber: 1000
gidNumber: 1000
userPassword: {HASH}
userPassword: {SSHA}b69lOkbaZgYsKpfvpBkJbq4rGINF4PwB
loginShell: /bin/bash
homeDirectory: /home/admin
mail: admin@correos.com
@ -254,7 +377,7 @@ cn: Dev User
displayName: Developer User
uidNumber: 1001
gidNumber: 1001
userPassword: {HASH}
userPassword: {SSHA}b69lOkbaZgYsKpfvpBkJbq4rGINF4PwB
loginShell: /bin/bash
homeDirectory: /home/developer
mail: developer@correos.com
@ -270,7 +393,7 @@ cn: Normal User
displayName: Normal User
uidNumber: 1002
gidNumber: 1002
userPassword: {HASH}
userPassword: {SSHA}b69lOkbaZgYsKpfvpBkJbq4rGINF4PwB
loginShell: /bin/bash
homeDirectory: /home/user
mail: user@correos.com
@ -365,6 +488,7 @@ hostname=localhost
# Configuración de administrador inicial
http-enabled=true
```
![](https://i.ibb.co/GfHYrGtR/imagen.png)
### Iniciar Keycloak en modo desarrollo
@ -375,9 +499,8 @@ export KEYCLOAK_ADMIN_PASSWORD=admin
sudo -u keycloak bin/kc.sh start-dev
```
Esto iniciará Keycloak con un usuario administrador "admin" y contraseña "admin".
### Configurar Keycloak como servicio
### Configurar Keycloak como servicio (opcional)
En otra terminal, crea un archivo de servicio systemd:
@ -421,19 +544,23 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
- Usuario: `admin`
- Contraseña: `admin`
Esto iniciará Keycloak con un usuario administrador "admin" y contraseña "admin" tambien pedira cambiar la contraseña
![](https://i.ibb.co/jk3LqsSN/imagen.png)
### Crear un nuevo Reino (Realm)
1. Haz clic en el menú desplegable superior izquierdo que dice "master"
1. Haz clic en el menú desplegable superior izquierdo que dice "Manage realm"
2. Selecciona "Create Realm"
3. Ingresa el nombre: `angular-app`
4. Haz clic en "Create"
![](https://i.ibb.co/67kXBLFq/imagen.png)
### Configurar la Federación de Usuarios LDAP
1. En el menú lateral izquierdo, selecciona "User Federation"
2. Haz clic en "Add provider" → "ldap"
2. Haz clic en "Add Ldap provider"
![enter image description here](https://i.ibb.co/ycdTbg8h/imagen.png)
3. Completa los siguientes campos:
- Console Display Name: `LDAP`
@ -443,6 +570,8 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
- Bind Type: `simple`
- Bind DN: `cn=admin,dc=correos,dc=com`
- Bind Credential: (la contraseña de admin LDAP)
![](https://i.ibb.co/nsFXWMJc/imagen.png)
- Edit Mode: `WRITABLE`
- Users DN: `ou=usuarios,dc=correos,dc=com`
- Username LDAP attribute: `uid`
@ -452,10 +581,16 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
- Custom User LDAP Filter: (dejar en blanco)
- Search Scope: `One Level`
4. Haz clic en "Test connection" y "Test authentication" para verificar
![](https://i.ibb.co/fzP0DQ03/imagen.png)
5. Guarda la configuración
> mas abajo hay mas configuraciones pero se quedan en su valor por defecto,
> despues de guardar regresara a la pestaña anterior donde tendremos que precionar en la configuracion recien creada
![](https://i.ibb.co/v438fVqL/imagen.png)
6. En la pantalla del proveedor LDAP, ve a la pestaña "Synchronization"
![](https://i.ibb.co/JRq7tDB6/imagen.png)
7. Haz clic en "Sync all users"
@ -463,26 +598,46 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
### Configurar el Mapeo de Grupos LDAP
1. En la pantalla del proveedor LDAP, ve a la pestaña "Mappers"
2. Haz clic en "Create"
3. Completa:
- Name: `group-mapper`
- Mapper Type: `group-ldap-mapper`
- LDAP Groups DN: `ou=grupos,dc=correos,dc=com`
- Group Object Classes: `posixGroup`
- Membership LDAP Attribute: `memberUid`
- Group Name LDAP Attribute: `cn`
- **Membership Attribute Type: `UID`** (¡IMPORTANTE! Debe ser UID, no DN)
- Membership User LDAP Attribute: `uid`
- User Roles Retrieve Strategy: `LOAD_GROUPS_BY_MEMBER_ATTRIBUTE`
- Member-Of LDAP Attribute: `memberOf`
- Mapped Group Attributes: (dejar en blanco)
- Drop non-existing groups during sync: `ON`
4. Haz clic en "Save"
5. En la pantalla del mapper, haz clic en "Sync LDAP Groups to Keycloak"
![](https://i.ibb.co/Q7SqL2sM/imagen.png)
2. Haz clic en "Add mapper"
![enter image description here](https://i.ibb.co/ZRLDsqFs/imagen.png)
3.# Configuración Corregida del Mapeo de Grupos LDAP en Keycloak
> **Nota importante sobre el Membership Attribute Type:**
> Es crucial seleccionar `UID` y no `DN` porque en nuestra estructura LDAP, los valores de `memberUid` contienen solo el uid simple del usuario (admin, developer, user) y no el DN completo. Si configuras este campo incorrectamente como `DN`, aparecerá un error al intentar ver los miembros de cualquier grupo.
3. En la pantalla del proveedor LDAP, ve a la pestaña "Mappers"
4. Haz clic en "Add mapper"
5. Completa los siguientes campos exactamente en este orden:
- **Name**: `group-mapper`
- **Mapper type**: `group-ldap-mapper`
- **LDAP Groups DN**: `ou=grupos,dc=correos,dc=com`
- **Relative creation DN**: (dejar en blanco)
- **Group Name LDAP Attribute**: `cn`
- **Group Object Classes**: `posixGroup`
- **Preserve Group Inheritance**: `Off` _(¡IMPORTANTE! Debe estar desactivado para funcionar con Membership Attribute Type: UID)_
- **Ignore Missing Groups**: `Off`
- **Membership LDAP Attribute**: `memberUid`
- **Membership Attribute Type**: `UID` _(¡IMPORTANTE! Debe ser UID, no DN )_
- **Membership User LDAP Attribute**: `uid`
- **LDAP Filter**: (dejar en blanco)
- **Mode**: `LDAP_ONLY`
- **User Roles Retrieve Strategy**: `LOAD_GROUPS_BY_MEMBER_ATTRIBUTE`
- **Member-Of LDAP Attribute**: `memberOf`
- **Mapped Group Attributes**: (dejar en blanco)
- **Drop non-existing groups during sync**: `ON`
- **Groups Path**: `/`
6. Haz clic en "Save"
> **Nota importante**: Esta configuración está optimizada para tu estructura LDAP donde se utiliza `posixGroup` con atributos `memberUid` simples (no DNs). El punto crítico para evitar el error es asegurarte de que **"Preserve Group Inheritance" esté desactivado (Off)** cuando usas el tipo de membresía UID.
![](https://i.ibb.co/bjVYx4Zn/imagen.png)
> al igual que con el provedor ldap , al guardar se regresara a la pantalla anterior , donde tendremos que hacer click nuevamente en el mapper
7. En la pantalla del mapper, haz clic en "Sync LDAP Groups to Keycloak"
![](https://i.ibb.co/SD1GFcDZ/imagen.png)
### Crear un Cliente para Angular
1. En el menú lateral izquierdo, selecciona "Clients"
@ -495,11 +650,13 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
- Client ID: `angular-app`
- Name: `Angular Application`
- Haz clic en "Next"
![](https://i.ibb.co/XHCgj5Y/imagen.png)
4. En la siguiente pantalla (para aplicaciones SPA modernas):
- Client authentication: `OFF` (para aplicaciones SPA)
- Authorization: `OFF`
- Haz clic en "Next"
-
5. En la siguiente pantalla:
- Root URL: `http://localhost:4200`
@ -507,6 +664,7 @@ Ahora puedes acceder a la consola de administración de Keycloak en http://local
- Valid redirect URIs: `http://localhost:4200/*`
- Web origins: `http://localhost:4200` (o usar `+` para permitir todos los orígenes durante desarrollo)
- Haz clic en "Save"
![](https://i.ibb.co/Zp0r5wXY/imagen.png)
Para aplicaciones que no son SPA, puedes habilitar "Client authentication" y obtener un client secret que deberás usar en la configuración.
@ -527,30 +685,6 @@ npm install keycloak-angular keycloak-js
### Configurar Keycloak en Angular
Crea un archivo de configuración en `src/assets/keycloak.json`:
```json
{
"realm": "angular-app",
"auth-server-url": "http://localhost:8080/",
"resource": "angular-app",
"public-client": true
}
```
Si tu cliente en Keycloak tiene autenticación habilitada, deberás agregar el campo credentials con el client secret:
```json
{
"realm": "angular-app",
"auth-server-url": "http://localhost:8080/",
"resource": "angular-app",
"credentials": {
"secret": "TU_CLIENT_SECRET_AQUÍ"
}
}
```
Crea un archivo `src/assets/silent-check-sso.html`:
```html
@ -1340,7 +1474,115 @@ El flujo de autenticación funciona de la siguiente manera:
6. Los interceptores HTTP añaden automáticamente el token a las peticiones API
7. Las rutas protegidas verifican los roles del usuario antes de permitir el acceso
## 12. Resolución de problemas comunes
![](https://i.ibb.co/R4GLcqms/imagen.png)
![](https://i.ibb.co/v62KxXkF/imagen.png)
## 12. Consideraciones de seguridad
Al implementar este sistema de autenticación en un entorno de producción, es crucial tener en cuenta diversas consideraciones de seguridad:
### TLS/HTTPS
- **Comunicaciones cifradas**: Todas las comunicaciones entre componentes deben estar protegidas con TLS/HTTPS
- **Certificados válidos**: Utiliza certificados de confianza, evitando certificados autofirmados en producción
- **Configuración de cipher suites**: Configura solo cipher suites seguros y actualizados
```bash
# Ejemplo: Configurar HTTPS en Keycloak
sudo nano /opt/keycloak/conf/keycloak.conf
# Añadir estas líneas:
https-port=8443
https-certificate-file=/path/to/certificate.pem
https-certificate-key-file=/path/to/key.pem
http-enabled=false
```
### Endurecimiento de LDAP
- **Acceso restringido**: Limita el acceso al servidor LDAP solo a Keycloak y servicios de administración
- **Contraseñas robustas**: Implementa políticas de contraseñas fuertes para las cuentas administrativas
- **Auditoría**: Habilita el registro de eventos para todas las operaciones críticas
```bash
# Configurar políticas de contraseñas en OpenLDAP
nano ~/password-policy.ldif
dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcPasswordPolicy
olcPasswordPolicy: 2
ldapadd -Y EXTERNAL -H ldapi:/// -f ~/password-policy.ldif
```
### Seguridad de Keycloak
- **Actualizaciones regulares**: Mantén Keycloak actualizado con las últimas versiones de seguridad
- **Límites de sesión**: Configura tiempos de expiración adecuados para tokens y sesiones
- **Autenticación de dos factores**: Habilita MFA para cuentas privilegiadas
- **Alertas de seguridad**: Configura notificaciones para eventos de seguridad importantes
Para configurar MFA en Keycloak:
1. Ve a Authentication > Flows
2. Duplica el flujo de browser
3. Añade un requerimiento de autenticación OTP
4. Configura este flujo como el predeterminado para autenticación de navegador
### Seguridad en aplicaciones Angular
- **HttpOnly cookies**: Para almacenamiento seguro de tokens de sesión
- **CSP (Content Security Policy)**: Implementa políticas restrictivas para prevenir XSS
- **CSRF protection**: Implementa protección contra falsificación de solicitudes entre sitios
- **Sanitización de entrada**: Valida y limpia todas las entradas de usuario
```typescript
// Ejemplo: Configurar interceptor HTTP para tokens en Angular
@Injectable()
export class AuthInterceptor implements HttpInterceptor {
constructor(private keycloak: KeycloakService) {}
intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
// Añadir token a todas las peticiones
if (this.keycloak.isLoggedIn()) {
request = request.clone({
setHeaders: {
Authorization: `Bearer ${this.keycloak.getToken()}`
}
});
}
return next.handle(request);
}
}
```
### Auditoría y monitoreo
- **Centralización de logs**: Implementa un sistema centralizado de gestión de logs
- **Alertas de seguridad**: Configura alertas para patrones de autenticación sospechosos
- **Monitoreo de disponibilidad**: Implementa health checks para todos los componentes
- **Revisiones periódicas**: Establece un calendario de revisiones de seguridad
### Backups y recuperación
- **Backup regular de LDAP**: Programa backups completos del directorio LDAP
- **Backup de configuración**: Mantén respaldos de la configuración de Keycloak
- **Pruebas de recuperación**: Verifica regularmente que los backups son utilizables
- **Documentación**: Mantén documentación actualizada de los procedimientos de recuperación
```bash
# Ejemplo: Backup de OpenLDAP
slapcat -b "dc=correos,dc=com" -l backup.ldif
# Ejemplo: Backup de Keycloak
/opt/keycloak/bin/kc.sh export --dir /path/to/backup --users realm_file
```
La implementación adecuada de estas medidas de seguridad es tan importante como la configuración técnica del sistema de autenticación. En entornos de producción, estos aspectos deben planificarse desde el inicio del proyecto.
## 13. Resolución de problemas comunes
### Problema: "ldap_bind: Invalid credentials (49)"
@ -1444,7 +1686,7 @@ Este error ocurre cuando hay una configuración incorrecta en el mapeo de grupos
3. **Explicación**: En la estructura LDAP creada, los valores de `memberUid` contienen sólo el uid simple (admin, developer, user) y no el DN completo.
4. Después de hacer el cambio, vuelve a ejecutar "Sync LDAP Groups to Keycloak".
## 13. Verificación y prueba del sistema
## 14. Verificación y prueba del sistema
### Verificar que Keycloak esté sincronizando correctamente con LDAP
@ -1469,7 +1711,7 @@ Este error ocurre cuando hay una configuración incorrecta en el mapeo de grupos
7. Después de iniciar sesión, serás redirigido de vuelta a la aplicación
8. La aplicación mostrará tu perfil y roles
## 14. Recursos adicionales
## 15. Recursos adicionales
- [Documentación oficial de Keycloak](https://www.keycloak.org/documentation)
- [Documentación oficial de OpenLDAP](https://www.openldap.org/doc/)
@ -1477,16 +1719,45 @@ Este error ocurre cuando hay una configuración incorrecta en el mapeo de grupos
- [Guía de migración para Keycloak-Angular v19](https://www.keycloak.org/securing-apps/v19.0.2/angular)
- [Ejemplos de implementación en GitHub](https://github.com/mauriciovigolo/keycloak-angular/tree/main/examples/standalone-app)
## 15. Resumen
## 16. Resumen
Esta configuración proporciona un sistema completo de gestión de identidades y acceso con:
En este tutorial comprensivo, hemos explorado la implementación de un sistema de autenticación empresarial completo basado en OpenLDAP, Keycloak y Angular. Esta arquitectura resuelve problemas fundamentales de seguridad y gestión de identidades en entornos empresariales modernos.
- **Autenticación centralizada**: Los usuarios solo necesitan recordar un conjunto de credenciales
- **Gestión de usuarios unificada**: Todos los usuarios se administran en LDAP
- **Control de acceso basado en roles**: Las rutas y funcionalidades pueden ser protegidas según los roles del usuario
- **Experiencia de inicio de sesión único (SSO)**: Una vez autenticado, el usuario puede acceder a todas las aplicaciones integradas
- **Soporte para versiones modernas de Angular**: Incluye configuraciones para Angular tradicional y Angular 19 con standalone components y signals
### Beneficios principales de esta implementación:
Este sistema es adecuado para entornos empresariales donde se requiere un control de acceso detallado y una gestión centralizada de usuarios.
- **Centralización de usuarios**: A través de OpenLDAP, toda la información de usuarios se mantiene en un único lugar, facilitando la administración y evitando duplicidades.
- **Seguridad robusta**: Keycloak proporciona implementaciones probadas de protocolos de seguridad modernos, reduciendo la superficie de ataque y centralizando políticas de seguridad.
- **Experiencia de usuario mejorada**: Single Sign-On permite a los usuarios acceder a múltiples aplicaciones con una sola autenticación, reduciendo fricción y mejorando la productividad.
- **Modularidad y escalabilidad**: La arquitectura permite añadir nuevas aplicaciones o servicios sin modificar la infraestructura de autenticación central.
- **Flexibilidad**: La capacidad de federación de identidades de Keycloak facilita la integración con sistemas existentes y la migración gradual.
La implementación es nativa en un sistema Ubuntu, lo que la hace ideal para despliegues en servidores VPS o entornos similares sin necesidad de contenedores. También funciona perfectamente en entornos de desarrollo local.
### Aplicaciones prácticas:
Esta arquitectura es particularmente valiosa en:
- **Grandes organizaciones** con múltiples aplicaciones y departamentos
- **Entornos regulados** donde la trazabilidad y control de acceso son críticos
- **Transformaciones digitales** donde coexisten aplicaciones heredadas y modernas
- **Empresas en crecimiento** que necesitan una solución de autenticación que escale
### Próximos pasos recomendados:
Después de implementar esta solución básica, considera:
1. **Implementar autenticación multifactor** para usuarios privilegiados
2. **Configurar alta disponibilidad** para Keycloak y LDAP
3. **Integrar análisis de comportamiento de usuario** para detección de anomalías
4. **Automatizar procesos de aprovisionamiento** con flujos de trabajo personalizados
5. **Implementar monitoreo y alertas de seguridad** para detectar intentos de intrusión
El ecosistema moderno de autenticación está en constante evolución, pero esta implementación proporciona una base sólida sobre la cual construir soluciones de seguridad adaptadas a las necesidades específicas de cada organización.
Con la configuración y conocimientos adquiridos en este tutorial, estarás bien posicionado para implementar y mantener un sistema de autenticación empresarial robusto, seguro y centrado en el usuario.
---
*Nota final: Recuerda que la seguridad es un proceso continuo, no un estado. Mantén todos los componentes actualizados y revisa regularmente las configuraciones y políticas de seguridad para adaptarte a nuevas amenazas y requisitos.*