Keycloak教學手冊
Keycloak教學手冊 版本:1.0 最後更新:2026 年 1 月 適用對象:後端工程師、系統架構師、DevOps、資安人員 定位:企業內部標準教材 文件維護:內部技術團隊 使用情境:大型企業 / 銀行內部系統 最後更新: 2026年1月29日 適用於: 適用於 Keycloak 24.x / 25.x(2024-2025 最新版) Created by: Eric Cheng 目錄 第一章:Keycloak 簡介與核心概念 1.1 Keycloak 是什麼? 1.2 IAM、SSO、OAuth 2.0、OIDC 關係說明 1.3 Token 類型說明 1.4 核心概念:Realm、Client、User、Role、Group 1.5 Authentication vs Authorization 第二章:系統架構設計 2.1 Keycloak 在企業系統中的角色 2.2 整合架構說明 2.3 Token Flow(Authorization Code Flow) 第三章:Keycloak 安裝與部署 3.1 單機部署(Docker) 3.2 生產環境部署建議 3.3 基本啟動參數與環境變數 3.4 Admin Console 存取方式 第四章:Keycloak 基本設定 4.1 Realm 建立與規劃原則 4.2 Client 類型說明 4.3 Redirect URI 與 Web Origin 設定 4.4 User、Role、Group 設定策略 4.5 Realm Role vs Client Role 使用時機 第五章:應用系統如何串接 Keycloak 5.1 Web 前端串接(OIDC) 5.2 Backend API 驗證 Token 機制 5.3 Spring Boot 整合 5.4 常見錯誤與除錯方式 第六章:系統使用情境說明 6.1 SSO 登入流程實例 6.2 使用者角色異動後的影響 6.3 Token 生命週期與 Refresh 機制 6.4 Logout 流程(Single Logout) 第七章:系統維運與管理 7.1 使用者與權限管理最佳實務 7.2 Audit Log 與事件追蹤 7.3 Keycloak Log 說明 7.4 常見營運問題 第八章:高可用與資安建議 8.1 Keycloak HA 架構概念 8.2 Session 與 Token 設計考量 8.3 HTTPS 與憑證管理 8.4 防止 Token 洩漏的設計原則 8.5 與企業資安政策的搭配方式 第九章:系統升級與版本管理 9.1 升級前檢查事項 9.2 資料庫相容性注意事項 9.3 設定變更風險 9.4 Rollback 建議策略 第十章:最佳實務與設計建議 10.1 Realm / Client 命名規範 10.2 多系統共用 Keycloak 的設計原則 10.3 銀行或大型企業常見踩雷點 10.4 開發、測試、正式環境隔離建議 附錄:檢查清單(Checklist) 初次部署檢查清單 日常維運檢查清單 系統整合檢查清單 常見 Q&A 參考資源 第一章:Keycloak 簡介與核心概念 1.1 Keycloak 是什麼? Keycloak 是由 Red Hat 開發並維護的開源 身分與存取管理(Identity and Access Management, IAM) 解決方案,目前為 CNCF 孵化專案。 ...