Zusammenspiel von keycloakV24 und keycloakmigration - broken bei erneutem Start der Migration

[MrSebastian]

Wird die Migration erneut gestartet kommt eine Exception dass der Realm bereits existiert (das erste Skript soll den Realm anlegen).

Beim Zusammenspiel mit Keycloak 20.0.5. wurde das entsprechende Skript geskippt.

Das Problem tritt auf bei Keycloak 24.0.4 in Verbindung mit Migration 0.2.55

---

Workaround

Immer eine komplette Migration machen in dem man im Keycloak den Realm löscht.

Ziel

Es wäre schön wenn das alte Verhalten wieder hergestellt werden könnte, da dass nur die neuen Skripte ausgeführt werden und keine Komplettmigration immer Pflicht ist.

[MrSebastian]

Mit dem RC für 0.2.56 von Migration habe ich es noch nicht ausprobiert.

[MrSebastian]

Bei V20 vom Keycloak hilft ein Löschen des Realms nicht um noch einmal die komplette Migration laufen zu lassen

[MrSebastian]

Bei V20 vom Keycloak hilft ein Löschen des Realms nicht um noch einmal die komplette Migration laufen zu lassen

Damit das funktioniert müssen beim User mit dem die Migration erfolgt (admin) in den Attributes die Migrationseinträge entfernt werden (Auszug auf KeycloakMigration-Doku: The migration hashes are stored in the attribute named ‘migration’ in the migration user).

[MrSebastian]

Empfehlung: wir bleiben bei KeycloakV20, da mit der Version 24 auch nicht mehr die Attribute über die Migration funktionieren. Erstellung einen Tickets zur Sache nach einer leichtgewichtigen Alternative zu Keycloak.

Mit Version 25 sehe ich das gleiche Problem. Das Anlegen von User-Attributen, welche zuerst in den Realm definiert werden müssen, ist aktuell über Keycloak-Migration nicht möglich.

[MrSebastian]

Hilfts das bei dem Problem mit den User-Attributen:? https://www.keycloak.org/server/containers#_importing_a_realm_on_startup

[MrSebastian]

Hat geholfen. Wenn wir den Client nicht erstellen über die API sondern importieren kann das Flag für die unmanagedAttributes gesetzt werden. Vermutlich kann es auch als definiertes UserAttribute-Feld import werden.

[MrSebastian]

Für die aktuelle Entwicklung reicht uns der V20.

Todo

• [ ] Keycloak bei Renovate ignorieren

[dragonfly28]

siehe Kommentare in #361 Ziel wäre, eine Version von Keycloak und Migration-Plugin zu finden, die funktioniert.

[MrSebastian]

Lösungsvorschlag 1:

Wenn eine Migration erfolgt muss immer die gesamte Migration erfolgen. Eine Migration des Deltas ist nicht möglich. Grund dafür ist dass bei dem User der für die Migration verwendet wird, der admin-User vom Master-Realm, keine unmanaged Fields vorhanden sind

Konsequenz

unmittel im Rahmen des Issues

• wir können den aktuellen Keycloak und Migration 0.2.61 verwenden, welches laut deren Github-Seite mit Keycloak 25 erpropt ist
• der WLS-Realm muss beim Start von Keycloak import werden, da auf diese Weise die unmanaged Fields aktiviert werden können
  • das Enable von unmanaged fields ist aus meiner Sicht ausreichend gegenüber der definition der erlaubten Felder. Es ist einfacher und weniger aufwendig. Die Pflege der konkreten Felder und der erlaubten Wert ist für ein Entwicklungsunterstützungstool, welches bald durch den Auth-Service abgelöst wird, nicht verhältnismäßig
• Entfernung des Migrationsschrittes für init realm
• Beschreibung Doku wie eine Migration erfolgen muss
  • wesentliche Schritte:
  • alten Realm löschen, sofern vorhanden
  • Realm anlegen (entweder über Neustart oder manueller Import)
  • durchführen der Migration

weiter Folgen

• wir können weniger Files verwenden und diese logisch besser ordnen -> neues Issue

---

• [ ] das Ganze als ADR dokumentieren -> ist KISS

[MrSebastian]

Lösungsvorschlag 2:

Eine Deltamigration ist möglich wenn beim Import für den Realm RealmRoles und ein AdminBenutzer angelegt wird. Bei der Migration muss dann ein andere LOGIN_REALM (wls_realm) verwendet werden.

unmittelbare Konsequenzen

• wir können den aktuellen Keycloak und Migration 0.2.61 verwenden, welches laut deren Github-Seite mit Keycloak 25 erpropt ist
• der WLS-Realm muss beim Start von Keycloak import werden, da auf diese Weise die unmanaged Fields aktiviert werden können
  • das Enable von unmanaged fields ist aus meiner Sicht ausreichend gegenüber der definition der erlaubten Felder. Es ist einfacher und weniger aufwendig. Die Pflege der konkreten Felder und der erlaubten Wert ist für ein Entwicklungsunterstützungstool, welches bald durch den Auth-Service abgelöst wird, nicht verhältnismäßig
• Entfernung des Migrationsschrittes für init realm
• Beschreibung Doku wie eine Migration erfolgen muss
  • das in der Regel nur eine Migration des Deltas erfolgt
  • Beschreiben wo man die vorhanden Migrationen findet
  • analog zur Lösungsvorschlag 1 wie eine vollständige Migration erfolgen kann

[MrSebastian]

geht das Löschen Rollen aus Gruppen?

[MrSebastian]

geht das Löschen Rollen aus Gruppen?

Ist möglich mit Keycloak 25.0.2 und Keycloakmigration 0.2.61

Es konnte eine Rollenzurodnung zu einer Gruppe entfernt werden.