Funktionen
Umfassende Keycloak-Sicherheit mit protokollbewusster Validierung für OIDC, SAML und Admin-API.
OIDC / OAuth2-Schutz
Vollständiges OAuth2- und OpenID-Connect-Protokoll-Enforcement basierend auf RFC 6749, RFC 7636 und OpenID Connect Core.
Grant-Type-Enforcement
REQ-OIDC-001Unsichere Grant-Types (ROPC, Implicit) standardmäßig blockieren. Clientspezifische Allowlists für erlaubte Grant-Types.
Scope-Validierung
REQ-OIDC-002Angeforderte Scopes gegen clientspezifische Whitelists validieren. Scope-Escalation-Angriffe verhindern.
Redirect-URI-Validierung
REQ-OIDC-003Exact-Match oder Wildcard-Validierung gegen clientspezifische Whitelist. Blockiert HTTP, Localhost und private IPs.
PKCE-Enforcement
REQ-OIDC-006REQ-OIDC-007PKCE für Public-Clients erzwingen. S256-Methode durchsetzen — Plain-Methode blockieren (RFC 7636).
State & Nonce
REQ-OIDC-004REQ-OIDC-005State-Parameter (CSRF-Schutz) und Nonce-Parameter (Replay-Schutz) bei Authorization-Requests erzwingen.
Response-Type-Validierung
REQ-OIDC-008Implicit-Flow-Response-Types blockieren. Token-Exposure im Browser-Verlauf verhindern.
SAML-Sicherheit
Die gefährlichsten SAML-Angriffe abwehren, bevor sie Keycloak erreichen.
XXE-Prävention
REQ-SAML-001DOCTYPE-Deklarationen in SAML-Assertions blockieren. XML External Entity-Angriffe verhindern.
Signature-Wrapping-Erkennung
REQ-SAML-002SAML-Signature-Wrapping-Angriffe erkennen, die durch XML-Strukturmanipulation die Authentifizierung umgehen könnten.
Algorithmus-Enforcement
REQ-SAML-003Starke Signaturalgorithmen erzwingen. SHA-1 blockieren, da kryptographisch gebrochen.
Assertion-Größenlimits
REQ-SAML-004Maximale SAML-Assertion-Größe durchsetzen gegen Denial-of-Service durch übergroße Payloads.
Admin-API-Schutz
Die Keycloak Admin REST API absichern gegen Privilege-Escalation und Datenexfiltration.
Endpoint-Whitelist
REQ-ADMIN-001Nur explizit erlaubte Admin-Endpoints sind zugänglich.
Master-Realm-Schutz
REQ-ADMIN-002Zugriff auf Master-Realm-Admin-Operationen blockieren.
Export-Prävention
REQ-ADMIN-003Realm-Export-Operationen blockieren gegen Credential-Exfiltration.
Bulk-Operationserkennung
REQ-ADMIN-005Massen-User-Create/Delete erkennen und begrenzen.
Read-Only-Modus
REQ-ADMIN-007Optionaler Read-Only-Modus für Admin-API — alle Schreiboperationen blockieren.
IdP-Änderungsschutz
REQ-ADMIN-004Identity-Provider-Konfigurationsänderungen optional blockieren.
Token-Response-Validierung
Jede Token-Antwort von Keycloak validieren, bevor sie Clients erreicht.
Algorithmus-Enforcement
REQ-TOKEN-001'none'-Algorithmus und standalone HS256 blockieren. Nur konfigurierte starke Algorithmen erlauben.
Lifetime-Validierung
REQ-TOKEN-002Maximale Token-Lifetime erzwingen (Standard 24h). Übermäßig langlebige Tokens erkennen.
Claim-Leakage-Erkennung
REQ-TOKEN-003Sensible Claims in Token-Payload erkennen. Konfigurierbare Blocked-Claims-Liste.
Token-Größenlimits
REQ-TOKEN-004Maximale Token-Größe durchsetzen gegen Role/Claim-Enrichment-Missbrauch.
JWT-Struktur
REQ-TOKEN-005Header.Payload.Signature-Format validieren. Malformierte Tokens blockieren.
Sicherheits-Header
REQ-HDR-001..004HSTS, CSP, X-Content-Type-Options und X-Frame-Options in allen Responses erzwingen.
Betriebsmodi
Schrittweiser Rollout von Beobachtung bis zur vollen Durchsetzung.
Learning-Modus
REQ-MODE-001Allen Traffic erlauben, alle Verstöße protokollieren. Standard-Modus ohne Policy-Datei.
Monitoring-Modus
REQ-MODE-002Allen Traffic erlauben, bei Verstößen alarmieren. Für Pre-Enforcement-Validierung.
Enforcement-Modus
REQ-MODE-003Allen verletzenden Traffic blockieren. Fail-Closed: OAuth2-kompatible JSON-Fehler.
Hybrid-Modus
REQ-MODE-004Pro-Regel-Aktionen (Allow/Alert/Block). Maximale Flexibilität für schrittweisen Rollout.