Keycloakの管理コンソール・APIの無効化(KEYCLOAK-15773)

KEYCLOAK-15773 Enable admin endpoints and admin-console via Feature flags
1年くらい前にPRが出たこちらの機能がMergeされたので試してみる。
外部公開するKeycloakについては管理コンソール・APIについては無効化したいという需要は多そう。
おそらくKeycloak 20.0から利用可能になると思われる。

無効化の仕方は以下のように--features-disabledを利用して無効化する
/bin/kc.sh bin/kc.sh --features-disabled=admin-api,admin,admin2

• 管理API admin-api
• 旧セキュリティ管理コンソール admin
• 新セキュリティ管理コンソール admin2

Keycloak 19.0 からはデフォルトがReactベースの新セキュリティ管理コンソールに変更となった。
Keycloak 21.0 には旧セキュリティ管理コンソールが削除予定なので、adminを無効化するのはこの過渡期だけの対応となりそう。

無効化してみた結果、トップページから表示も削除されてる。😁

/auth/admin へのアクセスもできない。🤗

管理コンソールや管理APIのアクセスだけなので、Discover Document や SAMLメタデータにはアクセス可能。

試しにAdmin APIも実行してみる。
トークンリクエストはもちろんOK。

ユーザー作成してみると404 Not Found エラー。

{
	"error": "RESTEASY003210: Could not find resource for full path: http://localhost:18080/auth/admin/realms/master/users"
}