Release 0101 (#108)

* Spsh 1371 - Performance optimization (#97)

* Spsh 1158 test loadtest drivers (#80)

configure keycloak for scaling

* DBP-1079-keyloak-headless-and-non-headless-service (#82)

DBP-1079-keyloak-headless-and-non-headless-service (#82)

* add loa mapping for silver

* Spsh 740 (#73)

SPSH-740

* make kc stateful

* enable autoscaling

* dbg: undo statefulset

* increase requests, remove cpu limit

* dev: resource config

* test lower thread limit

* Revert "enable autoscaling"

This reverts commit 24355cc.

* add threadpool to deployment

* env should be string

* env should be string #2

---------

Co-authored-by: aimee-889 <[email protected]>
Co-authored-by: Kristoff Kiefer <[email protected]>

* SPSH-1612 (#101)

* implmementing paste otp feature and automaitc numbers keypad on mobile

* SPSH-1612: update pi provider (min, max, pattern for OTP form)

* adding min max to otp input fields

* SPSH-1612: update PI provider (pattern, onkeydown)

---------

Co-authored-by: niklaskoopmann <[email protected]>

* Spsh 1310 custom error template (#102)

* DBP-1147-fix-typo (#100)

DBP-1147-fix-typo (#100)

* add logout-button to error-template

* ensure trailing slash

* make error message generic

* update error message

---------

Co-authored-by: aimee-889 <[email protected]>

* SPSH-1648 (#107)

* implementing one input field to otp mask

* improving style of otp input field

* autofocus auf otp input field und text anpassung

* default 2FA text Anpassung

---------

Co-authored-by: clauyan <[email protected]>
Co-authored-by: aimee-889 <[email protected]>
Co-authored-by: Alexander Ungefug <[email protected]>
Co-authored-by: niklaskoopmann <[email protected]>

Author: 5 people

Dockerfile

@@ -60,4 +60,4 @@ WORKDIR /opt/keycloak
 COPY --from=deployment-build /opt/keycloak/lib/quarkus/ /opt/keycloak/lib/quarkus/
 
 # Set entrypoint for deployment mode
-ENTRYPOINT ["/opt/keycloak/bin/kc.sh", "start"]
+ENTRYPOINT ["/opt/keycloak/bin/kc.sh", "start"]

README.md

@@ -20,7 +20,7 @@ Following steps are intent to build the container for local development purpose.
 You may use a pre-build image from [`GitHub Packages`](https://github.com/orgs/hpi-schul-cloud/packages?repo_name=dbildungs-iam). To build the container on your own execute following command:
 
 ```bash
-docker build --target development -t dbildungsplattform/dbildungs-iam-keycloak/dev .
+docker build --load --target development -t dbildungsplattform/dbildungs-iam-keycloak/dev .
 ```
 
 To create the container execute following command:

charts/dbildungs-iam-keycloak/dev-realm-spsh.json

@@ -959,7 +959,7 @@
           "oauth2.device.authorization.grant.enabled": "false",
           "display.on.consent.screen": "false",
           "backchannel.logout.revoke.offline.tokens": "false",
-          "acr.loa.map": "{\"gold\":\"10\"}",
+          "acr.loa.map": "{\"gold\":\"10\", \"silver\":\"15\"}",
           "default.acr.values": "0"
         },
         "authenticationFlowBindingOverrides": {
@@ -2898,7 +2898,7 @@
           "piservicepass" : "${PI_ADMIN_PASSWORD}",
           "piserver" : "${PI_BASE_URL}",
           "piserviceaccount" : "${PI_ADMIN_USER}",
-          "pidefaultmessage" : "Diese Aktion setzt eine Zwei-Faktor-Authentifizierung voraus. Bitte geben Sie das Einmalpasswort von Ihrem 2FA-Token ein.",
+          "pidefaultmessage" : "Diese Aktion setzt eine Zwei-Faktor-Authentifizierung voraus. Bitte geben Sie die 6 Ziffern des Einmalpassworts von Ihrem 2FA-Token ein.",
           "preftokentype" : "OTP",
           "pirealm" : "${PI_REALM}",
           "pidolog" : "true",

charts/dbildungs-iam-keycloak/prod-realm-spsh.json

@@ -2735,7 +2735,7 @@
           "piservicepass" : "${PI_ADMIN_PASSWORD}",
           "piserver" : "${PI_BASE_URL}",
           "piserviceaccount" : "${PI_ADMIN_USER}",
-          "pidefaultmessage" : "Diese Aktion setzt eine Zwei-Faktor-Authentifizierung voraus. Bitte geben Sie das Einmalpasswort von Ihrem 2FA-Token ein.",
+          "pidefaultmessage" : "Diese Aktion setzt eine Zwei-Faktor-Authentifizierung voraus. Bitte geben Sie die 6 Ziffern des Einmalpassworts von Ihrem 2FA-Token ein.",
           "preftokentype" : "OTP",
           "pirealm" : "${PI_REALM}",
           "pidolog" : "true",

charts/dbildungs-iam-keycloak/templates/deployment.yaml

@@ -50,6 +50,8 @@ spec:
           env:
             - name: JAVA_OPTS_APPEND
               value: "-Djgroups.dns.query={{ template "common.names.name" . }}-headless.{{ template "common.names.namespace" . }}.svc.cluster.local"
+            - name: KC_HTTP_POOL_MAX_THREADS
+              value: "{{ .Values.threadPool }}"
             - name: KEYCLOAK_ADMIN_PASSWORD
               valueFrom:
                 secretKeyRef:
@@ -176,4 +178,4 @@ spec:
             name: {{ .Values.realm.name }}
         {{- with .Values.extraVolumes }}
         {{- toYaml . | nindent 8 }}
-        {{- end }}
+        {{- end }}

charts/dbildungs-iam-keycloak/values.yaml

@@ -79,6 +79,9 @@ resources:
     memory: "1Gi"
     cpu: "150m"
 
+# should be about 4 times the cpu count
+threadPool: 16
+
 startupProbe:
   enabled: true
   httpGet:

src/providers/PrivacyIDEA-Provider.jar

@@ -0,0 +1,21 @@
+<#import "template.ftl" as layout>
+<@layout.registrationLayout displayMessage=false; section>
+    <#if section = "header">
+        ${kcSanitize(msg("errorTitle"))?no_esc}
+    <#elseif section = "form">
+        <div id="kc-error-message">
+            <p class="instruction">${kcSanitize(msg("loginError"))?no_esc}</p>
+            <form id="kc-form-logout" 
+                <#if client?? && client.baseUrl?has_content>
+                    action="${client.baseUrl?ensure_ends_with("/")}api/auth/logout"
+                <#else>
+                    action="/realms/${realm.name}/protocol/openid-connect/logout"
+                </#if>
+                >
+                <div id="kc-form-buttons" class="${properties.kcFormGroupClass!}">
+                    <input tabindex="1" class="${properties.kcButtonClass!} ${properties.kcButtonPrimaryClass!} ${properties.kcButtonBlockClass!} ${properties.kcButtonLargeClass!}" name="logout" id="kc-logout" data-testid="logout-button" type="submit" value="${msg("tryAgain")}"/>
+                </div>
+            </form>
+        </div>
+    </#if>
+</@layout.registrationLayout>

src/themes/schulportal/login/error.ftl

@@ -5,6 +5,8 @@ enterOldPassword=Bitte geben Sie Ihr aktuelles Passwort ein.
 help=Hilfe
 legalNotice=Impressum
 loginAccountTitle=Anmeldung
+loginError=Während Ihrer Anmeldung ist leider ein Fehler aufgetreten. Bitte versuchen Sie es erneut.<br>Sollte eine Anmeldung weiterhin nicht möglich sein, wenden Sie sich bitte an Ihre schulischen Administratorinnen und Administratoren.
+tryAgain=Erneut versuchen
 passwordConfirm=Neues Passwort erneut eingeben
 passwordHelpText=Passwort vergessen?<br>Wenden Sie sich an Ihre schulischen Administratorinnen und Administratoren.
 passwordNew=Neues Passwort eingeben
@@ -17,7 +19,7 @@ usernameOrEmail=Benutzername
 accountDisabledMessage=Ihr Benutzerkonto ist gesperrt. Bitte wenden Sie sich an Ihre schulischen Administratorinnen und Administratoren.
 authenticationOtpFailedMessage=Ungültiges Einmalpasswort. Bitte versuchen Sie es erneut oder wenden Sie sich an Ihre schulischen Administratorinnen oder Administratoren.
 authenticationFailedMessage=Leider gibt es technische Probleme bei der Zweifaktor-Authentifizierung. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut. Falls das Problem bestehen bleibt, wenden Sie sich bitte an Ihre schulischen Administratorinnen und Administratoren.
-authenticationOtpUsedAgainFailedMessage=Zwei-Faktor-Authentifizierung fehlgeschlagen: Das eingegebene OTP wurde bereits verwendet. Bitte warten Sie auf das nächste OTP und versuchen Sie es erneut.
+authenticationOtpUsedAgainFailedMessage=Zwei-Faktor-Authentifizierung fehlgeschlagen: Das eingegebene Einmalpasswort wurde bereits verwendet. Bitte warten Sie auf das nächste Einmalpasswort und versuchen Sie es erneut.
 authenticationFailedFailcounterExceededMessage=Zwei-Faktor-Authentifizierung fehlgeschlagen: Die erlaubte Anzahl fehlgeschlagener Versuche wurde überschritten. Ihr Token ist gesperrt. Bitte wenden Sie sich an Ihre schulischen Administratorinnen und Administratoren, um einen neuen Token zu erstellen.
 title=Schulportal SH
 mindPasswordGuidelines=Bitte beachten Sie die untenstehenden Vorgaben.
@@ -30,4 +32,4 @@ passwordRequirementDigit=Mindestens 1 Ziffer enthalten
 passwordRequirementHistory=Nicht dem bisherigen Passwort entsprechen
 passwordRequirementNoWhitespace=Keine Leerzeichen enthalten
 systemStatus=Systemstatus
-userNotFound=Diese Aktion setzt eine Zweifaktor-Authentifizierung (2FA) voraus. Bitte melden Sie sich im Schulportal an und richten dort eine 2FA ein oder wenden Sie sich an Ihre schulischen Administratorinnen und Administratoren.
+userNotFound=Diese Aktion setzt eine Zweifaktor-Authentifizierung (2FA) voraus. Bitte melden Sie sich im Schulportal an und richten dort eine 2FA ein oder wenden Sie sich an Ihre schulischen Administratorinnen und Administratoren.

src/themes/schulportal/login/messages/messages_de.properties

@@ -265,4 +265,4 @@
     <div class="dark-footer"></div>
 </body>
 </html>
-</#macro>
+</#macro>