unionflow-client-quarkus-primefaces-freya/KEYCLOAK_VERIFICATION.md

# Vérification Configuration Keycloak - UnionFlow

**Date:** 2025-12-21
**Realm:** unionflow
**Client ID:** unionflow-client

---

## À Vérifier dans la Console Admin Keycloak

### 1. Accéder à la Configuration du Client

1. Se connecter à https://security.lions.dev
2. Sélectionner le realm **unionflow**
3. Aller dans **Clients** → **unionflow-client**

### 2. Vérifier les Redirect URIs

Dans l'onglet **Settings**, vérifier que **Valid Redirect URIs** contient:

```
https://unionflow.lions.dev/auth/callback
```

Si absent, l'ajouter et cliquer sur **Save**.

### 3. Vérifier les Paramètres OIDC

Dans l'onglet **Settings**, s'assurer que:

- **Client Protocol:** openid-connect
- **Access Type:** confidential
- **Standard Flow Enabled:** ON
- **Direct Access Grants Enabled:** ON (optionnel)
- **Valid Redirect URIs:** `https://unionflow.lions.dev/auth/callback`
- **Web Origins:** `https://unionflow.lions.dev`

### 4. Vérifier le Client Secret

Dans l'onglet **Credentials**:
- Noter le **Secret** (doit correspondre à `KEYCLOAK_CLIENT_SECRET` dans l'environnement)

---

## Configuration Application Corrigée

### application-prod.properties

```properties
# Configuration Keycloak OIDC - Production
quarkus.oidc.enabled=true
quarkus.oidc.auth-server-url=https://security.lions.dev/realms/unionflow
quarkus.oidc.client-id=unionflow-client
quarkus.oidc.credentials.secret=${KEYCLOAK_CLIENT_SECRET}
quarkus.oidc.application-type=web-app

# ✅ CORRECTION: Callback path explicite
quarkus.oidc.authentication.redirect-path=/auth/callback

# ✅ CORRECTION: Redirection après login réussie
quarkus.oidc.authentication.redirect-path-after-login=/pages/secure/dashboard.xhtml

quarkus.oidc.authentication.restore-path-after-redirect=true
quarkus.oidc.authentication.force-redirect-https-scheme=true
```

---

## Flux OAuth Attendu

1. **Accès initial:** `https://unionflow.lions.dev`
   - Affiche landing page (index.xhtml)
   - Bouton "Accéder" → `/pages/secure/dashboard.xhtml`

2. **Redirection Keycloak:** Utilisateur non authentifié
   - Redirect vers `https://security.lions.dev/realms/unionflow/protocol/openid-connect/auth`

3. **Authentification:** Login Keycloak
   - Utilisateur entre credentials

4. **Callback OAuth:** Keycloak renvoie vers application
   - `https://unionflow.lions.dev/auth/callback?state=...&code=...`

5. **Redirection finale:** Application traite le callback
   - Redirect automatique vers `/pages/secure/dashboard.xhtml` ✅

---

## Commandes de Diagnostic

### Vérifier la configuration OIDC

```bash
curl -s https://security.lions.dev/realms/unionflow/.well-known/openid-configuration | jq .
```

### Vérifier l'accessibilité de l'application

```bash
curl -I https://unionflow.lions.dev
curl -I https://unionflow.lions.dev/auth/callback
curl -I https://unionflow.lions.dev/pages/secure/dashboard.xhtml
```

---

## Checklist Déploiement

- [x] OAuth redirect-path configuré: `/auth/callback`
- [x] OAuth redirect-path-after-login configuré: `/pages/secure/dashboard.xhtml`
- [x] Landing page (index.xhtml) existe et est magnifique
- [x] web.xml configure index.xhtml comme welcome-file
- [ ] **Keycloak Valid Redirect URIs contient:** `https://unionflow.lions.dev/auth/callback`
- [ ] Committer les changements
- [ ] Déployer en production
- [ ] Tester le flux OAuth complet

---

**Dernière modification:** 2025-12-21
**Auteur:** Claude Code