https://connect.hyland.com/t5/alfresco-forum/probl%C3%A8me-d-int%C3%A9gration-alfresco-keycloak-onlyoffice-exclusion-de/m-p/490053#M40153 <P>&nbsp;</P><P class="">Bonsoirà tous,</P><P class="">Je travaille actuellement sur une intégration entre <STRONG>Alfresco Community Edition</STRONG>, <STRONG>Keycloak</STRONG> via l’add-on <A class="" href="https://github.com/Acosix/alfresco-keycloak" target="_new" rel="noopener">Acosix/alfresco-keycloak</A>, et <STRONG>OnlyOffice</STRONG> (avec son module AMP onlyoffice-alfresco pour l’édition collaborative des documents).</P><UL><LI><P class=""><STRONG>Alfresco est sécurisé avec Keycloak</STRONG> via le module Acosix.</P></LI><LI><P class=""><STRONG>OnlyOffice est intégré via AMP</STRONG> et expose ses WebScripts sous le chemin/alfresco/s/parashift/onlyoffice/....</P></LI><LI><P class="">Jusqu’ici, <STRONG>OnlyOffice fonctionnait avec JWT_ENABLED=false</STRONG>, ce qui permettait à OnlyOffice de dialoguer avec Alfresco sans vérification de jetons.</P></LI><LI><P class="">Désormais, pour des raisons de sécurité, <STRONG>je souhaite activer JWT_ENABLED=true côté OnlyOffice</STRONG>, afin de sécuriser les communications entre OnlyOffice et Alfresco.</P></LI></UL><P class="">Une fois JWT_ENABLED=true activé dans la configuration OnlyOffice, celui-ci envoie systématiquement un en-tête Authorization: Bearer &lt;token&gt; lors de ses appels HTTP vers Alfresco.</P><P class="">Or, comme Alfresco est sécurisé via Acosix Keycloak, la présence d’un header Authorization déclenche la <STRONG>tentative de validation du token par le système Keycloak</STRONG>, qui échoue puisque le token JWT généré par OnlyOffice ne correspond pas aux clés ou à l’algorithme attendus par Keycloak. Résultat :</P><DIV class=""><DIV class=""><SPAN>Exception from executeScript: JWT verification failed! Signed JWT rejected: Another algorithm expected, or no matching key(s) found</SPAN></DIV></DIV><P class="">Je cherche à <STRONG>exclure les routes WebScript /alfresco/s/parashift/onlyoffice/.* du filtre de sécurité de Keycloak</STRONG>, de manière à ce qu’elles restent accessibles librement par OnlyOffice, même en présence d’un header Authorization.</P><P class="">Concrètement :</P><UL><LI><P class="">Je ne souhaite <STRONG>pas que Keycloak vérifie les JWT</STRONG> sur ces endpoints spécifiques.</P></LI><LI><P class="">Je voudrais que ces appels soient <STRONG>"whitelistés"</STRONG> ou laissés tels quels sans authentification, <STRONG>même si un header Authorization est présent</STRONG>.</P></LI></UL><H4>&nbsp; Ce que j’ai déja tenté :</H4><UL><LI><P class="">Modifier les configurations du module Acosix, mais je n’ai pas trouvé d’option permettant d’exclure des WebScripts spécifiques ou des chemins REST de la vérification Keycloak.</P></LI><LI><P class="">Rechercher dans la documentation si le filtre Keycloak du module Acosix propose une exclusion via pattern ou mapping des URL (/alfresco/s/...), mais sans succès jusqu’à présent.</P></LI></UL><H4>Question :</H4><P class=""><STRONG>Comment puis-je configurer Alfresco avec Acosix Keycloak pour que les WebScripts de OnlyOffice (sous /alfresco/s/parashift/onlyoffice/) soient exemptés de la vérification Keycloak ?</STRONG><BR />Y a-t-il une manière propre (filtre, config XML, override Java, etc.) de <STRONG>bypasser la sécurité sur ces routes spécifiques</STRONG>, même lorsqu’un header Authorization est présent ?</P><P class="">Merci d’avance pour toute aide ou piste <span class="lia-unicode-emoji" title=":folded_hands:">🙏</span></P> Tue, 20 May 2025 15:55:00 GMT Abra 2025-05-20T15:55:00Z https://connect.hyland.com/t5/alfresco-forum/probl%C3%A8me-d-int%C3%A9gration-alfresco-keycloak-onlyoffice-exclusion-de/m-p/490053#M40153 <P>&nbsp;</P><P class="">Bonsoirà tous,</P><P class="">Je travaille actuellement sur une intégration entre <STRONG>Alfresco Community Edition</STRONG>, <STRONG>Keycloak</STRONG> via l’add-on <A class="" href="https://github.com/Acosix/alfresco-keycloak" target="_new" rel="noopener">Acosix/alfresco-keycloak</A>, et <STRONG>OnlyOffice</STRONG> (avec son module AMP onlyoffice-alfresco pour l’édition collaborative des documents).</P><UL><LI><P class=""><STRONG>Alfresco est sécurisé avec Keycloak</STRONG> via le module Acosix.</P></LI><LI><P class=""><STRONG>OnlyOffice est intégré via AMP</STRONG> et expose ses WebScripts sous le chemin/alfresco/s/parashift/onlyoffice/....</P></LI><LI><P class="">Jusqu’ici, <STRONG>OnlyOffice fonctionnait avec JWT_ENABLED=false</STRONG>, ce qui permettait à OnlyOffice de dialoguer avec Alfresco sans vérification de jetons.</P></LI><LI><P class="">Désormais, pour des raisons de sécurité, <STRONG>je souhaite activer JWT_ENABLED=true côté OnlyOffice</STRONG>, afin de sécuriser les communications entre OnlyOffice et Alfresco.</P></LI></UL><P class="">Une fois JWT_ENABLED=true activé dans la configuration OnlyOffice, celui-ci envoie systématiquement un en-tête Authorization: Bearer &lt;token&gt; lors de ses appels HTTP vers Alfresco.</P><P class="">Or, comme Alfresco est sécurisé via Acosix Keycloak, la présence d’un header Authorization déclenche la <STRONG>tentative de validation du token par le système Keycloak</STRONG>, qui échoue puisque le token JWT généré par OnlyOffice ne correspond pas aux clés ou à l’algorithme attendus par Keycloak. Résultat :</P><DIV class=""><DIV class=""><SPAN>Exception from executeScript: JWT verification failed! Signed JWT rejected: Another algorithm expected, or no matching key(s) found</SPAN></DIV></DIV><P class="">Je cherche à <STRONG>exclure les routes WebScript /alfresco/s/parashift/onlyoffice/.* du filtre de sécurité de Keycloak</STRONG>, de manière à ce qu’elles restent accessibles librement par OnlyOffice, même en présence d’un header Authorization.</P><P class="">Concrètement :</P><UL><LI><P class="">Je ne souhaite <STRONG>pas que Keycloak vérifie les JWT</STRONG> sur ces endpoints spécifiques.</P></LI><LI><P class="">Je voudrais que ces appels soient <STRONG>"whitelistés"</STRONG> ou laissés tels quels sans authentification, <STRONG>même si un header Authorization est présent</STRONG>.</P></LI></UL><H4>&nbsp; Ce que j’ai déja tenté :</H4><UL><LI><P class="">Modifier les configurations du module Acosix, mais je n’ai pas trouvé d’option permettant d’exclure des WebScripts spécifiques ou des chemins REST de la vérification Keycloak.</P></LI><LI><P class="">Rechercher dans la documentation si le filtre Keycloak du module Acosix propose une exclusion via pattern ou mapping des URL (/alfresco/s/...), mais sans succès jusqu’à présent.</P></LI></UL><H4>Question :</H4><P class=""><STRONG>Comment puis-je configurer Alfresco avec Acosix Keycloak pour que les WebScripts de OnlyOffice (sous /alfresco/s/parashift/onlyoffice/) soient exemptés de la vérification Keycloak ?</STRONG><BR />Y a-t-il une manière propre (filtre, config XML, override Java, etc.) de <STRONG>bypasser la sécurité sur ces routes spécifiques</STRONG>, même lorsqu’un header Authorization est présent ?</P><P class="">Merci d’avance pour toute aide ou piste <span class="lia-unicode-emoji" title=":folded_hands:">🙏</span></P> Tue, 20 May 2025 15:55:00 GMT https://connect.hyland.com/t5/alfresco-forum/probl%C3%A8me-d-int%C3%A9gration-alfresco-keycloak-onlyoffice-exclusion-de/m-p/490053#M40153 Abra 2025-05-20T15:55:00Z https://connect.hyland.com/t5/alfresco-forum/probl%C3%A8me-d-int%C3%A9gration-alfresco-keycloak-onlyoffice-exclusion-de/m-p/491034#M40250 <P>Can you try to add these global properties and tell me tif you see any error on the console ?&nbsp;<BR /><BR /><SPAN>-Dkeycloak.authentication.silentRemoteUserValidationFailure=false<BR />-Dkeycloak.adapter.verify-token-audience=false<BR />-Dkeycloak.adapter.autodetect-bearer-only=true</SPAN></P> Wed, 02 Jul 2025 11:34:58 GMT https://connect.hyland.com/t5/alfresco-forum/probl%C3%A8me-d-int%C3%A9gration-alfresco-keycloak-onlyoffice-exclusion-de/m-p/491034#M40250 AlfrescoZZZ 2025-07-02T11:34:58Z