Hyland Community
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Problème d'intégration Alfresco / Keycloak / OnlyOffice – Exclusion de routes WebScript de la sécuri

Abra
Champ in-the-making
Champ in-the-making

4 weeks ago

 

Bonsoirà tous,

Je travaille actuellement sur une intégration entre Alfresco Community Edition, Keycloak via l’add-on Acosix/alfresco-keycloak, et OnlyOffice (avec son module AMP onlyoffice-alfresco pour l’édition collaborative des documents).

  • Alfresco est sécurisé avec Keycloak via le module Acosix.

  • OnlyOffice est intégré via AMP et expose ses WebScripts sous le chemin/alfresco/s/parashift/onlyoffice/....

  • Jusqu’ici, OnlyOffice fonctionnait avec JWT_ENABLED=false, ce qui permettait à OnlyOffice de dialoguer avec Alfresco sans vérification de jetons.

  • Désormais, pour des raisons de sécurité, je souhaite activer JWT_ENABLED=true côté OnlyOffice, afin de sécuriser les communications entre OnlyOffice et Alfresco.

Une fois JWT_ENABLED=true activé dans la configuration OnlyOffice, celui-ci envoie systématiquement un en-tête Authorization: Bearer <token> lors de ses appels HTTP vers Alfresco.

Or, comme Alfresco est sécurisé via Acosix Keycloak, la présence d’un header Authorization déclenche la tentative de validation du token par le système Keycloak, qui échoue puisque le token JWT généré par OnlyOffice ne correspond pas aux clés ou à l’algorithme attendus par Keycloak. Résultat :

Exception from executeScript: JWT verification failed! Signed JWT rejected: Another algorithm expected, or no matching key(s) found

Je cherche à exclure les routes WebScript /alfresco/s/parashift/onlyoffice/.* du filtre de sécurité de Keycloak, de manière à ce qu’elles restent accessibles librement par OnlyOffice, même en présence d’un header Authorization.

Concrètement :

  • Je ne souhaite pas que Keycloak vérifie les JWT sur ces endpoints spécifiques.

  • Je voudrais que ces appels soient "whitelistés" ou laissés tels quels sans authentification, même si un header Authorization est présent.

  Ce que j’ai déja tenté :

  • Modifier les configurations du module Acosix, mais je n’ai pas trouvé d’option permettant d’exclure des WebScripts spécifiques ou des chemins REST de la vérification Keycloak.

  • Rechercher dans la documentation si le filtre Keycloak du module Acosix propose une exclusion via pattern ou mapping des URL (/alfresco/s/...), mais sans succès jusqu’à présent.

Question :

Comment puis-je configurer Alfresco avec Acosix Keycloak pour que les WebScripts de OnlyOffice (sous /alfresco/s/parashift/onlyoffice/) soient exemptés de la vérification Keycloak ?
Y a-t-il une manière propre (filtre, config XML, override Java, etc.) de bypasser la sécurité sur ces routes spécifiques, même lorsqu’un header Authorization est présent ?

Merci d’avance pour toute aide ou piste 🙏

Labels:
0 Kudos
0 REPLIES 0
Getting started

Explore our Alfresco products with the links below. Use labels to filter content by product module.

Copyright © 2025 Khoros, LLC