In Keycloak
Neuen Client vom Typ OpenID Connect anlegen
Client-Authentifizierung und Standard Flow aktivieren
Redirect-URI:
https://<fw-fqdn>[:<port>]/api/oidc/rp/finalize/<application-code>
(Port nur angeben, wenn er vom Standard 443 abweicht)
Post-Logout-Redirect-URI:
https://<fw-fqdn>[:<port>]/*
Web Origins:
https://<fw-fqdn>[:<port>]
Für mehrere Firewalls einfach weitere Redirect-URIs im selben Client ergänzen
Scopes: openid profile email
Mapper anlegen:
preferred_username → User Property username
email → User Property email
name → Full Name (oder firstName + lastName)
groups → Group Membership Mapper (Full path aus, Add to ID/Access/Userinfo an)
Client-ID und Client-Secret notieren
In OPNsense 25.10 BE
Menü: System → Zugriff → OpenID Connect → ,,+" neuen Provider anlegen
Application code: frei wählbar (z. B. opnsense-gui-admin)
Dienst: WebGui / Admin
Provider URL: https://<keycloak-host>/realms/<realm>
Client-ID / Client-Geheimnis: aus Keycloak
Authentifizierungsmethode: Use offered
User identification field: preferred_username oder email
Create user: aktivieren
Damit authentifiziert sich die OPNsense-Weboberfläche zentral über Keycloak (OpenID Connect).