Added test of client role to JWT tests
[nonrtric.git] / test / common / keycloak_api_functions.sh
1 #!/bin/bash
2
3 #  ============LICENSE_START===============================================
4 #  Copyright (C) 2021 Nordix Foundation. All rights reserved.
5 #  ========================================================================
6 #  Licensed under the Apache License, Version 2.0 (the "License");
7 #  you may not use this file except in compliance with the License.
8 #  You may obtain a copy of the License at
9 #
10 #       http://www.apache.org/licenses/LICENSE-2.0
11 #
12 #  Unless required by applicable law or agreed to in writing, software
13 #  distributed under the License is distributed on an "AS IS" BASIS,
14 #  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
15 #  See the License for the specific language governing permissions and
16 #  limitations under the License.
17 #  ============LICENSE_END=================================================
18 #
19
20 # This is a script that contains container/service management functions and test functions for Keycloak
21
22
23 ################ Test engine functions ################
24
25 # Create the image var used during the test
26 # arg: <image-tag-suffix> (selects staging, snapshot, release etc)
27 # <image-tag-suffix> is present only for images with staging, snapshot,release tags
28 __KEYCLOAK_imagesetup() {
29         __check_and_create_image_var KEYCLOAK "KEYCLOAK_IMAGE" "KEYCLOAK_IMAGE_BASE" "KEYCLOAK_IMAGE_TAG" REMOTE_OTHER "$KEYCLOAK_DISPLAY_NAME"
30 }
31
32 # Pull image from remote repo or use locally built image
33 # arg: <pull-policy-override> <pull-policy-original>
34 # <pull-policy-override> Shall be used for images allowing overriding. For example use a local image when test is started to use released images
35 # <pull-policy-original> Shall be used for images that does not allow overriding
36 # Both var may contain: 'remote', 'remote-remove' or 'local'
37 __KEYCLOAK_imagepull() {
38         __check_and_pull_image $2 "$KEYCLOAK_DISPLAY_NAME" $KEYCLOAK_APP_NAME KEYCLOAK_IMAGE
39 }
40
41 # Build image (only for simulator or interfaces stubs owned by the test environment)
42 # arg: <image-tag-suffix> (selects staging, snapshot, release etc)
43 # <image-tag-suffix> is present only for images with staging, snapshot,release tags
44 __KEYCLOAK_imagebuild() {
45         echo -e $RED" Image for app KEYCLOAK shall never be built"$ERED
46 }
47
48 # Generate a string for each included image using the app display name and a docker images format string
49 # If a custom image repo is used then also the source image from the local repo is listed
50 # arg: <docker-images-format-string> <file-to-append>
51 __KEYCLOAK_image_data() {
52         echo -e "$KEYCLOAK_DISPLAY_NAME\t$(docker images --format $1 $KEYCLOAK_IMAGE)" >>   $2
53         if [ ! -z "$KEYCLOAK_IMAGE_SOURCE" ]; then
54                 echo -e "-- source image --\t$(docker images --format $1 $KEYCLOAK_IMAGE_SOURCE)" >>   $2
55         fi
56 }
57
58 # Scale kubernetes resources to zero
59 # All resources shall be ordered to be scaled to 0, if relevant. If not relevant to scale, then do no action.
60 # This function is called for apps fully managed by the test script
61 __KEYCLOAK_kube_scale_zero() {
62         __kube_scale_all_resources $KUBE_KEYCLOAK_NAMESPACE autotest KEYCLOAK
63 }
64
65 # Scale kubernetes resources to zero and wait until this has been accomplished, if relevant. If not relevant to scale, then do no action.
66 # This function is called for prestarted apps not managed by the test script.
67 __KEYCLOAK_kube_scale_zero_and_wait() {
68         echo -e $RED" KEYCLOAK app is not scaled in this state"$ERED
69 }
70
71 # Delete all kube resouces for the app
72 # This function is called for apps managed by the test script.
73 __KEYCLOAK_kube_delete_all() {
74         __kube_delete_all_resources $KUBE_KEYCLOAK_NAMESPACE autotest KEYCLOAK
75 }
76
77 # Store docker logs
78 # This function is called for apps managed by the test script.
79 # args: <log-dir> <file-prexix>
80 __KEYCLOAK_store_docker_logs() {
81         if [ $RUNMODE == "KUBE" ]; then
82                 kubectl $KUBECONF  logs -l "autotest=KEYCLOAK" -n $KUBE_KEYCLOAK_NAMESPACE --tail=-1 > $1$2_keycloak.log 2>&1
83         else
84                 docker logs $KEYCLOAK_APP_NAME > $1$2_keycloak.log 2>&1
85         fi
86 }
87
88 # Initial setup of protocol, host and ports
89 # This function is called for apps managed by the test script.
90 # args: -
91 __KEYCLOAK_initial_setup() {
92         use_keycloak_http
93 }
94
95 # Set app short-name, app name and namespace for logging runtime statistics of kubernets pods or docker containers
96 # For docker, the namespace shall be excluded
97 # This function is called for apps managed by the test script as well as for prestarted apps.
98 # args: -
99 __KEYCLOAK_statisics_setup() {
100         if [ $RUNMODE == "KUBE" ]; then
101                 echo "KEYCLOAK $KEYCLOAK_APP_NAME $KUBE_KEYCLOAK_NAMESPACE"
102         else
103                 echo "KEYCLOAK $KEYCLOAK_APP_NAME"
104         fi
105 }
106
107 # Check application requirements, e.g. helm, the the test needs. Exit 1 if req not satisfied
108 # args: -
109 __KEYCLOAK_test_requirements() {
110         which jq > /dev/null
111         if [ $? -ne 0 ]; then
112                 echo $RED" 'jq' is required to run tests. Pls install 'jq'"
113                 return 1
114         fi
115 }
116
117 #######################################################
118
119 # Set http as the protocol to use for all communication to the Keycloak
120 # args: -
121 # (Function for test scripts)
122 use_keycloak_http() {
123         __keycloak_set_protocoll "http" $KEYCLOAK_INTERNAL_PORT $KEYCLOAK_EXTERNAL_PORT
124 }
125
126 # Set https as the protocol to use for all communication to the Keycloak
127 # args: -
128 # (Function for test scripts)
129 use_keycloak_https() {
130         __keycloak_set_protocoll "https" $KEYCLOAK_INTERNAL_SECURE_PORT $KEYCLOAK_EXTERNAL_SECURE_PORT
131 }
132
133 # Setup paths to svc/container for internal and external access
134 # args: <protocol> <internal-port> <external-port>
135 __keycloak_set_protocoll() {
136         echo -e $BOLD"$KEYCLOAK_DISPLAY_NAME protocol setting"$EBOLD
137         echo -e " Using $BOLD $1 $EBOLD towards $KEYCLOAK_DISPLAY_NAME"
138
139         ## Access to Keycloak
140
141         KEYCLOAK_SERVICE_PATH=$1"://"$KEYCLOAK_APP_NAME":"$2  # docker access, container->container and script->container via proxy
142         KEYCLOAK_SERVICE_PORT=$2
143         KEYCLOAK_SERVICE_HOST=$KEYCLOAK_APP_NAME
144         KEYCLOAK_ISSUER_PATH=$1"://"$KEYCLOAK_APP_NAME
145         if [ $RUNMODE == "KUBE" ]; then
146                 KEYCLOAK_SERVICE_PATH=$1"://"$KEYCLOAK_APP_NAME.$KUBE_KEYCLOAK_NAMESPACE":"$3 # kube access, pod->svc and script->svc via proxy
147                 KEYCLOAK_SERVICE_PORT=$3
148                 KEYCLOAK_SERVICE_HOST=$KEYCLOAK_APP_NAME.$KUBE_KEYCLOAK_NAMESPACE
149                 KEYCLOAK_ISSUER_PATH=$1"://"$KEYCLOAK_APP_NAME.$KUBE_KEYCLOAK_NAMESPACE
150         fi
151         KEYCLOAK_SERVICE_HTTPX=$1
152
153         echo ""
154 }
155
156 ### Admin API functions Keycloak
157
158 ###########################
159 ### Keycloak functions
160 ###########################
161
162 # Export env vars for config files, docker compose and kube resources
163 # args:
164 __keycloak_export_vars() {
165         export KEYCLOAK_APP_NAME
166         export KEYCLOAK_DISPLAY_NAME
167
168         export DOCKER_SIM_NWNAME
169         export KUBE_KEYCLOAK_NAMESPACE
170
171         export KEYCLOAK_IMAGE
172         export KEYCLOAK_INTERNAL_PORT
173         export KEYCLOAK_EXTERNAL_PORT
174
175         export KEYCLOAK_ADMIN_USER
176         export KEYCLOAK_ADMIN_PWD
177         export KEYCLOAK_KC_PROXY
178 }
179
180
181 # Start the Keycloak in the simulator group
182 # args: -
183 # (Function for test scripts)
184 start_keycloak() {
185
186         echo -e $BOLD"Starting $KEYCLOAK_DISPLAY_NAME"$EBOLD
187
188         if [ $RUNMODE == "KUBE" ]; then
189
190                 # Check if app shall be fully managed by the test script
191                 __check_included_image "KEYCLOAK"
192                 retcode_i=$?
193
194                 # Check if app shall only be used by the testscipt
195                 __check_prestarted_image "KEYCLOAK"
196                 retcode_p=$?
197
198                 if [ $retcode_i -ne 0 ] && [ $retcode_p -ne 0 ]; then
199                         echo -e $RED"The $KEYCLOAK_NAME app is not included as managed nor prestarted in this test script"$ERED
200                         echo -e $RED"The $KEYCLOAK_APP_NAME will not be started"$ERED
201                         exit
202                 fi
203                 if [ $retcode_i -eq 0 ] && [ $retcode_p -eq 0 ]; then
204                         echo -e $RED"The $KEYCLOAK_APP_NAME app is included both as managed and prestarted in this test script"$ERED
205                         echo -e $RED"The $KEYCLOAK_APP_NAME will not be started"$ERED
206                         exit
207                 fi
208
209                 if [ $retcode_p -eq 0 ]; then
210                         echo -e " Using existing $KEYCLOAK_APP_NAME deployment and service"
211                         echo " Setting keycloak replicas=1"
212                         __kube_scale deployment $KEYCLOAK_APP_NAME $KUBE_KEYCLOAK_NAMESPACE 1
213                 fi
214
215                 if [ $retcode_i -eq 0 ]; then
216                         echo -e " Creating $KEYCLOAK_APP_NAME deployment and service"
217
218             __kube_create_namespace $KUBE_KEYCLOAK_NAMESPACE
219
220                         __keycloak_export_vars
221
222                         # Create service and app
223                         input_yaml=$SIM_GROUP"/"$KEYCLOAK_COMPOSE_DIR"/"svc_app.yaml
224                         output_yaml=$PWD/tmp/keycloak_svc_app.yaml
225                         __kube_create_instance "service/app" $KEYCLOAK_APP_NAME $input_yaml $output_yaml
226
227                 fi
228
229                 __check_service_start $KEYCLOAK_APP_NAME $KEYCLOAK_SERVICE_PATH$KEYCLOAK_ALIVE_URL
230         else
231
232                 # Check if docker app shall be fully managed by the test script
233                 __check_included_image 'KEYCLOAK'
234                 if [ $? -eq 1 ]; then
235                         echo -e $RED"The Keycloak app is not included as managed in this test script"$ERED
236                         echo -e $RED"The Keycloak will not be started"$ERED
237                         exit
238                 fi
239
240                 __keycloak_export_vars
241
242                 __start_container $KEYCLOAK_COMPOSE_DIR "" NODOCKERARGS 1 $KEYCLOAK_APP_NAME
243
244         __check_service_start $KEYCLOAK_APP_NAME $KEYCLOAK_SERVICE_PATH$KEYCLOAK_ALIVE_URL
245         fi
246     echo ""
247     return 0
248 }
249
250 # Excute a curl cmd towards the keycloak and check the response code is 2XX.
251 # args: <curl-cmd-string>
252 # resp: <returned-payload> if return code is 0 otherwise <error-info>
253 __execute_curl_to_keycloak() {
254
255         proxyflag=""
256         if [ ! -z "$KUBE_PROXY_PATH" ]; then
257                 if [ $KUBE_PROXY_HTTPX == "http" ]; then
258                         proxyflag=" --proxy $KUBE_PROXY_PATH"
259                 else
260                         proxyflag=" --proxy-insecure --proxy $KUBE_PROXY_PATH"
261                 fi
262         fi
263         __cmd="curl -skw %{http_code} $proxyflag $1"
264         echo " CMD: $__cmd" >> $HTTPLOG
265         res=$($__cmd)
266         echo " RESP: $res" >> $HTTPLOG
267         retcode=$?
268     if [ $retcode -ne 0 ]; then
269         __log_conf_fail_general " Fatal error when executing curl, response: "$retcode
270         echo "$res"
271                 return 1
272     fi
273     status=${res:${#res}-3}
274         if [ $status -lt 200 ] && [ $status -gt 299 ]; then
275                 __log_conf_fail_status_code "2XX" $status
276                 echo "$res"
277                 return 1
278         fi
279         echo ${res:0:${#res}-3}
280         return 0
281 }
282
283 # Excute a curl cmd towards the keycloak and check the response code is 2XX.
284 # args: <operation> <url> <token> <json>
285 # resp: <returned-payload> if return code is 0 otherwise <error-info>
286 __execute_curl_to_keycloak2() {
287         proxyflag=""
288         if [ ! -z "$KUBE_PROXY_PATH" ]; then
289                 if [ $KUBE_PROXY_HTTPX == "http" ]; then
290                         proxyflag=" --proxy $KUBE_PROXY_PATH"
291                 else
292                         proxyflag=" --proxy-insecure --proxy $KUBE_PROXY_PATH"
293                 fi
294         fi
295         if [ $1 == "POST" ]; then
296                 if [ $# -eq 3 ]; then
297                         echo  curl -X POST -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3" >> $HTTPLOG
298                         res=$(curl -X POST -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3")
299                         retcode=$?
300                 else
301                         echo  curl -X POST -skw %{http_code} $proxyflag "$2" -H "Content-Type: application/json" -H "Authorization: Bearer $3" --data-binary "$4" >> $HTTPLOG
302                         res=$(curl -X POST -skw %{http_code} $proxyflag "$2" -H "Content-Type: application/json" -H "Authorization: Bearer $3" --data-binary "$4")
303                         retcode=$?
304                 fi
305         elif [ $1 == "PUT" ]; then
306                 if [ $# -eq 3 ]; then
307                         echo  curl -X PUT -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3" >> $HTTPLOG
308                         res=$(curl -X PUT -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3")
309                         retcode=$?
310                 else
311                         echo  curl -X PUT -skw %{http_code} $proxyflag "$2" -H "Content-Type: application/json" -H "Authorization: Bearer $3" --data-binary "$4" >> $HTTPLOG
312                         res=$(curl -X PUT -skw %{http_code} $proxyflag "$2" -H "Content-Type: application/json" -H "Authorization: Bearer $3" --data-binary "$4")
313                         retcode=$?
314                 fi
315         elif [ $1 == "GET" ]; then
316                 echo  curl -X GET -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3" >> $HTTPLOG
317                 res=$(curl -X GET -skw %{http_code} $proxyflag "$2" -H "Authorization: Bearer $3")
318                 retcode=$?
319         fi
320         echo " RESP: $res" >> $HTTPLOG
321     if [ $retcode -ne 0 ]; then
322         __log_conf_fail_general " Fatal error when executing curl, response: "$retcode
323         echo "$res"
324                 return 1
325     fi
326     status=${res:${#res}-3}
327         if [ $status -lt 200 ] && [ $status -gt 299 ]; then
328                 __log_conf_fail_status_code "2XX" $status
329                 echo "$res"
330                 return 1
331         fi
332         echo ${res:0:${#res}-3}
333         return 0
334 }
335
336 # Extract JWT access token from json structure
337 # args: <json>
338 __keycloak_decode_jwt() {
339     echo $1 | jq -r .access_token | jq -R 'split(".") | .[1] | @base64d | fromjson'
340         return 0
341 }
342
343 # Get the admin token to use for subsequent rest calls to keycloak
344 # args: -
345 keycloak_api_obtain_admin_token() {
346         __log_conf_start $@
347         __curl_string="-X POST $KEYCLOAK_SERVICE_PATH$KEYCLOAK_ADMIN_URL_PREFIX/protocol/openid-connect/token     -H Content-Type:application/x-www-form-urlencoded     -d username="$KEYCLOAK_ADMIN_USER" -d password="$KEYCLOAK_ADMIN_PWD" -d grant_type=password -d client_id="$KEYCLOAK_ADMIN_CLIENT
348         __TMP_TOKEN=$(__execute_curl_to_keycloak "$__curl_string")
349         if [ $? -ne 0 ]; then
350         __log_conf_fail_general " Fatal error when executing curl, response: "$?
351         return 1
352         fi
353
354         __KEYCLOAK_ADMIN_TOKEN=$(echo "$__TMP_TOKEN" | jq  -r '.access_token')
355         if [ $? -ne 0 ]; then
356         __log_conf_fail_general " Fatal error when extracting token, response: "$?
357         return 1
358         fi
359
360         echo "Decoded token:" >> $HTTPLOG
361         __keycloak_decode_jwt "$__TMP_TOKEN" >> $HTTPLOG
362
363         __KEYCLOAK_ADMIN_TOKEN_EXP=$(echo "$__TMP_TOKEN" | jq  -r '.expires_in')
364         if [ $? -ne 0 ]; then
365         __log_conf_fail_general " Fatal error when extracting expiry time, response: "$?
366         return 1
367         fi
368         echo " Admin token obtained. Expires in $__KEYCLOAK_ADMIN_TOKEN_EXP seconds"
369
370         __log_conf_ok
371         return 0
372 }
373
374 # Create a realm, name, enabled, expiry-time
375 # args: <realm-name> true|false <token-expiry>
376 keycloak_api_create_realm() {
377         __log_conf_start $@
378         __json='{"realm":"'$1'","enabled":'$2',"accessTokenLifespan":'$3'}'
379         res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
380         if [ $? -ne 0 ]; then
381                 __log_conf_fail_general " Fatal error when creating realm, response: "$?
382                 return 1
383         fi
384         __log_conf_ok
385         return 0
386 }
387
388 # Update a realm, name, enabled, expiry-time
389 # args: <realm-name> true|false <token-expiry>
390 keycloak_api_update_realm() {
391         __log_conf_start $@
392         __json='{"realm":"'$1'","enabled":'$2',"accessTokenLifespan":'$3'}'
393         res=$(__execute_curl_to_keycloak2 PUT "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
394         if [ $? -ne 0 ]; then
395                 __log_conf_fail_general " Fatal error when updating realm, response: "$?
396                 return 1
397         fi
398         __log_conf_ok
399         return 0
400 }
401
402 # Create a client
403 # args: <realm-name> <client-name>
404 keycloak_api_create_confidential_client() {
405         __log_conf_start $@
406         __json='{"clientId":"'$2'","publicClient":false,"serviceAccountsEnabled": true,"rootUrl":"https://example.com/example/","adminUrl":"https://example.com/example/"}'
407         res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
408         if [ $? -ne 0 ]; then
409                 __log_conf_fail_general " Fatal error when ucreating client, response: "$?
410                 return 1
411         fi
412         __log_conf_ok
413         return 0
414 }
415
416 __keycloak_api_get_client_id() {
417         TIMESTAMP=$(date "+%Y-%m-%d %H:%M:%S")
418         echo "(${BASH_LINENO[0]}) - ${TIMESTAMP}: ${FUNCNAME[0]}" $@ >> $HTTPLOG
419
420         res=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients?clientId=$2" "$__KEYCLOAK_ADMIN_TOKEN")
421         if [ $? -ne 0 ]; then
422                 return 1
423         fi
424         echo $res | jq -r '.[0].id'
425         return 0
426 }
427
428 __keycloak_api_get_service_account_id() {
429         TIMESTAMP=$(date "+%Y-%m-%d %H:%M:%S")
430         echo "(${BASH_LINENO[0]}) - ${TIMESTAMP}: ${FUNCNAME[0]}" $@ >> $HTTPLOG
431
432         res=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$2/service-account-user" "$__KEYCLOAK_ADMIN_TOKEN")
433         if [ $? -ne 0 ]; then
434                 return 1
435         fi
436         echo $res | jq -r '.id'
437         return 0
438 }
439
440 # Generate secret for client
441 # args: <realm-name> <client-name>
442 keycloak_api_generate_client_secret() {
443         __log_conf_start $@
444         __c_id=$(__keycloak_api_get_client_id $1 $2)
445         if [ $? -ne 0 ]; then
446                 __log_conf_fail_general " Fatal error when getting client id, response: "$?
447                 return 1
448         fi
449         res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
450         if [ $? -ne 0 ]; then
451                 __log_conf_fail_general " Fatal error when generating client secret, response: "$?
452                 return 1
453         fi
454         __c_sec=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
455         if [ $? -ne 0 ]; then
456                 __log_conf_fail_general " Fatal error when getting client secret, response: "$?
457                 return 1
458         fi
459         __c_sec=$(echo $__c_sec | jq -r .value)
460         echo " Client id    : $__c_id"
461         echo " Client secret: $__c_sec"
462         __log_conf_ok
463         return 0
464 }
465
466 # Get secret for client
467 # args: <realm-name> <client-name>
468 keycloak_api_get_client_secret() {
469         __log_conf_start $@
470         __c_id=$(__keycloak_api_get_client_id $1 $2)
471         if [ $? -ne 0 ]; then
472                 __log_conf_fail_general " Fatal error when getting client id, response: "$?
473                 return 1
474         fi
475         __c_sec=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
476         if [ $? -ne 0 ]; then
477                 __log_conf_fail_general " Fatal error when getting client secret, response: "$?
478                 return 1
479         fi
480         __c_sec=$(echo $__c_sec | jq -r .value)
481         echo " Client id    : $__c_id"
482         echo " Client secret: $__c_sec"
483         __log_conf_ok
484         return 0
485 }
486
487 # Create client roles
488 # args: <realm-name> <client-name> <role>+
489 keycloak_api_create_client_roles() {
490         __log_conf_start $@
491         __c_id=$(__keycloak_api_get_client_id $1 $2)
492         if [ $? -ne 0 ]; then
493                 __log_conf_fail_general " Fatal error when getting client id, response: "$?
494                 return 1
495         fi
496         __realm=$1
497         shift; shift;
498     while [ $# -gt 0 ]; do
499                 __json='{"name":"'$1'"}'
500                 res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$__realm/clients/$__c_id/roles" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
501                 if [ $? -ne 0 ]; then
502                         __log_conf_fail_general " Fatal error when creating client role, response: "$?
503                         return 1
504                 fi
505                 shift
506         done
507         __log_conf_ok
508         return 0
509 }
510
511 # Get client role id
512 # args: <realm-name> <service-account-name> <client-name> <role-name>
513 __get_client_available_role_id() {
514         res=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/users/$2/role-mappings/clients/$3/available" "$__KEYCLOAK_ADMIN_TOKEN")
515         if [ $? -ne 0 ]; then
516                 __log_conf_fail_general " Fatal error when getting availiable client role id, response: "$?
517                 return 1
518         fi
519     __client_role_id=$(echo $res | jq  -r '.[] | select(.name=="'$4'") | .id ')
520     echo $__client_role_id
521     return 0
522 }
523
524 # Map roles to a client
525 # args: <realm-name> <client-name> <role>+
526 keycloak_api_map_client_roles() {
527         __log_conf_start $@
528         __c_id=$(__keycloak_api_get_client_id $1 $2)
529         if [ $? -ne 0 ]; then
530                 __log_conf_fail_general " Fatal error when getting client id, response: "$?
531                 return 1
532         fi
533         __sa_id=$(__keycloak_api_get_service_account_id $1 $__c_id)
534         if [ $? -ne 0 ]; then
535                 __log_conf_fail_general " Fatal error when getting service account id, response: "$?
536                 return 1
537         fi
538         __realm=$1
539         shift; shift;
540         __json="["
541         __cntr=0
542     while [ $# -gt 0 ]; do
543         __client_role_id=$(__get_client_available_role_id $__realm $__sa_id $__c_id $1)
544         if [ $? -ne 0 ]; then
545                         __log_conf_fail_general " Fatal error when getting client role id, response: "$?
546                         return 1
547         fi
548         __role='{"name":"'$1'","id":"'$__client_role_id'","composite": false,"clientRole": true}'
549         if [ $__cntr -gt 0 ]; then
550             __json=$__json","
551         fi
552         __json=$__json$__role
553         let __cntr=__cntr+1
554         shift
555     done
556     __json=$__json"]"
557
558         res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$__realm/users/$__sa_id/role-mappings/clients/$__c_id" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
559         if [ $? -ne 0 ]; then
560                 __log_conf_fail_general " Fatal error when mapping client roles, response: "$?
561                 return 1
562         fi
563
564
565
566
567     # while [ $# -gt 0 ]; do
568         #       __json='{"name":"'$1'"}'
569         #       res=$(__execute_curl_to_keycloak2 POST "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$__realm/clients/$__c_id/roles" "$__KEYCLOAK_ADMIN_TOKEN" "$__json")
570         #       if [ $? -ne 0 ]; then
571         #               __log_conf_fail_general " Fatal error when adding client role, response: "$?
572         #               return 1
573         #       fi
574         #       shift
575         # done
576         __log_conf_ok
577         return 0
578 }
579
580 # Get a client token
581 # args: <realm-name> <client-name>
582 keycloak_api_get_client_token() {
583         __log_conf_start $@
584         __c_id=$(__keycloak_api_get_client_id $1 $2)
585         if [ $? -ne 0 ]; then
586                 __log_conf_fail_general " Fatal error when getting client id, response: "$?
587                 return 1
588         fi
589         __c_sec=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
590         if [ $? -ne 0 ]; then
591                 __log_conf_fail_general " Fatal error when getting client secret, response: "$?
592                 return 1
593         fi
594         __c_sec=$(echo $__c_sec | jq -r .value)
595         __curl_string="-X POST $KEYCLOAK_SERVICE_PATH$KEYCLOAK_TOKEN_URL_PREFIX/$1/protocol/openid-connect/token     -H Content-Type:application/x-www-form-urlencoded     -d client_id="$2" -d client_secret="$__c_sec" -d grant_type=client_credentials"
596         __TMP_TOKEN=$(__execute_curl_to_keycloak "$__curl_string")
597         if [ $? -ne 0 ]; then
598                 __log_conf_fail_general " Fatal error when getting client token, response: "$?
599                 return 1
600         fi
601         echo $__TMP_TOKEN| jq -r .access_token
602         __log_conf_ok
603         return 0
604 }
605
606 # Read a client token
607 # args: <realm-name> <client-name>
608 keycloak_api_read_client_token() {
609         TIMESTAMP=$(date "+%Y-%m-%d %H:%M:%S")
610         echo "(${BASH_LINENO[0]}) - ${TIMESTAMP}: ${FUNCNAME[0]}" $@ >> $HTTPLOG
611         __c_id=$(__keycloak_api_get_client_id $1 $2)
612         if [ $? -ne 0 ]; then
613                 echo "<error-no-token>"
614                 return 1
615         fi
616         __c_sec=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
617         if [ $? -ne 0 ]; then
618                 echo "<error-no-token>"
619                 return 1
620         fi
621         __c_sec=$(echo $__c_sec | jq -r .value)
622         __curl_string="-X POST $KEYCLOAK_SERVICE_PATH$KEYCLOAK_TOKEN_URL_PREFIX/$1/protocol/openid-connect/token     -H Content-Type:application/x-www-form-urlencoded     -d client_id="$2" -d client_secret="$__c_sec" -d grant_type=client_credentials"
623         __TMP_TOKEN=$(__execute_curl_to_keycloak "$__curl_string")
624         if [ $? -ne 0 ]; then
625                 echo "<error-no-token>"
626                 return 1
627         fi
628         echo $__TMP_TOKEN| jq -r .access_token
629         return 0
630 }
631
632 # Read secret for client
633 # args: <realm-name> <client-name>
634 keycloak_api_read_client_secret() {
635         TIMESTAMP=$(date "+%Y-%m-%d %H:%M:%S")
636         echo "(${BASH_LINENO[0]}) - ${TIMESTAMP}: ${FUNCNAME[0]}" $@ >> $HTTPLOG
637         __c_id=$(__keycloak_api_get_client_id $1 $2)
638         if [ $? -ne 0 ]; then
639                 echo "<error-no-secret>"
640                 return 1
641         fi
642         __c_sec=$(__execute_curl_to_keycloak2 GET "$KEYCLOAK_SERVICE_PATH$KEYCLOAK_REALM_URL_PREFIX/$1/clients/$__c_id/client-secret" "$__KEYCLOAK_ADMIN_TOKEN")
643         if [ $? -ne 0 ]; then
644                 echo "<error-no-secret>"
645                 return 1
646         fi
647         __c_sec=$(echo $__c_sec | jq -r .value)
648         echo $__c_sec
649         return 0
650 }