<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hello<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I have created a security question Authenticator according Keycloak documentation by implementing org.keycloak.authentication.Authenticator interface,<o:p></o:p></p><p class=MsoNormal>with 2 configurable attributes. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>After adding the Authenticator execution into Authentication flow, I can set initial configuration values for the attributes in admin console (as realm admin user).<o:p></o:p></p><p class=MsoNormal>For a first time it’s everything OK and the values are set and used during authentication.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>But next time, when I try to change the attributes values, I get an ForbiddenException:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><i>14:49:48,783 ERROR [org.jboss.resteasy.resteasy_jaxrs.i18n] (default task-12) RESTEASY002005: Failed executing GET /admin/realms/master/authentication<o:p></o:p></i></p><p class=MsoNormal><i>/config-description/security-question-authenticator: org.keycloak.services.ForbiddenException<o:p></o:p></i></p><p class=MsoNormal><i> at org.keycloak.services.resources.admin.RealmAuth.requireView(RealmAuth.java:70)<o:p></o:p></i></p><p class=MsoNormal><i> at org.keycloak.services.resources.admin.AuthenticationManagementResource.getAuthenticatorConfigDescription(AuthenticationManagementResource.j<o:p></o:p></i></p><p class=MsoNormal><i>ava:853)<o:p></o:p></i></p><p class=MsoNormal><i> at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)<o:p></o:p></i></p><p class=MsoNormal><i> at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)<o:p></o:p></i></p><p class=MsoNormal><i> at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at java.lang.reflect.Method.invoke(Method.java:497)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.MethodInjectorImpl.invoke(MethodInjectorImpl.java:139)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceMethodInvoker.invokeOnTarget(ResourceMethodInvoker.java:295)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceMethodInvoker.invoke(ResourceMethodInvoker.java:249)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invokeOnTargetObject(ResourceLocatorInvoker.java:138)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invoke(ResourceLocatorInvoker.java:107)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invokeOnTargetObject(ResourceLocatorInvoker.java:133)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invoke(ResourceLocatorInvoker.java:107)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invokeOnTargetObject(ResourceLocatorInvoker.java:133)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.ResourceLocatorInvoker.invoke(ResourceLocatorInvoker.java:101)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.SynchronousDispatcher.invoke(SynchronousDispatcher.java:395)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.core.SynchronousDispatcher.invoke(SynchronousDispatcher.java:202)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.plugins.server.servlet.ServletContainerDispatcher.service(ServletContainerDispatcher.java:221)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.plugins.server.servlet.HttpServletDispatcher.service(HttpServletDispatcher.java:56)<o:p></o:p></i></p><p class=MsoNormal><i> at org.jboss.resteasy.plugins.server.servlet.HttpServletDispatcher.service(HttpServletDispatcher.java:51)<o:p></o:p></i></p><p class=MsoNormal><i> at javax.servlet.http.HttpServlet.service(HttpServlet.java:790)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletHandler.handleRequest(ServletHandler.java:85)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:129)<o:p></o:p></i></p><p class=MsoNormal><i> at org.keycloak.services.filters.KeycloakSessionServletFilter.doFilter(KeycloakSessionServletFilter.java:78)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:60)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.FilterHandler.handleRequest(FilterHandler.java:84)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.security.ServletSecurityRoleHandler.handleRequest(ServletSecurityRoleHandler.java:62)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletDispatchingHandler.handleRequest(ServletDispatchingHandler.java:36)<o:p></o:p></i></p><p class=MsoNormal><i> at org.wildfly.extension.undertow.security.SecurityContextAssociationHandler.handleRequest(SecurityContextAssociationHandler.java:78)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.security.SSLInformationAssociationHandler.handleRequest(SSLInformationAssociationHandler.java:131)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:57)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:46)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.security.ServletConfidentialityConstraintHandler.handleRequest(ServletConfidentialityConstraintHandler.java:64<o:p></o:p></i></p><p class=MsoNormal><i>)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:60)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.security.CachedAuthenticatedSessionHandler.handleRequest(CachedAuthenticatedSessionHandler.java:77)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.security.handlers.NotificationReceiverHandler.handleRequest(NotificationReceiverHandler.java:50)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.security.handlers.AbstractSecurityContextAssociationHandler.handleRequest(AbstractSecurityContextAssociationHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at org.wildfly.extension.undertow.security.jacc.JACCContextIdHandler.handleRequest(JACCContextIdHandler.java:61)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletInitialHandler.handleFirstRequest(ServletInitialHandler.java:284)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletInitialHandler.dispatchRequest(ServletInitialHandler.java:263)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:81)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.servlet.handlers.ServletInitialHandler$1.handleRequest(ServletInitialHandler.java:174)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.Connectors.executeRootHandler(Connectors.java:202)<o:p></o:p></i></p><p class=MsoNormal><i> at io.undertow.server.HttpServerExchange$1.run(HttpServerExchange.java:793)<o:p></o:p></i></p><p class=MsoNormal><i> at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)<o:p></o:p></i></p><p class=MsoNormal><i> at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)<o:p></o:p></i></p><p class=MsoNormal><i> at java.lang.Thread.run(Thread.java:745)<br><br></i><o:p></o:p></p><p class=MsoNormal>Only chance to update attribute values is to remove authenticator execution from the flow, then add it back and set configuration again “for a first time”.<o:p></o:p></p><p class=MsoNormal>Any idea why the Authenticator configuration setting works for a first time, but next update rise an exception?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Brano.<o:p></o:p></p></div></body></html>