У нас есть сфера Keycloak, поддерживаемая специализированным провайдером пользовательских хранилищ.Хранилище идентификационных данных за этим провайдером является устаревшим, и мы вряд ли заменим его внутренним хранилищем keycloak.
Мы очень эффективно используем это для нашего веб-приложения, используя «предоставление кода авторизации» и адаптер keycloak-spring-security,Мы используем средства отображения протоколов для добавления дополнительных утверждений из нашего хранилища идентификаторов к токену доступа.Это все часть нашей прежней схемы авторизации.Все это прекрасно работает.
Теперь мы хотим предоставить нашим партнерам / клиентам набор наших API, чтобы они могли использовать их в своих приложениях.Мы хотим предоставить доступ нашим партнерам с помощью простого «предоставления учетных данных клиента» и единой учетной записи.Я могу легко это настроить, однако нам нужно, чтобы эта учетная запись службы была привязана к одному из пользователей в нашем хранилище идентификационных данных и приняла соответствующие претензии.
Возможно ли это?
---Edit ---
Я рассмотрел вопрос об использовании предоставления учетных данных для пароля владельца ресурса ", но я бы предпочел, чтобы этот клиент имел доступ к одной учетной записи службы, авторизованной клиентским секретом. Мне не нужны дополнительные учетные данные пароля,и я не хочу поддерживать политики паролей для учетных записей служб.
У нас нет планов по внедрению схемы федерации пользователей с нашими партнерами, и мы не можем предполагать, что наши партнеры будут использовать ее для интерактивных, управляемых пользователямиприложения.