Среда:
- Debian 8
- mod_auth_openidc 2.3.9
- Keycloak 4.4.0.Final
- Apache 2.4.10
Не уверен, является ли это вопросом Keycloak или mod_auth_openidc, но давайте посмотрим, к чему это нас приведет ...
Я пытаюсь заставить работать по обратному каналу работу с вышеуказанной конфигурацией.Насколько я понимаю, если я нажму URL-адрес выхода mod_auth_openidc (http://host/redirect_url?logout=http://host/...),, это, в свою очередь, вызовет URL-адрес выхода из Keycloak SSO. И затем будет выполнен обратный вызов на всех RP, которые поддерживают выход из обратного канала, чтобы дать имвозможность убивать там свои собственные сессии.
Я определил, что URL-адрес выхода Keycloak действительно вызывается, но мое приложение (которое защищено с помощью mod_auth_openidc) никогда не вызывается. Я вижу в журнале Keycloak следующее:
15: 18: 28,672 DEBUG [org.keycloak.services.managers.AuthenticationManager] (задание по умолчанию 1) обратного канала для выхода: ultradev
15: 18: 28,675 ОТЛАДКА[org.keycloak.services.managers.ResourceAdminManager] (задание по умолчанию-1) Не удается выйти из системы {0}: нет зарегистрированных сеансов адаптера
, что указывает на то, что mod_auth_openidc не зарегистрирован как адаптер Keycloak "Msgstr "Я также не уверен, поддерживает ли Keycloak выход из обратного канала в соответствии со спецификацией OpenIDC или это собственный запатентованный механизм,Keycloak не объявляет о поддержке выхода из обратного канала в своей конечной точке метаданных.
В любом случае мой вопрос сводится к следующему: Поддерживается ли выход из обратного канала с помощью mod_auth_openidc против Keycloak?Я обнаружил, что документация по Keycloak несколько сбивает с толку, поэтому вполне возможно, что я делаю что-то не так.Нужно ли мне писать адаптер Keycloak, чтобы это работало?
Просто интересно, есть ли у других пользователей mod_auth_openidc какой-либо опыт здесь.
Спасибо!