В Keycloak есть способ ограничить регистрацию для определенных почтовых доменов

Question

Мы создаем POC, используя сервер keycloak для IAM.План состоит в том, чтобы использовать область для разделения пользователей в разных клиентских организациях.

Мы хотим убедиться, что пользователи, регистрирующиеся в домене, могут делать это только в том случае, если у них есть идентификатор электронной почты компании.

Как этого добиться?Есть ли способ, которым мы можем ограничить регистрацию пользователя с помощью идентификатора электронной почты, заканчивающегося @abc.com, для регистрации в области.

Мы используем 4.0.0.beta2 для poc.

Answer 1

Я не могу найти какие-либо стандартные функции для этого, но возможно создать собственный аутентификатор (SPI), который проверяет адрес электронной почты.Затем это можно добавить в качестве шага выполнения в поток аутентификации «регистрация» и отменить процесс регистрации, если домен электронной почты не принят.Вероятно, это не приведет к хорошим ошибкам проверки на месте, это будет какая-то страница с ошибкой.

Кажется, что есть задача, связанная с этим: https://issues.jboss.org/browse/KEYCLOAK-2966