Использовать keycloak в качестве службы аутентификации или IDP? - PullRequest
Новая
       94

Использовать keycloak в качестве службы аутентификации или IDP?

0 голосов
/ 06 февраля 2020

Итак, я провожу исследование, чтобы узнать, является ли это хорошей альтернативой для реализации Keycloak в среде, в которой я работаю. Я использую LDAP для управления пользователями на моем рабочем месте. Мне было интересно, есть ли способ использовать keycloak в качестве службы аутентификации во всех будущих системах и некоторых из существующих. В настоящее время мы управляем этим с IDP, который нам нужно улучшить или заменить, также есть некоторые системы, использующие свой собственный логин (это в конечном итоге изменится). Основная проблема, с которой я столкнулся, заключается в том, что keycloak синхронизируется с ldap, и я не хочу, чтобы пользовательские данные сохранялись на keycloak, возможно, если это были только данные для входа. Пользовательские данные планируется хранить только в базе данных ldap на случай необходимости обновления каких-либо пользовательских данных.

Так есть ли способ использовать keycloak только в качестве службы аутентификации, выбирающей учетные данные пользователя из ldap при каждом запросе аутентификации?

pd: возможно, я ошибаюсь в смысле того, что такое служба авторизации и что такое IDP.

1 Ответ

2 голосов
/ 06 февраля 2020

На самом деле нет необходимости синхронизировать пользователей LDAP с Keycloak. Keycloak поддерживает оба параметра

  • Импорт и возможность синхронизации пользователей из LDAP в Keycloak

или

  • Всегда получать информацию о пользователе напрямую из LDAP.

Но keycloak всегда будет генерировать в своей базе данных какого-либо базового c федеративного пользователя (например, для поддержания сеанса при использовании OpenID Connect - но вам это не нужно).

Насколько я знаю (но я сам этим не пользовался), вы также можете использовать keycloak для хранения данных пользователей LDAP и записи изменений обратно в LDAP (см. «Режим редактирования» в документации по Keycloak)

Ознакомьтесь с документацией Keycloak относительно LDAP, чтобы получить больше информации https://www.keycloak.org/docs/6.0/server_admin/#_ldap

Помимо Topi c пользовательских данных, Keycloak предоставляет множество различных протоколов (таких как SAML и OpenIDConnect) для предоставления аутентификация для ваших услуг. Таким образом, вы можете использовать разные / несколько протоколов аутентификации в зависимости от ваших приложений с помощью всего лишь одного «LDAP-Backend»

...