Syn c Пользователи между разными экземплярами Keycloak

Question

Я работаю в многопрофильной группе компаний. У каждой компании есть своя сеть, свои ИТ-администраторы и, соответственно, собственный Active-Directory. Невозможно подключить различные сети через VPN, например, например, пользователей компаний можно определить по их домену электронной почты, например, jdoe@company-a.com и jdoe@company-b.com

. Моя цель - разработать глобальное приложение для вся группа компаний.

Я хочу использовать Keycloak в качестве управления идентификацией и доступом.

Проблема в том, что каждый пользователь, являющийся членом определенных групп, из всех компаний должен иметь доступ / логин / авторизованный для централизованного внешнего интерфейса и децентрализованного внутреннего интерфейса (самопрограммируемый прокси / шлюз API).

Вот чертеж текущей ситуации:

Draw.io Не стесняйтесь редактировать

Предложение:

1. Я бы использовал общую базу данных для экземпляров Keycloak, но, поскольку нет VPN это не может быть сделано
2. Keycloak для федерации пользователей Keycloak?
3. Использовать другие компании в качестве IDP и сценарий переключения на основной Keycloak?

Заранее спасибо за вашу помощь :)

Answer 1

Я бы порекомендовал выделенный «локальный» Keycloak в каждой компании (с настроенной федерацией пользователей в Active Directory). И один «глобальный» экземпляр Keycloak, который настроит Identity Brokering для всех «локальных» экземпляров Keycloak. «Локальные» администраторы по-прежнему будут иметь все возможности для управления своими пользователями и настройки темы входа. Пользователи должны будут выбрать поставщика удостоверений на «глобальной» странице входа Keycloak, или приложения могут использовать предложенный клиентом поставщик удостоверений с параметром запроса kc_idp_hint.