Я хочу использовать keycloak как брокер идентификации с помощью провайдера OpenID Connect. Провайдер поддерживает и поощряет использование Dynami c регистрации клиента .
В конце концов, я хочу, чтобы информация пользователя была асимметрично зашифрована провайдером.
Процесс для это при реализации вручную будет:
- динамически регистрировать себя как клиента у OID C провайдера
- Предоставлять
jwks_uri (или сам JWKS) как часть регистрация, которая включает ключи, которые провайдер должен использовать для шифрования - Укажите алгоритм (
userinfo_encrypted_response_alg) и шифрование (userinfo_encrypted_response_enc) для шифрования информации пользователя.
- При аутентификации провайдер шифрует информацию о пользователе с помощью ключа, alg, en c, указанного во время регистрации
- Я расшифровываю информацию о пользователе соответствующим закрытым ключом.
При просмотре конфигурация keycloak, мне не хватает некоторых важных частей для этого процесса. Я не уверен, что они просто не задокументированы, или я должен реализовать это сам как расширение к keycloak. Я бы предпочел конфигурацию: -)
Части, которые я не вижу и мне нужна помощь:
- Действительно ли keycloak использует динамическую c регистрацию клиента?
- Где я могу указать токены для регистрации?
- Поддерживает ли keycloak шифрование информации пользователя для брокеров идентификации?
- какие ключи используются для этого?
- указывает ли он JWKS URI или сам JWKS?
- Как эти ключи меняются? (тот же механизм или даже тот же набор, что и для его собственного JWKS URI?)
Из того, что я прочитал в разделе JWKS, JWKS (URI) в конфигурации - это тот поставщика OID C, с которым я работаю посредником. Мне нужно это в другом направлении.