Я использую Keycloak в качестве IAM, и у меня есть клиенты «alertmanager» и «Nginx», которые работают вместе с Keycloak-gatekeeper / louketo-proxy в качестве дополнительного компонента в моем кластере K8s. Пользователи могут отлично войти в систему, но возникают некоторые проблемы с выходом из системы.
Когда я пытаюсь «Выйти из всех» в разделе «Сеанс» в разделе администратора Keycloak. Я получаю эту ошибку, и параллельно привратник / прокси получает вызов от Keycloack (я проверяю живые журналы), но поскольку этот самый запрос не прошел проверку подлинности, поэтому запрос не выполняется. Итак, как мы можем внести здесь IP-адрес keycloak в белый список?
Также , как мы можем распространить выход из системы на все клиенты из браузера, когда один из клиентов (приложение) выполняет выход, нажимая application / oauth / logout в браузере? Другое приложение, которое ранее также входило в систему через SSO в том же браузере, не вышло из системы, и токен по-прежнему сохраняет токены (проверяется через application2 / oauth / token), оба клиента (приложения) находятся из одной области.
Обновление sh между разными клиентами занимает максимум 5 минут, когда прокси запрашивает keycloak обновить sh токен.
Когда я добавляю / удаляю пользователя из определенного группа, скажем, "DevOps", и прокси / привратник настроен на предоставление доступа там, где пользователь присутствует в группе "DevOps". Итак, если я добавлю кого-то в группу «DevOps», у меня будет максимум 5 минут, чтобы отразить это, и пользователи могут начать использовать связанное приложение. Но, когда я удаляю пользователя из группы. Они по-прежнему могут пользоваться доступом группы «DevOps» в течение максимум 5 минут, что является проблемой безопасности!
Есть ли способ мгновенно распространять события из Keycloack на всех клиентов . Это ожидаемое поведение Keycloack?