Keycloak SSO с JWT это возможно?

Question

У нас есть веб-приложение, которое использует Keycloak для аутентификации.и нам нужно добавить JWT в качестве возможности единого входа.

Keycloak позволяет нам довольно легко настроить единый вход для наших клиентов, которые в основном имеют какую-то настройку SAML.

Однако была продана новая системапочти для всех наших клиентов эта система также претендует на предоставление sso.

однако я не очень понимаю, поскольку они просто отправляют JWT (Json Web Token).

Я не вижу никакого способаустановите их в качестве поставщика удостоверений именно с этим.

Поэтому я подумал, что, возможно, если мы добавим JWT в поток входа в браузер, а затем запросим привязку аккаунта.

Это выглядит довольно красивопросто настроить в консоли администратора, например:

Хотелось бы узнать, возможно ли что-то подобное?

, если это так, как я могу назначить свой пользовательский аутентификатор новомусоздал поток «Portal JWT».

Я читал некоторые документы по разработке сервера keyclaok здесь

Мне еще предстоит попробовать написать что-либо из этого, поскольку я не являюсьдистанционный пультЯ уверен, что моя идея вообще возможна.

и в документации также упоминается, что для развертывания этого предполагаемого пользовательского Аутентификатора мне просто нужно поместить его в каталог провайдеров.кажется, что он больше не существует.

Я понимаю, что этот вопрос не содержит кода, поэтому я могу ошибаться, задавая его здесь, но мне он кажется наиболее подходящим из стековых обменов, которые я знаю,

Тем не менее не стесняйтесь меня поправлять.

Answer 1

Мне не совсем понятен ваш поток, но когда дело доходит до "поддерживает ли Keycloak SSO", ответ, безусловно, да.

Вы можете использовать Keycloak несколькими способами:

1. Как поставщик удостоверений.Keycloak поддерживает идентификацию и доступ к информации для вашей организации и предоставляет ее доверенной третьей стороне.Это позволяет вашим пользователям получать доступ к системе этой третьей стороны с использованием ваших учетных данных.
2. В качестве посредника.Keycloak добавляет 1 или более сторонних поставщиков удостоверений в качестве надежных источников удостоверений.Это позволяет пользователям доверенных сторонних организаций получать доступ к вашим системам со своими учетными данными сторонних производителей.

Для выполнения любого из этих действий Keycloak поддерживает как SAML, так и OIDC.SAML основан на XML.OIDC может быть то, что вы имеете в виду.OIDC использует подписанные токены JWT (токен доступа и токен id) для передачи идентификационной информации.

Если кто-то говорит «отправить токен JWT», он, вероятно, говорит о Keycloak-as-Identity-Broker.вариант использования.Для интеграции стороннего провайдера идентификации в ваш брокер идентификации Keycloak вам понадобится не только их токены JWT.Обычно вам нужно как минимум четыре вещи: их конечная точка аутентификации, их конечная точка токена, а также client_id и client_secret, которые они вам предоставляют.Это позволяет вашему Keycloak доверять стороннему IdP, и именно это позволяет Keycloak распознавать, проверять и использовать выданные ими токены JWT.