Keycloak: не создавать локального пользователя во время брокерской идентификации

Question

Я использую Keycloak в качестве брокера идентификации для провайдера идентификации SAML для входа в веб-приложение.

Чтобы заставить его работать, я создал новый поток аутентификации, который выглядит как: «Создать пользователя, если он уникален»,«Автоматически связывать брокерскую учетную запись».

Keycloak правильно перенаправляет на провайдера идентификации со страницы входа в систему.После входа поставщик удостоверений перенаправляет, как ожидается, к keycloak, а затем к моему веб-приложению, но keycloak также создает локального пользователя.

Можно ли использовать внешний IDP без создания локальных пользователей?

Проблема с локальнымпользователи: у меня есть реализация "пользовательской федерации пользователей", которая извлекает пользователей из моего приложения, и если локальный пользователь создал, невозможно войти в систему с помощью "пользовательской федерации пользователей".Keycloak просто попытается войти, как с локальным пользователем.

Answer 1

К сожалению, в настоящее время невозможно пропустить создание учетной записи локального пользователя. По словам команды Keycloak, они откладывают поддержку, «поскольку мы планируем выполнить более масштабную работу на уровне хранилища, которая позволит реализовать эту возможность». См. Запрос функции https://issues.jboss.org/browse/KEYCLOAK-4429.