将Keycloak配置为与AD服务器之间的时间差(SAML)
Keycloak 是一个开源的身份认证和授权解决方案,可以与 AD(Active Directory)服务器集成以实现单点登录(SSO)功能。在配置 Keycloak 与 AD 服务器之间的时间差(SAML)时,可以按照以下步骤进行操作:
- 首先,确保 AD 服务器和 Keycloak 服务器之间的时间同步。时间差会影响到 SAML 的验证和授权流程,因此需要保证时间的一致性。
- 在 Keycloak 管理控制台中创建一个新的身份提供者。在 "身份提供者" 菜单中选择 "SAML",然后点击 "添加提供者" 按钮。填写必要的信息,如名称和别名。
- 配置身份提供者的 SAML 设置。在 "SAML" 选项卡中,配置以下参数:
- 实体 ID (Entity ID):提供者的唯一标识符。
- 断言消费者 URL (Assertion Consumer Service URL):用于接收 SAML 断言的 URL。
- 单点登录服务 URL (Single Sign-On Service URL):用于重定向用户到 AD 服务器以完成身份验证的 URL。
- 单点登出服务 URL (Single Logout Service URL):用于处理用户退出的 URL。
- 配置与 AD 服务器之间的连接。在 "细节" 选项卡中,配置以下参数:
- 身份提供者的元数据 (Identity Provider Metadata):AD 服务器的元数据信息,可以通过 AD 服务器的管理工具或其他方式获取。
- 配置安全设置。在 "安全" 选项卡中,配置以下参数:
- 签名算法 (Signature Algorithm):选择用于签名 SAML 断言的算法。
- 检查签名 (Validate Signature):选择是否验证 SAML 断言的签名。
- 配置映射设置。在 "映射" 选项卡中,配置将 AD 服务器的属性映射到 Keycloak 的用户属性。
完成以上配置后,Keycloak 将与 AD 服务器之间建立起 SAML 的集成。用户在访问与 Keycloak 集成的应用程序时,将被重定向到 AD 服务器进行身份验证,验证成功后将返回 SAML 断言给 Keycloak,从而实现单点登录和授权。
在腾讯云的解决方案中,可以使用腾讯云的云服务器(CVM)作为 Keycloak 服务器,并将其部署在一个私有网络中以与 AD 服务器进行安全通信。同时,可以使用腾讯云的访问控制策略(CAM)来管理 Keycloak 的访问权限。
更多关于 Keycloak 的信息和腾讯云相关产品的介绍,请参考腾讯云官方文档:
- Keycloak 官方文档:https://www.keycloak.org/documentation
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云访问控制(CAM):https://cloud.tencent.com/product/cam
相关·内容
SAML用于webapp和Okta之间的身份验证,使用Keycloak作为身份代理。 现在,客户希望从Okta迁移到Azure AD。我已经完成了将keycloak连接到Azure AD的POC,并使用SAML在webapps和Azure AD之间进行身份验证。 但这里的问题是,客户也希望在过渡期内将一些用户保留在Okta。因此,他们需要在一段时
浏览 53提问于2019-05-02得票数 0
我无法控制提供SAML断言的AD身份验证服务器。AD服务器的时间通常相差几秒。从Keycloak的日志中: 16:08:33,713 DEBUG [org.keycloak.saml.validators.ConditionsValidator] (default task-5)4fd8-8743-b60c5df535b6. notBefore=2019-07-02T20:08:37.322Z, n
浏览 33提问于2019-07-03得票数 1
我正在尝试使用键盘斗篷在我的web应用程序和IDP Azure AD之间进行saml代理。
我在Azure中创建了很少的用户,并在那里添加了我的webapp作为应用程序。我用SAML配置了Keycloak,并在KeyCloak中导入了Azure联邦数据。但是有些地方出了问题,因为我没有在web上获得任何链接,这可以给我一步一步地将KeyCloak与Azure集成起
浏览 0提问于2019-02-22得票数 4
我已经在web应用程序(使用Kibana进行测试)和IDP Azure AD之间使用keycloak和saml/OpenID代理设置了单点登录(SSO)。 在Azure AD中创建的用户和组很少。还配置了属性映射,以通过以下链接将用户/组角色从Azure AD映射到keycloak, https://keycloak.discourse.group/t/ge
浏览 92提问于2021-01-12得票数 1
1回答
我对keycloak非常陌生,所以我可能会问一个非常基本的问题。我已经将我的JBoss安装与keycloak saml适配器集成在一起。它安装正确,Jboss工作得很好。之后,我将应用程序更新为包含keycloak_saml.xml,并将web.xml中的身份验证方法更新为KEYCLOAK-SAML。这都是根据ke
浏览 4提问于2016-09-22得票数 9
回答已采纳
如果我们有两个身份服务器,将使用哪些权限和角色进行授权和身份验证?
SSO将如何在这里工作?产品将使用自己的角色和权限,还是使用新配置的ID用户角色和权限
浏览 6提问于2017-06-16得票数 2
回答已采纳
1回答
我在Keycloak中创建了一个SAML身份提供者。单点登录url是,如FederationMetadata.xml中所述。如果我现在使用的是Keycloak-User-Login,我会看到一个链接,其中我将被重定向到单个登录页面,但是在此之后,我会得到一个错误,因为我没有指定任何查询参数,比如wa=signin1.0、whr如果我将此参数正确地包含到信号登录url中,我可以登录,但是keycloak不知道发生了什么。
在我看来,URL混淆为单点登录url,并且身份提供者(如我在
浏览 1提问于2019-06-17得票数 3
回答已采纳
1回答
这个问题是在基于SAML的IDP发起的SSO领域。作为一个POC,我有两个keycloak实例,比如keycloak1和keycloak2。为了这样做,
( a)在keycloak1下realm1下创建saml客户端。将IdP initiated SSO Name设置为没有空格的名称)-例如,keycloakclientsaml。在细粒度SAML端点配置部分中,用
浏览 1提问于2019-02-20得票数 5
我的spring引导2.5.5应用程序有以下结构,其中客户端请求到达服务器A,然后转发到服务器B,然后转发到服务器C。我已经实现了Spring安全性和AD SAML身份验证,使用了(spring- Security -SAML 2-core)
Nginx (服务器A) -> nginx.conf配置为服务器BNginx(Server B) -> nginx.conf被配置</em
浏览 3提问于2021-11-13得票数 0
请注意,我对我提到的应用程序是新手,所以我可能使用的术语不正确。我已经添加了一些图表来尽我所能来解释自己。
我还通过Keycloak的OpenID API成功地使用了OpenID来访问web服务;但前提是用户凭据是在Keycloak
浏览 10提问于2016-08-09得票数 5
2回答
我在我的Spring应用程序中使用Keycloak。我想使用Okta作为身份提供者,但没有成功,这种配置:security.oauth2.resource.userInfoUri=https://dev-XXXXXX.oktapreview.comsecurity.oauth2.client.clientId=CLIENT_IDOkta身份提供程序配置:
但是,这种
浏览 1提问于2018-03-19得票数 2
回答已采纳
1回答
我在KeycloakServer4.2.1中使用saml协议注销时遇到了问题。在Keycloak旁边有一个Wildfly 9服务器。在Wildfly服务器中,部署了服务器.war文件。它们是带有JEE7的JSF应用程序。
我像这样配置了saml适配器(keycloak-saml.xml)。在此之后,我必须告诉keycloak服务器,他也应该使这个会话无效。我要给哪个URL打电话?&
浏览 0提问于2018-09-20得票数 3
在网关机器中,nginx反向代理提供对kibana和弹性的访问。弹性站点中的官方文档(以及我在网上发现的大量教程)描述了如何使用keycloak为SSO提供kibana,但问题是,它们使用的是elasticsearch的xpack.security扩展,其配置不适用于使用运算符(https://www.elastic.co/guide/en/cloud-on-k8s/current/
浏览 0提问于2023-02-24得票数 0
我已经设置了一个密钥披风服务器。然后,我在那个领域中创建了一个领域,一个SAML。因此,我的keycloak服务器是一个SAML,它使用该IDP进行身份验证。IDP需要SAML元数据。我可以在IDP条目的“导出”选项卡中的keycloak管理控制台中导出它。:2.0:metadata" entityID="https://keycloak.sample/auth&#x
浏览 2提问于2019-09-18得票数 2
回答已采纳
我已经将“KeyCloak”(身份代理)与Azure ADB2C集成在一起,用于对用户进行身份验证。
首先,将用户ADB2C登录用户流端点与密钥披风进行集成并进行测试,这是绝对安全的。此外,我们还将B2C“忘记密码”的用户名流端点与密钥披风集成在一起,成功地在B2C中完成了忘记密码,同时将响应重定向回密钥斗篷,同时我们看到来自密钥披风屏幕的错误响应为-“身份提供者响应中的缺失状态参数ADB2C-用OAuth标准认证协
浏览 10提问于2021-12-07得票数 0
我想实现单一登录(SSO) SAML2 Azure AD与反应应用程序与.NET核心后端API。我已经将already (企业应用)SAML2.0与.NET核心Web应用集成如下
并提到了启动类中的配置细节,如下所示
但我的要求是将此Azure AD企业应用程序<e
浏览 11提问于2022-05-31得票数 0
1回答
我已经使用SAML2.0将Keycloak设置为SSO的IdP。我在Keycloak为我的客户注册了所需的URL:Root URL:
当我试图访问受保护的资源(即表单*的URL )时,Keycloak</e
浏览 4提问于2019-09-19得票数 0
回答已采纳
1回答
刚刚启动POCing KeyCloak来挂接用户联盟(真的很简单!)并使用Node.JS设置一个SAML服务提供者(花了更多的时间来正确配置)。请参阅使用KeyCloak作为唯一身份提供商,是否可以将第三方服务(Appian)设置为SAML服务提供商,并使用收到的SAML用户名和/或令牌(Session_index)来请求OAuth令牌优选地,第三方(受信任的)服务将在幕后发出O
浏览 5提问于2019-04-26得票数 0
我使用Azure将一个Azure连接到OpenId IDP (基于KeyCloak)。这些连接运行良好,用户可以使用外部IDP在Azure AD上创建用户,这是我用于测试的基本应用程序中的登录名。我想将Azure AD中的现有用户连接到相关的IDP标识。
在使用Graph时,我注意到从IDP创建的用户在标识数组中使用了"signInType": "federated"标识。在接缝中,identi
浏览 8提问于2021-12-01得票数 0
我们使用的是Keycloak适配器4.5.0和EAP7.1。当我们配置我们的keycloak.json时,我们为auth-server-url配置了url https://authentication.country.com/op/v1/auth。这是不好的,因为我们使用我们自己的身份提供者。删除url的realms/KeycloakOIDCRealm&#x
浏览 1提问于2018-11-07得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
