Keycloak:如何仅通过身份提供者登录
Keycloak是一个开源的身份和访问管理解决方案,它提供了一套完整的身份验证、授权和访问控制功能。通过Keycloak,我们可以实现仅通过身份提供者登录的功能。
身份提供者是指用于验证用户身份的第三方服务,比如Google、Facebook、GitHub等。下面是实现仅通过身份提供者登录的步骤:
- 配置身份提供者:首先,我们需要在Keycloak中配置身份提供者。在Keycloak的管理界面中,选择"身份提供者",然后点击"添加提供者"按钮。根据需要选择合适的身份提供者,比如Google、Facebook等,并按照提供者的要求进行配置。
- 创建身份提供者登录流程:在Keycloak的管理界面中,选择"身份提供者",然后点击"登录流程"。创建一个新的登录流程,并将身份提供者添加到该流程中。可以通过拖拽的方式将身份提供者放置在合适的位置。
- 配置身份提供者登录策略:在Keycloak的管理界面中,选择"身份提供者",然后点击"登录策略"。为身份提供者配置合适的登录策略,比如是否允许用户注册、是否要求邮箱验证等。
- 配置客户端:在Keycloak的管理界面中,选择"客户端",然后选择需要配置的客户端。在"设置"选项卡中,将"访问类型"设置为"公开",并启用"直接访问授权"。这样,用户在访问该客户端时将直接跳转到身份提供者进行登录。
通过以上步骤配置完成后,用户在访问该客户端时将直接跳转到身份提供者进行登录验证,而无需输入用户名和密码。用户可以选择合适的身份提供者进行登录,并授权客户端访问其身份信息。
腾讯云提供了一款身份和访问管理服务,名为腾讯云访问管理(CAM)。CAM可以帮助用户管理身份和访问权限,实现身份验证、授权和访问控制等功能。您可以通过以下链接了解更多关于腾讯云访问管理的信息:腾讯云访问管理
请注意,以上答案仅供参考,具体的配置步骤和产品推荐可能因实际情况而异。建议在实际使用中参考相关文档和官方指南进行操作。
相关·内容
我将Keycloak作为身份代理运行,并配置了一个身份提供者。 当拥有来自我的IdP的有效令牌的用户第一次访问我的应用程序时,将使用令牌中的信息在Keycloak中创建该用户。这包括电子邮件、用户名、firstName和lastName。然后,Keycloak使用该用户信息发布其令牌。 当同一用户随后登录时,将根据Keycloak数据库中的用户信息创建Keycloak令牌。 我的问题是:如果用户在IdP上更改了他的lastName,我如何将Keycloak配置为自动更新其记录以匹配IdP令牌上的信息?
浏览 50提问于2019-09-13得票数 3
回答已采纳
我正在通过Google、Microsoft等使用Keycloak来进行身份中介,但是Keycloak只允许每个用户发送一封电子邮件。因此,用户只能通过一个社交登录选项(如果添加gmail作为用户的电子邮件地址,等等)进行身份验证。是否有任何方法包括每个用户一封以上的电子邮件,或任何其他解决办法?
编辑:(根据注释编辑以使场景更加清晰)
在我的场景中,我使用的是一个包含大量用户的联邦用户存储库,我需要Keycloak来访问所有在用户登录时使用Google、Azure等链接到用户的电子邮件,因为Keycloak使用电子邮件作为来自社会登录提供者的身份验证响应的唯一标识符。如果没有必需的电子邮件作为
浏览 0提问于2018-11-07得票数 4
回答已采纳
2回答
我有一个Keycloak代理和2个身份提供者在运行。目前,我在代理登录屏幕上看到了用户名和密码字段以及到已配置身份提供者的两个链接。单击IP链接后,可以通过身份提供商登录。 我如何禁用/删除用户名/密码字段,因为我只想提供身份提供者来登录到我的客户端(不能直接通过代理登录)?
浏览 50提问于2020-08-12得票数 6
日安,
可以使用将laravel页面的登录更改为keycloak页面吗?登录成功后,它会从keycloak重定向回带有身份验证详细信息的laravel主页?
有没有办法实现keycloak登录到laravel?谢谢。
浏览 6提问于2020-10-27得票数 0
我有一个Flutter应用程序,它使用Keycloak作为身份验证服务。目前我只允许email+password登录,我想为用户添加使用Facebook登录的选项。
我的问题是如何将facebook登录链接到我的Keycloak服务,以便我的服务能够管理访问令牌。
我找到了一个非常好的库,它是用来登录的
我在应用程序和Keycloak服务之间使用服务代理。我正在使用org.keycloak:keycloak-admin-client:6.0.1库作为Keycloak客户端。
我想了解应该发生的控制流,这样用户就可以登录到他的facebook帐户,然后我的Keycloak服务将管理它的访问令牌,
浏览 7提问于2019-12-28得票数 5
1回答
我在我的java ee应用程序中启用了社交登录(Google、Facebook、Twitter),并通过Keycloak进行身份验证。到目前为止,我已经能够直接通过Keycloak对应用程序进行身份验证,并使用以下方法捕获AccessToken:
AccessToken accessToken = ((KeycloakPrincipal) httpRequest.getUserPrincipal()).getKeycloakSecurityContext().getToken();
我是否可以使用此访问令牌来标识用户登录所使用的身份提供商(Google/Facebook/Twitter)?我的
浏览 0提问于2017-09-26得票数 0
请注意,我对我提到的应用程序是新手,所以我可能使用的术语不正确。我已经添加了一些图表来尽我所能来解释自己。
我试图在APIMAN中设置一个web服务身份验证策略(它在内部使用Keycloak )。
到目前为止,我知道我在Keycloak中创建的身份提供者(OpenAM)配置正确,因为它在登录页面上工作(见下面的图1)。
我还通过Keycloak的OpenID API成功地使用了OpenID来访问web服务;但前提是用户凭据是在Keycloak中(与OpenAM相反)(见图2)。
我想要实现的是通过Keycloak认证这个web服务客户端,但是使用身份提供者的凭据,但我不知道如何做,
浏览 10提问于2016-08-09得票数 5
1回答
通过身份网关对jBPM进行认证
、、、、
我正在使用jBPM standalone创建工作流。默认情况下,使用users.properties文件执行登录。
我有一个正在运行的身份服务器(在实现OpenId的Dot IdentityServer4中创建),我注册了一个客户机(例如: JBPM_CLIENT)并具有详细信息(作用域、SecretKeys等)。
我正在尝试通过该身份网关重定向jBPM的身份验证。
在阅读文档时,我认为可以使用KeyCloak来满足这一要求。
但是,当我看到Server和配置时,它看起来像KeyCloak,有点像IdentityServer4,对于创建Identity KeyCloak实例很有用。
浏览 1提问于2021-03-19得票数 0
1回答
当我登录到我在Keycloak中配置的身份提供者时,它会用代码和状态将我重定向回Keycloak,但Keycloak会抛出一个服务器错误,而不是接受代码并为我的应用程序/浏览器创建令牌。服务器错误如下所示:
Caused by: org.keycloak.broker.provider.IdentityBrokerException: Wrong audience from token.
at org.keycloak.broker.oidc.OIDCIdentityProvider.validateToken(OIDCIdentityProvider.java:484)
浏览 0提问于2020-09-05得票数 0
我不是一个azure专家,我开始熟悉azure AD,所以这个问题也是为了澄清我的一些疑问。 我在故事中的目标: 用户登录密钥罩用户登录web应用程序用户单击powerBI应用程序链接用户重定向到powerBI (已有密钥罩会话,直接授予用户访问权限)用户已作为AzureAD用户进行身份验证,并且可以使用Powerbi 我正在寻找一种使用keycloak验证访问powerBI的方法,显然powerbi只支持AzureAD作为身份验证,因此我开始研究如何使用keycloak登录到azure AD:https://docs.microsoft.com/en-us/azure/active-dir
浏览 93提问于2021-10-18得票数 0
1回答
我们正在对Keycloak进行一些测试,以便在我们的公司实现它,我想知道怎样才是使Keycloak与我们的遗留系统交互的最佳方法。
在我们的场景中,我们有一个本机登录界面,我们将使用direct grant -我们不会使用浏览器来授权代码流/重定向流,我们不使用任何类型的社交登录。
另一点是:我们必须保持我们的本机接口。
基于此,实现该流程的最佳/正确方法是什么?我用直接授权将我的客户设置在Keycloak上,但问题是每个用户都必须存在于Keycloak中。难道不可能用Keycloak作为“令牌emissor”而不是IDP吗?
如果密钥披风必须是一个IDP,那么在遗留系统中允许Keycloak
浏览 4提问于2020-06-01得票数 0
2回答
我正在使用带有外部IdP的SAML实现一个单点登录选项。如果在单击浏览器中的SSO按钮后检查接收到的SAML响应,则可以看到所需的身份验证数据(例如用户名和电子邮件),因此与IdP的通信工作正常。 然而,Keycloak没有执行登录,并显示了一个页面,其中显示:“很抱歉...登录超时,请重新登录。”,并且没有新用户注册。我的领域中令牌的登录超时设置为30分钟。 查看日志,我发现以下错误: keycloak_1 | 00:38:27,888 ERROR [org.keycloak.broker.saml.SAMLEndpoint] (default task-26) Assertion ex
浏览 79提问于2020-03-23得票数 1
回答已采纳
我已经用LDAP用户联合会配置了Keycloak。当用户想要登录到应用程序时,他被重定向到Keycloak登录页面,进入uid/pwd,并使用LDAP绑定进行身份验证。
这对我的需求是不够的,因为我想实现一些自定义身份验证逻辑,例如:
public boolean authenticate(String uid, String pwd) {
//1.- validate against LDAP
//2.- do some other validations
return validationResult;
}
我如何将自己的身份验证逻辑包含到Keycloak中?
浏览 2提问于2018-11-25得票数 4
回答已采纳
我正在尝试使用Keycloak (13.0.1)作为身份代理。我有一个iOS应用程序,它使用keycloak通过OIDC身份提供程序登录,然后使用令牌访问spring引导后端。
我的问题是,我根本无法获得keycloak注销,也无法将用户从身份提供程序会话中注销。
我花了好几天在谷歌上搜索这个,查看堆栈溢出和密钥披风对话页面以及git,但是我没有找到我的具体问题的答案。
使用邮递员进行测试时,我第一次单击“获取新访问令牌”:
它成功地将我重定向到身份提供者登录页面(我使用keycloak提示绕过初始的keycloak登录页面)。再次按下按钮将跳过IDP登录并直接给我令牌。多方便啊,所
浏览 2提问于2021-07-08得票数 1
回答已采纳
我需要使用KeyCloak实现一个登录流,其中用户将被提示使用一个现有帐户(通过电子邮件/密码或通过社交IdP)重新身份验证后,与一个不存在的社会帐户认证或选择创建一个新的KeyCloak帐户。
如下图所示:
可以用KeyCloak实现这样的流吗?
浏览 8提问于2022-06-18得票数 0
对于我的项目,我有用户在我的密钥斗篷与他们的身份提供者链接用户ID正确设置。其中一些用户没有为我的项目客户端设置角色。这些用户登录到我的应用程序(因为他们有一个有效的Google帐户),然后应用程序必须管理他们不应该访问应用程序的事实(因为他们没有角色)。如果用户没有角色,我想告诉keycloak不要重定向到我的应用程序。我已经为用户名密码表单(使用脚本,参见下面的脚本代码)完成了此操作,但是我无法成功地使用身份提供程序重定向器,脚本似乎没有被执行(重定向似乎发生在身份提供者重定向中)。
谢谢你的帮忙,
编辑:用于用户名密码表单的脚本:
/*
* Template for JavaScrip
浏览 2提问于2018-10-24得票数 1
回答已采纳
我正在开发一个React应用程序,并使用Keycloak对整个应用程序进行身份验证和授权。不会有任何不安全的路由。因此,我在index.js文件中初始化KeyCloak。我还跳过了KeyCloak的普通登录页面,因为所有的登录都将使用MS IDP完成。只有KeyCloak适配器正在使用,并且可以使用,没有其他第三方软件包。 它工作得很好,但在重定向发生之前,任何访问的路由都会闪烁一秒钟。 我使用KeyCloak作为服务,如下所示: import Keycloak from "keycloak-js";
const _kc = new (Keycloak as any)(&#
浏览 27提问于2021-06-23得票数 0
1回答
我们已经成功地设置了我们的jupyterhub环境(z2jh)来使用Keycloak作为身份验证服务器,用户在尝试访问jupyterhub网站时会获得一个输入密码屏幕。用于此操作的配置如下。
我们的问题是如何从另一个网站自动登录用户到jupyterhub服务器。我们不使用钥匙斗篷认证在另一个网站。因此,我们假设的登录过程如下所示
用户登录主网站(没有键盘斗篷)
用户转到一个网页,在那里我们应该链接到jupyterhub笔记本。
我们使用对keycloak服务器的post请求生成一个JWT令牌。
我们以某种方式使用令牌将用户签名到jupyterhub服务器中。
我们已经成
浏览 0提问于2019-07-05得票数 3
这是我的设置:
Dockerfile
FROM httpd:2.4-alpine
COPY ./static-files/ /usr/local/apache2/htdocs/
我运行了映像并可以在localhost:3000/static/访问这些文件。
我还在localhost:8080/auth上运行了一个Keycloak(12.0.1) (我已经创建了它的所有属性,如王国、客户端和用户等)。
我的要求是这样的:
当我访问localhost:3000/ static /i时,应该重定向到Keycloak localhost:8080/auth进行身份验证,并且在成功登录后,我应该能够查看
浏览 3提问于2021-01-11得票数 2
回答已采纳
我正在将Keycloak集成到一个React应用程序中。我已经成功地在Keycloak中添加了Google提供商。现在,用户可以使用Keycloak用户的凭据登录,也可以使用Google登录。登录后,如何区分用户是与React还是与提供者?以及如何获取该用户的ID,以便某些活动将该ID存储在数据库中?
浏览 1提问于2022-10-27得票数 1
回答已采纳
我正在尝试使用键盘斗篷在我的web应用程序和IDP Azure AD之间进行saml代理。
我在Azure中创建了很少的用户,并在那里添加了我的webapp作为应用程序。我用SAML配置了Keycloak,并在KeyCloak中导入了Azure联邦数据。
但是有些地方出了问题,因为我没有在web上获得任何链接,这可以给我一步一步地将KeyCloak与Azure集成起来。
我正在获取Microsoft登录页面,并在输入密码时通过了身份验证,但是在它重定向回Keycloak之前,我得到了以下错误:
抱歉,但我们很难给你报名。
AADSTS700016:在目录'<>‘中找不到标
浏览 0提问于2019-02-22得票数 4
我正在尝试集成一个遗留的OAuth 2.0提供程序,它不支持OpenID Connect1.0作为Keycloak上的身份提供程序。 此旧版提供程序提供了一个xml服务,该服务返回类似于userinfo的用户详细信息。 我看到Keycloak有社交提供者的概念,但我找不到任何关于如何在GUI上实现和注册一个新的概念的资源。
浏览 50提问于2021-04-07得票数 0
我想使用“直接访问授权”对KeyCloak进行身份验证:
当keycloak自己管理用户和密码时,我的工作就像一个护身符。
但是,我的场景是不同的:
我想让keycloak充当某个外部IDP的经纪人。KeyCloak具有身份代理功能-但仅在“授权代码流”中起作用-将用户重定向到外部IDP登录表单。我有移动应用程序,并希望不使用“直接访问授权”-因此应用程序与keycloak通信来验证用户-并且keycloak,作为代理,在外部IDP中验证此用户(使用openid-connect
如何实现这样的场景?我知道这是不可能的--但也许有人会建议如何写一个扩展到keycloak使这种情况成为可能?
浏览 5提问于2020-08-21得票数 3
1回答
我正在开发具有移动视图的angular6 web应用程序。对于身份验证,我使用keycloak服务器。它为我的Oauth2提供了访问和刷新令牌。
要获取令牌,用户必须使用登录名/密码登录。每次令牌过期时,用户在手机上输入密码都不是很舒服。
如果可以通过输入个人识别码在应用程序中恢复工作,那将是很酷的。我认为PIN码可以在第一次登录后由用户设置,或者由服务器生成并通过电子邮件发送给用户。
如何为web应用程序配置pin码身份验证?是否可以使用密钥罩配置pin-code身份验证?或者,是否可以使用另一个身份验证服务器?是否可以在不存储密码的情况下完成FE或BE?
浏览 1提问于2018-07-27得票数 2
3回答
我有一个关于Keycloak和获取访问令牌的问题。
我有两个不同的应用程序设置为两个不同的客户端在keycloak。两者都使用相同的LDAP (Active directory)服务器进行身份验证,该服务器在keycloak中设置为用户联盟。
用户使用密钥罩登录页面登录到applicationA。现在,用户想要在其网页上单击一个按钮即可打开applicationB。
单击该按钮后,applicationA应该能够从keycloak中检索访问令牌,并使用它启动applicationB。
但不应该要求它再次登录到keycloak。
一旦它收到令牌,它就应该能够使用令牌启动applicationB。
浏览 1提问于2018-03-09得票数 1
我有一个.Net 6应用程序,需要能够被我设置的用户列表和公司的登录。B2C有继承Azure用户的方法吗?我知道如何将其设置为只使用我的Azure Active Directory或任何Azure Active Directory,但我还没有找到一种方法可以从单一的B2C MVC应用程序中设置Azure Active和C#身份验证。现在keycloak能够做到这一点,但我需要运行它并连接到它以进行身份验证。
浏览 8提问于2022-03-30得票数 1
回答已采纳
我们在集群中设置了几个工具。我们使用keycloak作为这些工具的最终用户身份验证的OIDC提供者。一旦用户登录到keycloak,是否有任何方法可以将这些凭据传递到工具,以便一旦用户重定向到该工具,他也将自动登录到该工具?
浏览 16提问于2020-05-11得票数 0
尝试用SAML2配置密钥披风来配置AWS OpenSearch。我从Keycloak领域获得XML元数据,->领域设置通用-> SAML2.0身份提供者元数据
并将entityId更改为"myEntityId“。如何获得正确的xml,或者在Keycloak中有任何设置来解决这个问题?
浏览 10提问于2022-05-17得票数 0
回答已采纳
我通过导入Microsoft ADFS提供的元数据,在keycloak中配置了一个SAML身份提供者。 我可以在我的客户端登录页面上看到用于登录的IdP选项。 单击该按钮后,它将重定向到外部身份提供商登录页面。 登录后,我成功地使用了SAMLResponce。(使用SAML跟踪程序检查)。 页面被重定向到IDP重定向URL。 重定向后页面显示"invalidFederatedIdentityActionMessage“ 我看到它给我的码头日志-- 23:58:09,035 WARN org.keycloak.events type=IDENTITY_PROVIDER_RESPONSE
浏览 47提问于2020-04-08得票数 1
在我的web应用程序中,我使用Keycloak作为身份验证提供者。我在标题中为已登录的用户显示附加内容。有时用户在访问我的应用程序之前已经在Keycloak中进行了身份验证。
我如何检查用户是否在公共页面上的Keycloak中通过了身份验证,而不需要用户导航到某个受保护的页面,或者之前没有转到登录页面?
浏览 2提问于2021-03-06得票数 2
1回答
如何最好地配置,以便用户需要一个帐户才能登录到该客户端?
我得换个自个儿的单元房。它处理用户、角色和客户端,就像Keycloak一样。然而,它也知道有关帐户。用户只有在客户端有一个帐户的情况下才能登录到该客户端.
在Keycloak中,如果用户只是存在于某个领域,他可以登录到该领域的客户端。不需要别的了。所以不需要“帐户”。在旧的应用程序中,他也需要一个帐户。中的哪些功能最适合克服这种差异?
我有一个想法:
在每个客户端名称"HasAccount“中创建一个客户端角色,并将其分配给用户。然后,如果缺少该角色,则限制访问。这里讨论的是:"“它至少有两个缺点:
它将身份验证和
浏览 2提问于2021-01-20得票数 2
我希望找到一个工具来完成项目的认证(和授权)部分。对于这个项目,我将使用spring和java 8。我将使用OAuth2.0,这是不受信任的客户机(web-applictation)和受信任的客户机(另一台服务器)的流程。
我在看Keycloak和Spring授权服务器()。
但是还不清楚Spring授权服务器的所有可能性是什么。
就像使用Keycloak一样,您有单点登录、身份代理、社交登录、用户联合、管理控制台、帐户管理控制台、标准协议等。
这在Spring授权服务器中也是可能的吗?或者Spring授权服务器的可能性是什么?
浏览 4提问于2022-04-25得票数 2
回答已采纳
1回答
在成功登录IDP之后,我将获得一个SAML属性(个人id号)。在我们的密钥罩实现中,我使用类型为'Username Template Importer‘和模板{ATTRIBUTE.uid}的身份提供者映射器来获取它
然后在keycloak中使用此属性(通过用户联合定义的端点)来调用其他服务来验证用户。我遇到的问题是这个属性的格式不正确。在获取属性来修改它时,是否可以在keycloak中以某种方式进行修改?或者,这需要在验证服务的代码中完成吗?
浏览 6提问于2017-07-11得票数 1
我在Keycloak中看到了一个奇怪的场景:
将Keycloak配置为身份代理。它与一个身份提供者交谈
以用户身份从身份提供程序登录
偶尔(可能每20次就有1次),就会显示一个“帐户已经存在”的对话框。我以前从未以这个用户的身份登录过。
对为什么会发生这种事有什么想法吗?密钥披风版本5.0.0。
发生这种情况时报告的堆栈跟踪如下:
keycloak_1 | 2019-05-07 20:57:06,598 ERROR [org.keycloak.broker.oidc.AbstractOAuth2IdentityProvider] [cid: 9d4851670c
浏览 0提问于2019-05-06得票数 0
回答已采纳
我是键盘斗篷的初学者。我需要一些帮助。 我有SSO解决方案,我想将它与jenkins集成。在这一点上,我想允许一些基于角色的用户。 OpenID -- keycloak -- jenkins :所有在openid中的用户都可以登录jenkins (我不想要) OpenID -- keycloak (检查角色) -- jenkins :所有在openid中并且在keycloak中具有特定角色的用户都可以登录jenkins (我想) 我认为这是一个非常简单和常见的使用keycloak的例子,但是我找不到解决方案。 我所做的步骤在这里。 在jenkins中安装keycloak插件。 安装keycl
浏览 346提问于2019-05-08得票数 4
我正在尝试配置我的应用程序使用keycloak作为身份验证服务器,它有点工作,我能够成功登录,但当访问令牌过期时,它会将我重定向到keycloak登录页面以再次登录,有人能告诉我如何保持会话登录而不重新登录吗?我已经检查了文档,但我找不到任何有关这方面的内容。
我使用的是keycloak-connect包
...
const keycloakConfig = JSON.parse(fs.readFileSync(path.resolve(__dirname, '../keycloak.json')).toString())
const memoryStore = new se
浏览 25提问于2020-12-22得票数 0
我有一个向Keycloak注册的外部openidconnect身份提供程序。当客户端应用程序尝试访问受保护的资源时,它会被重定向到KeyCloak登录页面。在登录页面上,我启用了外部openidconnect提供程序按钮。一旦用户单击该按钮,他就会转到外部身份提供者(即identityserver3实例)。外部提供程序会对用户进行身份验证并发回一个代码。
现在,在外部身份提供者中注册的客户端的重定向是keycloak的重定向。因此,在外部IDP验证成功后,它会将代码(因为它是Auth码流)发回重定向url处的keycloak:
在URL中,如果您看到它以endpoint结尾。我不认为这是正确
浏览 11提问于2017-07-21得票数 3
我在Kubernetes上运行了几个web应用程序。为了匹配请求,我使用了NGINX ingress。目前,所有应用程序都在分别验证来自我们的身份提供商的令牌(我在dev上使用Keycloak,并计划将Azure Active Directory用于生产)。 是否有可能在入口级进行验证? 例如,用户尝试进入页面。入口检查有效令牌,并在必要时重定向到IP。如果用户成功登录,则入口控制器将令牌提供给应用程序。
浏览 24提问于2020-01-03得票数 5
1回答
我在Keycloak上有两种自定义身份验证方法。
是其中之一,是自定义实现的用户联合。我为X领域配置了它。系统使用此实现使用用户名/密码方法登录。此实现调用我的联邦服务,并验证发送的用户。成功地工作并对联邦用户进行身份验证.
第二个 one是一个身份代理(openid )。我将一个定制的openid提供程序配置为Y领域。它成功地工作,并验证提供者的用户.
我将它们配置为相同的领域。当我尝试在自定义身份提供程序中使用登录时,身份验证流可以正常工作。在流程结束时,配置了用户联合(定制实现用户联合),其用户名来自身份代理(定制身份提供者)登录过程,并再次调用我的联合服务。
当我尝试使用身份提供程序登
浏览 1提问于2018-03-30得票数 2
我有一个托管在Kubernetes中的Keycloak服务器。当我请求外部身份提供商(如Google/Facebook)时,会自动在重定向url中使用主机名。如何更改身份提供程序的重定向URL?
从Keycloak自动生成的redirect_url:http://keyclaok:8080/auth/realms/{MY_REALM}/borker/google/endpoint
我所期望的:http://www.example.com/my-custom-callback/endpoint,这个url将重定向到原始的keyclaok端点。
浏览 30提问于2020-02-10得票数 1
回答已采纳
1回答
在审查/改进我们所拥有的安全体系结构方面需要一些帮助。
这是一种我们所拥有的建筑
用户登录流是由AD支持的KeyCloak。当用户登录到附加应用程序时,我们通过AD对他进行身份验证,并在Keycloak中同步用户。但是,要让任何用户在平台上登录,用户必须先登录。
我们的键盘斗篷实际上也被其他实体使用,即使用户还没有完成上机过程,用户仍然需要在系统中存在。
Azure提供了什么功能,可以让我们在开始上机时将所有的用户同步到键盘斗篷上吗?有任何API或导出/导入功能可以帮助我们吗?
在这种情况下,我们是否可以遵循其他的方法/模式?
在这方面的任何帮助都是非常感谢的。
更新--这是我们正在
浏览 0提问于2020-06-11得票数 1
回答已采纳
我正在使用IdentityServer3来处理am网站中的用户身份验证。
登录屏幕托管在应用程序本身的视图中(不使用Identity Server隐式流)。我还提供了一个“使用Google登录”选项,用户通过单击登录屏幕上的按钮来选择该选项。
任何具有授权的页面都应该将未经身份验证的用户重定向到登录屏幕:
public void Configuration(IAppBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
Aut
浏览 1提问于2016-08-22得票数 1
回答已采纳
我安装了Keycloak,并在Windows2016Server上通过Ansible创建了一个Admin用户,到目前为止还不错。现在,我想通过Ansible安装Admin,以便通过Ansible配置Keycloak。当我在windows机器的命令行本地运行下面的3个命令时,所有命令都能正常工作: 1.安装API:从bin文件夹运行kcadm.bat
连接到api:\bin>kcadm config credentials --server http://localhost:8080/auth --realm master --user keycloak,然后我被要求进行身份验证:作为
浏览 1提问于2019-05-16得票数 0
1回答
我使用带有标准流(授权代码授予)的Keycloak来保护我的REST端点。在我的springboot项目中,我使用了keycloak启动器依赖项。
我在application.properties文件中有必要的配置。
keycloak.auth-server-url=https://...../auth
keycloak.realm=...
keycloak.resource=client1
keycloak.credentials.secret=...
keycloak.public-client=true
安装工作正常。每当访问任何REST端点时,用户都被重定向到keycloak登录页面。
浏览 2提问于2020-02-18得票数 1
在下面的关系图中,我有两个选项用于身份验证到受保护的资源。这两个选项都使用身份和访问管理 (IDM)工具(在本例中是keycloak)来存储凭据,并在正确验证后作为JWT呈现。这两种方法之间唯一真正的区别是IDM (keycloak)位于何处,从而暴露在何处。在选项1中,IDM是私有的,不向internet公开(但只暴露于执行身份验证的应用程序),而在选项2中,IDM公开,以至于应用程序重定向到IDM以处理所有身份验证。
📷
从表面上看,保护如此关键的软件基础设施( IDM)似乎是非常合乎逻辑的,但是为什么Keycloak (尤其是广告/支持 )会像这样健壮的登录页面呢?
哪个选项是安全的首选
浏览 0提问于2021-04-19得票数 1
1回答
CORS问题与角和与密钥披风
、、、、
我已经构建了使用keycloak(jboss/keycloak:12.0.3)进行身份验证和授权的Spring (2.3.2.RELEASE)、角(V10)应用程序。
Spring应用程序已经使用KeycloakWebSecurityConfigurerAdapter,进行了配置,角前端使用“keycloak-角”:"^8.1.0",“keycloak”:"^12.0.2",
目前,我可以通过keycloak登录窗口成功地使用角前端登录到应用程序中。但是,在使用项目中的Spring进行POST或获取请求时,存在一个CORS错误。
令
浏览 3提问于2021-02-19得票数 0
我正在构建一个Teams应用程序,我想使用teams登录的用户在外部身份提供商(keycloak)中进行身份验证,使用Microsoft凭据...有可能吗? 目前,该应用程序会打开一个弹出窗口,其中包含keycloak用户名/密码表单和社交登录按钮(其中一个是Microsoft)。但是keycloak似乎没有使用团队登录的用户,我必须手动插入Microsoft凭据。 有什么想法吗? 谢谢
浏览 39提问于2020-07-01得票数 0
我使用一个SpringBoot 2 (2.7.0)应用程序(包括SpringSecurity5.7.1)来保护REST端点的安全,并使用Keycloak进行身份验证和授权。一切都很好,但唯一困扰我的是,当我不设置承载令牌时,就会得到HTTP 400响应。响应本身是正确的,但是响应的主体包含HTML (Keycloak登录页面)。
是否有办法避免响应的主体包含登录页面?我想设置一个自定义响应体。
浏览 4提问于2022-07-21得票数 0
回答已采纳
1回答
我有一个rails应用程序,其中keycloak api用于后端的身份验证。但现在我想将单点登录与keycloak集成在一起。当用户导航到登录页面时,他们将被重定向到Keycloak登录页面。Keycloak将处理所有登录选项。一旦用户成功通过身份验证,他们将被重定向至仪表板。
在这方面的任何帮助都将受到感谢。
浏览 0提问于2015-09-15得票数 4
1回答
我正在做一个使用Keycloak平台的新项目。我希望找到在“身份验证”选项卡中添加自定义密码策略的方法。我想要添加一本字典,其中包含的黑名单词不能包含在用户的密码中。
例如,在黑名单字典中,“that”一词应该阻止所有在“123 that@123”行中包含“that”的密码,等
另外,我还有密码策略的多个要求,可以使用Keycloak在密码策略下拉菜单中提供的选项来完成。我在一些论坛上发现,我必须创建自己的身份验证SPI,但我可以找到任何文档,说明步骤一步一步地(从头开始)如何实现这一点。
浏览 0提问于2019-04-17得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
