我们正在对Keycloak进行一些测试,以便在我们公司实施,我想知道什么是使Keycloak与我们的传统系统交互的最佳方法。
在我们的方案中,我们有一个本地登录界面,我们将使用 direct grant - 我们不打算授权代码流重定向流使用浏览器和我们的。不要 有任何形式的社交登录。
另一点是:我们必须保留我们的原生接口。
基于此,实现这个流程的正确方法是什么?我已经将我的客户端设置在Keycloak上,并直接授权,但问题是每个用户必须存在于Keycloak中。是不是可以用Keycloak作为 "token emissor "来代替IDP?
如果Keycloak必须是IDP,那么怎样才能让Keycloak登录到旧系统中?我是否应该实现一个自定义身份提供者?手机是向Keycloak还是向传统系统发出登录请求?
Keycloak必须能够以某种方式认证用户或将用户的认证委托给联合身份提供商。有几个选择。
如果你想使用Keycloak作为一个身份提供者,你可以通过将你的用户群迁移到Keycloak,或者通过使用用户存储联盟来实现,这意味着Keycloak将使用你现有的用户数据库作为源。在这种情况下,登录界面将是Keycloak的界面(您可以根据自己的意愿定制)。请看https:/www.keycloak.orgdocslatestserver_admin#_user-storage-federation
另一种选择是将您的遗留系统转换为符合OIDC或SAML协议的身份供应商,并将其设置为Keycloak的身份供应商。在这种情况下,您可以保留现有的登录界面,但可能需要对您的遗留系统进行一些改动。请看https:/www.keycloak.orgdocslatestserver_admin#_identity_broker