我正在使用keycloak与远程oidc提供程序。当我从我的应用程序(与keycloak对话)注销时,我也从外部oidc提供程序注销。但是,当我尝试相反时,通过从外部oidc提供程序注销,我仍然登录到keycloak。
是否有一些我缺少的配置,以便身份提供商的注销也会从keycloak中注销?
是否有一些需要在远程IDP中注册的URL?我想它不会是常规的注销网址,因为这会启动一个注销过程,调用远程IDP,然后在无限循环中调用keycloak logout回来?
事实证明,远程IDP实现了OpenID Connect的front channel logout spec,它需要一个URL(在Keycloak中),当用户退出远程IDP时,用户被重定向到。 Keycloak提供的唯一URL是标准的注销URL,但这将启动远程IDP的注销,在我的情况下将无法正常工作。我已经向Keycloak添加了一个pull request来向注销URL添加一个查询参数,这将使它不能从远程IDP注销,这将从我所理解的不完全符合前端通道注销规范,但它将有希望在我的情况。拉取请求被接受但等待合并。
更新:
我的公关已合并,所以现在Keycloak使用frontchannel注销规范支持远程idps。现在,他们可以使用参数“initiating_idp”重定向到标准注销URL,并在keycloak中将idp的别名配置为值。见https://www.keycloak.org/docs/latest/securing_apps/index.html#logout