我以登录到一个角度应用程序中使用keycloak作为身份的经纪人到simplesamlphp身份提供者。
该keycloak正确地重定向到与登录面具身份提供者。登录后,身份提供商重定向像预期的那样keycloak。不幸的是我得到了以下错误消息(如JSON):
{ “错误”: “INVALID_REQUEST”, “ERROR_DESCRIPTION”: “缺少参数:用户名”}
我的IdP有一个用户,我keycloak没有,因为我不想额外存储用户keycloak做。
我熟悉既不SAML也不Keycloak,所以如果我需要提供任何其他信息,请告诉我。
好吧,我设法解决这个问题。这是如何做:
显然,现在KC总是专卖店验证本地用户。没有为没有导入选项功能请求,但它已被推迟。在这里看到:KEYCLOAK-4429
所以,基本上,你只是让KC创建一个本地用户和经纪帐户自动链接到新创建的用户。要做到这一点,您可以创建与这两个步骤的认证流程如下所示:Auth Flow不过请注意,即在自动链接执行只适用,因为KC 3.5,所以(基于KC 3.4)JBOSS SSO 7.2可能会不支持这个。
然后,您在您的身份提供配置,在第一次登录流量使用这个流程。
接下来的时间,通过外部的IdP登录时,KC将创建一个新用户,并将其链接到外部的IdP中使用的一个。所创建的用户将被与你的客户使用。
两两件事: