Keycloak x509客户端身份验证配置

问题描述 投票:0回答:1

我需要一些技巧,以了解如何针对Keycloak使用x509证书执行客户端身份验证。

我们在Kubernetes集群中有一个简单的Spring Boot Web App(API REST)。该Web应用通过API网关(大使)公开暴露,并且当前受到浏览器重定向到Keycloak登录页面的保护,用户可以在其中输入用户名和密码。

但是这不是我们想要的。对我们而言,需要进行客户端身份验证(React Native Mobile App),其中:

  • 移动应用程序尝试调用我们的Server API REST端点
  • 大使检查是否有有效的访问令牌,如果没有,则返回403 http状态(无浏览器重定向)
  • 然后移动应用重定向到Keycloak以执行身份验证
  • Keycloak不显示用户名/密码登录页面,而是Mobile App通过其浏览器传递x509用户证书。

不幸的是,我不明白如何从用户数据(信息,角色等)生成有效且受信任的x509证书,以便从IdP获取访问令牌。

而且... IdP如何检查和验证此客户端证书?是否需要在Keycloak上某处安装Server证书副本?

将客户端证书传递给密钥斗篷的正确格式(例如CURL)是什么?是否还需要传递私钥,为什么?

authentication keycloak x509certificate ambassador
1个回答
0
投票

请检查《 Keycloak服务器管理指南》第6部分中的X.509 Client Certificate User Authentication部分,其中描述:

  • 如何在Wildfly和Keycloak中启用和配置客户端证书认证
  • 如何将证书字段映射到用户属性
  • 具有Keycloak / Wildfly(Keycloak容器)的客户端证书认证工作流。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.