不久前,我们决定使用keycloak作为我们的SSO。一切都很清楚,一切正常(或易于解决)。 直到客户要求我们使用自己的SSO。好的,我说过,密钥斗篷可以轻松连接到任何身份提供者。
关于我们产品的小信息:一些nodejs后端,一些响应前端。前端是授权的发起者,而不是公共授权流,反之亦然,我们在前端对用户进行身份验证,获取令牌,将其移至ajax / ws的标头,在后端进行一些安全检查-就像在各处一样。
因此,当我们通过密钥斗篷连接到客户sso时,主要问题就开始了。我通过发送的openid配置文件导入设置,将身份提供程序与客户端连接并开始使用它。还有...
授权后总会有错误-
很抱歉...使用身份验证时发生意外错误 提供者
如我所见-在将我们重定向到密钥斗篷之前,一切都很好。
auth/realms/clientSSO/broker/oidc/endpoint?state=pTzSXHK4f-t35yAqPYCRwFjzqMQqATdA3PSCCIG0RRU.nXloK00trTc.test-client&session_state=1e5f8f3f-ae6j-4c26-b465-14879z944044&code=2e041213-f6a1-4e3d-876f-9cf6327e943f.4e5f8f3f-ae6b-4c26-b465-14879z944044.da518222-5891-4bd6-97d7-3b93afe32221
这个经纪人是什么意思?领域客户的默认值是我们的前端客户/经纪人,还是我们客户内部的东西?在创建新领域之后,经纪人又为什么创建了?我的意思是,我可以更改一些不兼容的设置,是吗?
我尝试更改客户端内部的其他设置,现在第3天阅读文档,但仍然无法使用此SSO,而不会出现错误。 一些奇怪的部分是与gitlab身份提供程序都可以正常工作,据我所知,它与客户端设置无关。我要说的更多-使用任何默认适配器都可以完美工作(Microsoft,Bitbucket等)。必须流:客户端身份验证-重定向到我们的kc-重定向到idp-授权-重定向到客户端的状态-令牌-在我们的密钥斗篷中为客户端打开的会话。我暂时陷入困境,第三天就像冰上的鱼。
我知道这种SSO可以100%起作用,也很少有人使用它。
有人遇到同样的问题吗?
没有提供我们度假时的日志:nuff_said:
PS对不起我的英语,我不是母语人士