如果我们有两个身份服务器,将使用哪些权限和角色进行授权和身份验证?
实施例: ABC产品正在使用Keycloak Identity服务器,该服务器拥有自己的用户,用户角色,用户组和权限等。
现在,另一家公司想要使用相同的产品,该公司拥有自己的身份服务器。现在,我们必须将此ID Server配置为产品ID服务器。
答案 0 :(得分:0)
我不熟悉keycloak,所以我只写一般的东西。
SSO如何在这里运作?
我认为两台服务器都可以作为身份服务器使用。例如,有必要将元数据上载到服务提供者(您要登录的应用程序)以使用SAML。您可以让用户通过上载元数据登录某些SaaS应用程序,然后在Idp服务器和服务提供商服务器之间创建联合。
产品将使用自己的角色和权限 或者它将使用新配置的ID Server用户角色和权限?
我猜第一个是正确的。
如何维护用户?在两个身份服务器都会有 相同的用户?
如果两个身份服务器都使用LDAP或AD,则应同步这两个用户。或者,最好将它们合并到一个新的组织中。
修改
此链接指示如何将AD服务器同步到另一个服务器。
答案 1 :(得分:0)
如果可能的话,应将keycloak服务器配置为信任其他身份服务器作为外部身份提供者。登录到keycloak的用户可以选择通过身份服务器登录。这与通过Google登录SO时完全相同。