我正在使用keycloak和远程oidc提供程序。当我从我的应用程序(与keycloak对话)注销时,我也从外部oidc提供程序注销。但是,当我尝试相反时,通过从外部oidc提供程序注销,我仍然登录到keycloak。
是否有一些我缺少的配置,以便身份提供商的注销也会从keycloak中退出?
是否有一些需要在远程IDP中注册的URL?我想它不会是常规的注销网址,因为这会启动一个注销过程,调用远程IDP,然后在无限循环中调用keycloak logout?
答案 0 :(得分:1)
事实证明,远程IDP已经实现了OpenID Connect的front channel logout spec,当用户注销远程IDP时,它需要将用户重定向到的URL(在Keycloak中)。 Keycloak提供的唯一URL是标准注销URL,但这将在远程IDP上启动注销,在我的情况下,它将不起作用。我在Keycloak中添加了一个pull request,以向注销URL添加查询参数,这将使其不会从远程IDP中注销,这据我所知并不完全符合前端通道注销规范,但是希望能在我的情况下工作。拉取请求已接受,但正在等待合并。
更新:
我的PR已合并,因此Keycloak现在使用前通道注销规范支持远程IDPS。现在,他们可以使用参数“ initiating_idp”重定向到标准注销URL,并在keycloak中将idp的别名配置为一个值。参见https://www.keycloak.org/docs/latest/securing_apps/index.html#logout