我们有一组云Web应用程序(假设有5个Java Web应用程序),它们通过KeyCloak将Okta用于SSO。 SAML用于使用Keycloak作为身份代理在Webapp和Okta之间进行身份验证。
现在,客户希望从Okta迁移到Azure AD。我已经完成了POC,将密钥斗篷连接到Azure AD,并使用SAML在Webapp和Azure AD之间进行身份验证。
但是这里的问题是,客户还希望在过渡期间的某个时间将某些用户保留在Okta。因此,他们需要在一段时间内同时将Okta和Azure AD都用于这些Web应用程序的SSO。
是否可以在Keycloak中为同一应用程序配置Okta以及Azure AD(基本上是2个不同的身份验证服务器/ Idps),并且动态地由keycloak决定应在何处进行身份验证?
总体而言,我知道为SSO提供2个不同的身份验证服务器不是一个很好的设计,但是客户在过渡期间需要它。
答案 0 :(得分:0)
是的。您可以在Keycloak中配置多个IdP,也可以将其中之一定义为默认值。
https://www.keycloak.org/docs/3.3/server_admin/topics/identity-broker/saml.html