密钥泄漏:身份代理时不要创建本地用户

时间:2019-06-07 10:23:00

标签: java keycloak

我正在使用keycloak作为SAML身份提供商的身份代理,以便登录Web应用程序。

要使其正常工作,我创建了新的身份验证流程,该流程类似于:“如果唯一则创建用户”,“自动链接经纪帐户”。

Keycloak通过登录页面正确重定向到身份提供者。登录后,身份提供商将按预期重定向到keycloak,然后重定向到我的Web应用程序,但keycloak还会创建本地用户。

是否可以在不创建本地用户的情况下使用外部IDP?

本地用户的问题:我具有“自定义用户联盟”实现,该实现从我的应用程序中获取用户,如果本地用户创建了它,则无法使用“自定义用户联盟”登录到keycloak。 Keycloak只会尝试像本地用户一样登录。

1 个答案:

答案 0 :(得分:0)

很遗憾,当前无法跳过本地用户帐户的创建。根据Keycloak团队的说法,他们正在推迟支持,“因为我们正计划在存储层进行一些较大的工作,这将有可能实现这一功能”。 请参阅功能请求https://issues.jboss.org/browse/KEYCLOAK-4429