我无法控制提供SAML断言的AD身份验证服务器。 AD服务器的时间通常会缩短几秒钟。
从Keycloak的日志中:
16:08:33,713 DEBUG [org.keycloak.saml.validators.ConditionsValidator] (default task-5) Evaluating Conditions of Assertion _1468eee4-406b-4fd8-8743-b60c5df535b6. notBefore=2019-07-02T20:08:37.322Z, notOnOrAfter=2019-07-02T21:08:37.322Z
请注意,AD notBefore时间是Keycloak的日志时间之后的4秒。
是否有Keycloak设置可以提供可接受的时间漂移?
答案 0 :(得分:3)
Keycloak为adding a feature,以允许时钟偏斜(大约there)。从您的问题陈述中还不清楚,这种Keycloak更改是否可以完全解决您的情况,但可以尝试一下。