因此,即时通讯正在做研究,以了解在我正在使用的环境中实施keycloak是否是一种很好的选择。 我正在使用LDAP管理我的工作场所中的用户。我想知道是否有一种方法可以在所有即将来临的系统和某些现有系统中将keycloak用作身份验证服务。目前,我们正在使用需要改进或替换的IDP对其进行管理,还有一些系统使用其自己的登录名(这最终会改变)。 我遇到的主要问题是keycloak与ldap同步,并且我不希望将用户数据存储在keycloak上,也许只是它的登录数据。计划仅在需要更新任何用户数据的情况下将用户数据保留在ldap的数据库中。
那么有没有一种方法可以仅将keycloak用作身份验证服务,以便在每次身份验证请求时从ldap获取用户凭据?
pd:也许我误解了什么是身份验证服务和什么是IDP。
答案 0 :(得分:2)
实际上,没有必要将LDAP用户同步到Keycloak。 Keycloak支持这两种选择
或
但是keycloak总是会在其数据库中生成一些基本的联合用户(例如,在使用OpenID Connect时保持会话状态-但您不必在意)。
据我所知(但我自己还没有使用过),您还可以使用keycloak来维护LDAP用户数据并将更改写回到LDAP(请参阅Keycloak文档中的“编辑模式”)
查看有关LDAP内容的Keycloak文档以获取更多信息https://www.keycloak.org/docs/6.0/server_admin/#_ldap
除了“用户数据”主题之外,Keycloak还提供了许多不同的协议(例如SAML和OpenIDConnect)来为您的服务提供身份验证。因此,根据您的应用程序,您可以使用不同/多种身份验证协议,而仅使用一个“ LDAP-Backend”