使用JWT的Keycloak SSO是否可能？

Question

我們有一個使用Keycloak進行身份驗證的Web應用程序。 並且我們需要添加JWT作為SSO可能性。

通過Keycloak，我們可以為主要擁有某種SAML設置的客戶輕松設置SSO。

但是，幾乎所有客戶都購買了新系統，該系統還聲稱可以提供sso。

但是我真的不明白，因為他們只是發送JWT（Json Web令牌）。

我看不到有什么辦法可以將它們設置為身份提供者。

因此，我想出了可能，如果我們在瀏覽器登錄流程中添加一些JWT，然后請求帳戶鏈接。

看起來在管理控制台中設置起來非常簡單，就像這樣

我想知道是否有可能這樣？

如果是的話，如何將我的自定義身份驗證器分配給新創建的“門戶JWT”流程。

我一直在閱讀一些keyclaok服務器開發文檔的位置

我還沒有嘗試編寫任何代碼，因為我不確定我的想法是否可能。

並且文檔還提到要部署此假定的自定義身份驗證器，我只需將其放置在providers目錄中即可。 似乎不再存在。

我意識到這個問題不包含任何代碼，因此我在這里提出問題可能是錯誤的，但是對我來說，這似乎是我所知道的最適合的堆棧交換。

Stil隨時糾正我。

Answer 1

我對您的流程並不十分清楚，但是當涉及到“ Keycloak是否支持SSO”時，答案肯定是肯定的。

您可以通過以下兩種方式使用Keycloak：

1. 作為身份提供者。 Keycloak為您的組織維護身份和訪問信息，並將其提供給受信任的第三方。 這使您的用戶可以使用您的憑據訪問該第三方的系統。
2. 作為身份經紀人。 Keycloak添加了1個或多個第三方身份提供者作為身份的可信來源。 這使來自受信任的第三方組織的用戶可以使用其第三方證書來訪問您的系統。

為此，Keycloak支持SAML和OIDC。 SAML是基於XML的。 OIDC可能就是您所指的。 OIDC使用簽名的JWT令牌（訪問令牌和ID令牌）來傳達身份信息。

如果有人說“發送JWT令牌”，那么他們可能在談論Keycloak-as-Identity-Broker用例。 為了將第三方身份提供者集成到您的Keycloak身份代理中，您不僅需要他們的JWT令牌。 通常，您至少需要四件事：他們的身份驗證端點，他們的令牌端點以及它們提供給您的client_id和client_secret。 這使您的Keycloak可以信任他們的第三方IdP，而這正是Keycloak能夠識別，驗證和使用由他們發行的JWT令牌的原因。