Keycloak：如何為登錄的Windows用戶自動進行身份驗證？

Question

我正在嘗試創建一個使用Keycloak進行身份驗證的C＃應用程序 。 目前，我可以通過發送以下REST請求以使用OpenID Connect的用戶身份登錄：

POST
http://{server}:{port}/auth/realms/{myRealm}/protocol/openid-connect/token

Body (x-www-form-urlencoded):
    client_id    {myClient}
    username     FooBar
    password     {userPassword}
    grant_type   password

發送此請求會導致獲取訪問令牌和刷新令牌 。

現在，我希望能夠以某種方式使用“當前活動的Windows會話”登錄（獲取令牌或以其他方式驗證用戶），我指的是當前登錄到Windows的用戶（存在於Active Directory LDAP中 ）應該無需提供任何憑據即可進行身份驗證

我的Keycloak領域中的用戶聯合已經包含AD LDAP服務器的配置，因此所有用戶現在也可以在Keycloak中使用。

我瀏覽了Keycloak文檔（特別是有關LDAP和Active Directory和Kerberos的部分 ），但並不完全了解為了使其工作需要完成的工作。

我也在這里搜索SO，但我發現的唯一相關的事情是其他一些用戶提到這應該是可能的 。

有人能指出我正確的方向嗎？

Answer 1

在keycloak術語中，您要求SPNEGO身份驗證請參閱https://www.keycloak.org/docs/latest/server_admin/index.html#_kerberos

在領域驗證選項卡中，您需要啟用Kerberos您的瀏覽器需要啟用SPNEGO。 不同瀏覽器的做法不同。 您為SPNEGO啟用了特定URL