环境:
- Debian 8
- mod_auth_openidc 2.3.9
- Keycloak 4.4.0.Final
- 阿帕奇 2.4.10
不确定这是 Keycloak 还是 mod_auth_openidc 问题,但让我们看看这会将我们带到哪里......
我正在尝试使用上述配置进行反向通道注销。我的理解是,如果我点击 mod_auth_openidc 注销 URL(http://host/redirect_url?logout=http://host/..),这将反过来调用 Keycloak SSO 注销 URL。然后这将回调所有支持反向通道注销的 RP,以便让他们有机会杀死自己的会话。
我已经确定确实调用了 Keycloak 注销 URL,但是我的应用程序(使用 mod_auth_openidc 保护)永远不会被回调。我可以在 Keycloak 日志中看到以下内容:
15:18:28,672 调试 [org.keycloak.services.managers.AuthenticationManager](默认任务 1)反向通道注销到:ultradev
15:18:28,675 调试 [org.keycloak.services.managers.ResourceAdminManager](默认任务 1)无法注销 {0}:没有记录的适配器会话
这向我表明 mod_auth_openidc 未注册为 Keycloak“适配器”。我也不确定 Keycloak 是否支持 OpenIDC 规范的反向通道注销,或者这是否有自己的专有机制。Keycloak 不会在其元数据端点中宣传对反向通道注销的支持。
无论如何,我的问题归结为:是否支持使用 mod_auth_openidc 针对 Keycloak 的反向通道注销?我发现关于此的 Keycloak 文档有些令人困惑,所以我完全有可能做错了什么。我是否需要编写 Keycloak 适配器才能完成这项工作?
只是想知道是否有任何其他 mod_auth_openidc 用户在这里有任何经验。
谢谢!