因此,我正在研究以了解它是否是在我正在工作的环境中实施 keycloak 的好选择。我使用 LDAP 来管理我工作场所的用户。我想知道是否有办法在所有即将推出的系统和一些现有系统中使用 keycloak 作为身份验证服务。我们目前正在使用需要改进或替换的 IDP 来管理它,还有一些系统使用自己的登录名(这最终会改变)。我遇到的主要问题是 keycloak 与 ldap 同步,我不希望用户数据存储在 keycloak 上,也许如果它只有登录数据。用户数据计划仅保留在 ldap 的数据库中,以防需要更新任何用户数据。
那么有没有办法仅将 keycloak 用作身份验证服务,在每个身份验证请求上从 ldap 获取用户凭据?
pd:也许我对什么是身份验证服务和什么是 IDP 的含义有误。
实际上没有必要将 LDAP 用户同步到 Keycloak。Keycloak 支持这两个选项
或者
但是 keycloak 总是会在它的数据库中生成一些基本的联合用户(例如,在使用 OpenID Connect 时保持会话 - 但你不应该真正关心这一点)。
据我所知(但我自己没有使用过),您还可以使用 keycloak 来维护 LDAP 用户数据并将更改写回 LDAP(请参阅 Keycloak 文档中的“编辑模式”)
检查有关 LDAP 内容的 Keycloak 文档以获取更多信息https://www.keycloak.org/docs/6.0/server_admin/#_ldap
除了用户数据主题之外,Keycloak 还提供了许多不同的协议(如 SAML 和 OpenIDConnect)来为您的服务提供身份验证。因此,您可以使用不同/多种身份验证协议,具体取决于您的应用程序,只需一个“LDAP 后端”