问题标签 [oidc-identity-brokering]

我正在尝试将 Keycloak 配置为 OIDC 提供者和另一个应用程序之间的身份代理。当 ID 令牌未加密时，我能够成功实现用户登录。

我正在尝试将 Keycloak 配置为能够接受加密的 ID 令牌。但是在“身份提供者”中的 Keycloak 中设置 OIDC 身份提供者时，没有选项可以明确指示 ID 令牌将被加密，也没有任何选项可以指示用于解密的密钥。

我尝试将自生成的 RSA 密钥添加到“领域设置 > 密钥”，并在 OIDC Provider 端进行配置以使用公钥进行加密。在加密 ID Token 的 JWE 表示中，JOSE 标头在“alg”中包含“RSA-OAEP-256”，在“enc”中包含“A256CBC-HS512”。但是，现在启用加密后，当我尝试从 OIDC Provider 登录时，RHSSO 现在会引发以下异常：

错误 [org.keycloak.broker.oidc.AbstractOAuth2IdentityProvider] （默认任务 94）无法使身份提供者 oauth 回调：org.keycloak.broker.provider.IdentityBrokerException：无效令牌

我已经单独测试以确认已正确生成加密的 ID 令牌。我一直在使用的 OIDC 提供商是这样的：https ://github.com/panva/node-oidc-provider

有什么我可能配置错误的吗？

编辑：更新以指示我尝试过的操作

我正在尝试使用 Keycloak 进行身份代理。来自身份提供者的声明非常明确。现在我想将其中一个声明的值映射到 Keycloak 中的角色组。有没有办法做到这一点？

谢谢

我正在处理的新 Keycloak 安装存在问题。

我有一个基于 PHP 的应用程序，它通过 Keycloak 对用户进行身份验证。只要我使用本地用户（存储在 Keycloak-realm 中的用户），它就可以正常工作。

我希望用户能够通过外部 IdP 进行身份验证。为此，我通过 Keycloak Admin 界面添加了此 OIDC-IdP。

用户第一次登录时一切正常。如果用户注销并重新尝试登录，Keycloak 会显示错误页面：“我们很抱歉......用户名或密码无效。”

此时的日志记录显示以下内容：

我正在为我的“首次登录流程”使用本页所述的简单登录流程。默认情况下，我的“登录后流程”为空。如果我使用默认的“第一个经纪人登录”，我会看到一个屏幕显示“帐户已存在”、“你想如何继续？”的消息。我不想要这个屏幕，我希望用户能够像他/她第一次登录时那样继续使用该应用程序。

由于用户第一次登录时一切正常，我认为这与用户已经存在于 Keycloak 中的事实有关。如果我查看用户，我可以看到它已成功链接到身份提供者，所以我不知道为什么这会成为一个问题。

编辑：应@dreamcrash 的要求，IdP 配置的屏幕截图 注意：我必须在此图像中编辑我们的 URL 和客户端 ID

我在 keycloak 中配置了一个身份提供者。重定向到身份提供者后，如果我关闭浏览器或让它空闲直到超时（30 分钟），它不会触发任何超时事件或重定向最终响应。根据我的用例，如果没有 keyclaok 在指定时间内没有从重定向的身份提供者（通过关闭窗口或使其空闲）得到任何响应，那么它应该添加一个超时日志。我怎样才能实现这种情况？

我在 Wildfly 实例中部署了一只耳朵。它已经部署了可能的战争文件夹。是否可以用 Keycloak 固定整个耳朵？如果我想用钥匙斗篷保护耳朵里面的一些战争，这可能吗？