KeyCloak 管理 OpenID Connect 和 SAML 客户端

最新推荐文章于 2025-02-26 11:33:43 发布
最新推荐文章于 2025-02-26 11:33:43 发布
阅读量850 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45924250/article/details/132974968
版权

theme: cyanosis

参考

Server Administration Guide (keycloak.org)

管理 OpenID Connect 客户端

创建 OpenID 连接客户端

  1. 单击菜单中的客户端

  2. 单击创建客户端

  3. “客户端类型”设置为“OpenID 连接”。

  4. 输入客户端 ID。

    此 ID 是一个字母数字字符串,用于 OIDC 请求和 Keycloak 数据库中,以标识客户端。

  5. 为客户端提供名称

    如果计划本地化此名称,请设置替换字符串值。例如,字符串值,如 ${myapp}。有关详细信息,请参阅服务器开发人员指南

  6. 单击保存

image.png

基本配置

image.png

  • Client ID

    在 OIDC 请求和 Keycloak 数据库中用于标识客户端的字母数字 ID 字符串。

  • Name

    KeyCloak UI 屏幕中客户端的名称。本地化 名称,设置替换字符串值。例如,字符串值,如 ${myapp}。有关详细信息,请参阅服务器开发人员指南

  • Description

    客户端的说明。此设置也可以本地化。

  • Always Display in Console

    始终在账户控制台中列出此客户端,即使此用户没有活动会话也是如此。

Access Settings

image.png

  • Root URL

    如果 Keycloak 使用任何已配置的相对 URL,则会将此值附加到这些 URL 前面。

  • Home URL

    提供身份验证服务器需要重定向或链接回客户端时的默认 URL。

  • Valid Redirect URIs

    必填字段。输入网址模式,然后单击  +  添加,点击 - 移除现有网址,然后点击保存

    您可以在 URL 模式的末尾使用通配符。例如 http://host.com/*

    独占重定向 URL 模式通常更安全。有关详细信息,请参阅非特定重定向 URI

    浏览器在成功登录后可以重定向到的有效URI模式。

    允许使用简单的通配符,如“http://example.com/”。 也可以指定相对路径,例如/my/Relative/path/。相对路径是相对于客户端根URL的,或者如果未指定任何路径,则使用身份验证服务器根URL。

    对于SAML,如果您依赖于登录请求中嵌入的使用者服务URL,则必须设置有效的URI模式。

  • Web Origins

    输入网址模式,然后单击 + 以添加和单击 - 以移除现有网址。单击保存。

    此选项处理跨域资源共享 (CORS)。 如果浏览器 JavaScript 尝试向域不同于域的服务器发出 AJAX HTTP 请求 JavaScript代码来自,请求必须使用CORS。服务器必须处理 CORS 请求,否则浏览器将不会显示或允许处理请求。该协议可防止XSS,CSRF和其他基于JavaScript的攻击。

    此处列出的域 URL 嵌入在发送到客户端应用程序的访问令牌中。客户端应用程序使用此信息来决定是否允许对其调用 CORS 请求。只有 Keycloak 客户端适配器支持此功能。有关详细信息,请参阅保护应用程序和服务指南

    允许的CORS来源。若要允许有效重定向URI的所有来源,请添加“+”。不过,这不包括通配符“*”。若要允许所有来源,请显式添加 * 。

  • Admin URL

    客户端的回调终结点。服务器使用此 URL 进行回调,例如推送吊销策略、执行反向通道注销和其他管理操作。对于 Keycloak servlet 适配器,此 URL 可以是 servlet 应用程序的根 URL。 有关详细信息,请参阅保护应用程序和服务指南

    客户端管理界面的URL。如果客户端支持适配器REST API,请设置此项。此REST API允许身份验证服务器推送吊销策略和其他管理任务。通常,这被设置为客户端的基本URL。

  • Client authentication

image.png

OIDC 客户端的类型:

  • ON

    适用于执行浏览器登录并在发出访问令牌请求时需要客户端机密的服务器端客户端。此设置应用于服务器端应用程序

  • OFF

    适用于执行浏览器登录的客户端客户端。由于无法确保客户端能够保护机密的安全,因此通过配置正确的重定向 URI 来限制访问非常重要。

  • Authorization

    启用或禁用对此客户端的细化授权支持。

  • Standard Flow

    如果启用,此客户端可以使用 OIDC 授权代码流

  • Direct Access Grants

    如果启用,此客户端可以使用 OIDC 授权代码流

  • Implicit Flow

    如果启用,此客户端可以使用 OIDC 隐式流

  • Service account roles

    如果启用,此客户端可以向 Keycloak 进行身份验证并检索专用于此客户端的访问令牌。根据 OAuth2 规范,这将支持此客户端。Client Credentials Grant

  • Auth 2.0 Device Authorization Grant

    如果启用,此客户端可以使用 OIDC 设备授权授予

  • OIDC CIBA Grant

Login settings

image.png

  • Login theme

    用于登录、OTP、授权注册和忘记密码页面的主题。

  • Consent required

    如果启用,用户必须同意客户端访问。

    适用于执行浏览器登录的客户端客户端。由于无法确保客户端客户端可以保护机密的安全,因此通过配置正确的重定向 URI 来限制访问非常重要。

  • Display client on screen

    如果“**需要同意”处于“关闭”** 状态,则此开关适用。

    • Off

      同意屏幕将仅包含与配置的客户端范围对应的同意。

    • On

      同意屏幕上还将有一个关于此客户端本身的项目。

      • Client consent screen text

      • 如果启用了 Consent required 和“在*Display client on screen*”,则适用。包含将在同意屏幕上显示的有关此客户端权限的文本。

Logout settings

image.png

  • Front channel logout

    If Front Channel Logout is enabled, the application should be able to log out users through the front channel as per OpenID Connect Front-Channel Logout specification. If enabled, you should also provide the Front-Channel Logout URL.

  • Front-channel logout URL

    URL that will be used by Keycloak to send logout requests to clients through the front-channel.

  • Backchannel logout URL

    URL that will cause the client to log itself out when a logout request is sent to this realm (via endsessionendpoint). If omitted, no logout requests are sent to the client.

  • Backchannel logout session required

    Specifies whether a session ID Claim is included in the Logout Token when the Backchannel Logout URL is used.

  • Backchannel logout revoke offline sessions

    Specifies whether a revokeofflineaccess event is included in the Logout Token when the Backchannel Logout URL is used. Keycloak will revoke offline sessions when receiving a Logout Token with this event.

#

飞宇千虹
关注
Keycloak之17.0.1 版本Gerrit 整合-yellowcong
12-09 1360
通过keycloak 来实现gerrit的用户管理。主要有几个步骤,1.安装gerrit,2.安装gerrit oauth 插件,3.配置gerrit . 4.创建keycloak的配置,添加realm,client,user ,三个,5.重启gerrit 测试。17版本不一样的是,需要开启oauth,服务器增加前缀。
什么是Keycloak?怎么样使用Keycloak实现登录权限验证?
m0_63144319的博客
05-14 6421
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
通过Keycloak API理解OAuth2与OpenID Connect
锐意工作室
01-16 1万+
文章目录通过Keycloak API理解OAuth2与OpenID Connect前言OAuth2 介绍OAuth2核心概念OAuth2 核心数据JWTOAuth2 flowAuthorization Code Flow安装运行Keycloak配置Keycloak访问Keycloak新增Realm新增Client新增Role新增UserKeycloak配置列表测试调用Keycloak的APIKeycloak endpoints用Postman测试访问Keycloak endpoints获取Authoriz
【Web】单点登录(SingleSignOn,SSO) Keycloak OAuth 2.0 OpenID Connect JWT (JSON Web Token) SAML CAS
ihero的博客
11-29 2295
Keycloak 是一个身份访问管理开源解决方案,它支持多种身份验证授权协议,常用的包括 OpenID Connect (OIDC) OAuth 2.0 协议。
第4章_使用 OpenID Connect 对用户进行身份验证
最新发布
sdwxy的博客
02-26 1038
在本章中,您将更深入地了解 Keycloak 如何通过利用 OpenID Connect 标准对应用程序中的用户进行身份验证。通过使用为本书编写的示例应用程序,我们将看到应用程序 Keycloak 之间的第一手交互,包括请求响应的内容。
OpenID Connect(OIDC)认证--keycloak与springboot项目的整合
m0_63144319的博客
08-19 1808
在现代应用程序中,安全性是至关重要的。为了简化认证授权流程,许多开发人员选择使用 Keycloak 作为统一的身份访问管理解决方案。Spring Boot 是一个流行的 Java 框架,通过与 Keycloak 整合,可以轻松实现 OAuth2 **OpenID Connect (OIDC)**的身份认证授权功能。本篇博客将详细介绍如何在 Spring Boot 项目中集成 Keycloak,帮助你快速搭建一个安全的 Web 应用。Keycloak 是一个开源的身份访问管理工具,支持标准协议如
将Nuxeo与Keycloak整合并使用OpenID Connect进行身份验证
canduecho的专栏
07-21 227
将`your-client-id``your-client-secret`替换为Keycloak客户端的ID密钥。- 将`your-keycloak-authorization-endpoint`、`your-keycloak-token-endpoint``your-keycloak-userinfo-endpoint`替换为Keycloak的授权、令牌用户信息终端点的URL。- 将`your-nuxeo-redirect-uri`替换为Nuxeo应用程序的重定向URI。
Camunda8微服务流程引擎搭建实战 -- camunda-identity接入keycloak,使用mysql数据库以OpenID Connect的方式实现用户的权限管理
yuexiahunone的专栏
01-06 2031
keycloak是一款开源的功能丰富、易用且灵活的身份访问管理软件,为开发人员提供了快速集成身份认证、授权用户管理的解决方案。
使用KeycloakSpring Boot实现单页应用的OpenID Connect身份验证示例
在标题中,Keycloak作为身份提供者OpenID Connect服务器,用于处理用户的登录认证流程。 #### Spring Boot Spring Boot是基于Spring框架的一个项目,目的是简化新Spring应用的初始搭建以及开发过程。它使用了...
SCM Manager插件实现OpenID Connect身份验证
Keycloak是一个开源的身份访问管理解决方案,它支持多种身份协议,包括OpenID ConnectSAML。使用Keycloak的好处包括但不限于: - 简化了用户管理,支持用户注册登录管理。 - 提供了统一的登录界面,并支持多...
aws iam 使用keycloak集成实现saml认证登录aws控制台
热门推荐
zhaojiew的学习笔记
12-01 1万+
aws iam 使用keycloak集成saml实现认证
keycloak-saml-adapter-core-2.0.0.Final.zip
09-25
tranquility.zip,Tranquity CoreTranquity帮助您将实时事件流发送到Druid,并无缝、无停机地处理分区、复制、服务发现模式滚动更新。
Keycloak基于smal2.0实现sso登陆操作
leen的博客
12-08 1588
基于smal2.0使用keycloak实现单点登陆sso
13-SpringSecurity:OpenIDKeycloak
2501_90330419的博客
01-19 1004
至此,我们得到了一个应用:},
重磅推荐!开源身份认证神器:KeyCloak
程序猿DD
02-16 1245
安装&初始化下载http://www.keycloak.org/downloads.html笔者下载的是“Standalone server distribution” 。安装&启动安装Keycloak非常简单,步骤如下:解压下载下来的安装包将目录切换到KEYCLOAK_PATH/bin,其中KEYCLOAK_PATH是您Keycloak的根目录执行./standalone.sh...
(七)keycloak 使用客户端访问类型 bearer-only 保护我们的api接口
07-18 2502
keycloak 利用 bearer-only 类型 保护系统中的restful api
一款强大的开源认证访问控制利器:KeyCloak
z_ssyy的博客
06-26 1569
我们可参考这两套主题的代码,编写我们自己的主题。上文,我们创建的Client都是public 类型的,而现在,其实只有Zuul需要对外,其他服务都是经过Zuul或者Feign传递Token的。Keycloak利用policy的概念,以及如何通过提供聚合policy的概念来定义它们,您可以在其中构建“policy 中的 policy”,并仍然控制评估的行为。当然,也可以不创建Realm,直接用 Master 这个Realm,不过一般来说,为了资源的隔离,以及更好的安全性不太建议与管理员共用Realm。
在wildfly中使用SAML协议连接keycloak
dzqxwzoe的博客
02-24 308
我们知道SSO的两个常用的协议分别是SAMLOpenID Connect,我们在前一篇文章已经讲过了怎么在wildfly中使用OpenID Connect连接keycloak,今天我们会继续讲解怎么使用SAML协议连接keycloak
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值