タグ付けされた質問 「keycloak」

9
KeycloakのOAuth2 / OpenID Connectエンドポイントとは何ですか?
KeycloakをSSOソリューションとして評価しようとしています。多くの点で見栄えがしますが、ドキュメントの基本が非常に不足しています。 http://localhost:8080/レルムtestにインストールされている特定のKeycloakの場合、OAuth2認証エンドポイント、OAuth2トークンエンドポイント、OpenID Connect UserInfoエンドポイントとは何ですか? Keycloak独自のクライアントライブラリの使用には関心がありません。keycloakサーバーを使用するクライアントアプリケーションはさまざまな言語(PHP、Ruby、Node、Java、C#)で記述されるため、標準のOAuth2 / OpenIDConnectクライアントライブラリを使用します。 、Angular)。したがって、Keycloakクライアントを使用する例は役に立ちません。
99 keycloak 
2
keycloakのリソース、スコープ、権限、およびポリシー
Keycloakの認証システムを使用して、かなり単純なロールベースのアクセス制御システムを作成したいと思います。Keycloakが置き換えるシステムでは、1つ以上の「グループ」のメンバーである「ユーザー」を作成できます。このレガシーシステムでは、ユーザーには、グループメンバーシップ(グループにアクセス許可が割り当てられる)またはユーザーへのアクセス許可の直接付与のいずれかを通じて、約250の「機能」のそれぞれにアクセスするための「アクセス許可」が与えられます。 レガシーシステムをkeycloak認証にマッピングしたいと思います。 既存のシステムの各「機能」をキークロークリソースとキークロークスコープのセットにマッピングするのは簡単なはずです。たとえば、「viewAccount」機能は明らかに「account」リソースと「view」スコープにマップされます。「viewTransaction」は「transaction」リソースにマップされます...しかし、「view」スコープを1つだけ作成し、それを複数のリソース(アカウント、トランザクションなど)で使用するのがベストプラクティスですか?または、「viewAccount」スコープ、「viewTransaction」スコープなどを作成する必要がありますか? 同様に、私は許可について少し混乱しています。リソースとスコープの実際的な組み合わせごとに、権限を作成するのが通常の方法ですか?特定のリソース/スコープに一致する複数のアクセス許可がある場合、Keycloakは何をしますか?Keycloakの目的は、リソースとスコープに対する権限のマトリックスを構成できるようにすることだと思います。たとえば、「アカウント」にアクセスする権限と「表示」スコープの権限を持つことができるので、権限があります。アカウントを表示するには? このすべての結果として、私の古い「viewAccount」機能が、「View」スコープと「viewAccount」権限を持つ「Account」リソースを作成することになり、元の場所に戻るように見えるので、私は尋ねます。それが正しければ、どちらでも構いません。 最後に、viewAccountを適用するかどうかを決定する一連のポリシーが明らかに必要です。しかし、これは、ユーザーが属することができるレガシーグループごとにポリシーが必要であることを意味するのは正しいですか?たとえば、「ヘルプデスク」ロールがある場合は、「ヘルプデスクメンバーシップ」ポリシーが必要です。これを「viewAccount」権限に追加できます。これは正しいです? ありがとう、 マーク
17
keycloak無効なパラメーター:redirect_uri
apiからヒットしてkeycloakからユーザーを認証しようとしていますが、エラーが発生します無効なパラメーター:keycloakページのredirect_uri。私はマスターとは別に自分の領域を作成しました。keycloakはhttpで実行されています。私を助けてください。
87 keycloak 
3
キークロークベアラーのみのクライアント:なぜ存在するのですか?
私はbearer-onlyKeycloak のクライアントの概念に頭を抱えようとしています。 私は、公開vs機密の概念と、サービスアカウントなどの概念を理解していますgrant_type=client_credentials。しかし、bearer-onlyと私は行き詰まっています。 グーグルすると、次のような議論の断片が明らかになります。 bearer-onlyクライアントでkeycloakからトークンを取得することはできません。 ドキュメントも不明確です。彼らが言うすべては: ベアラーのみのアクセスタイプは、アプリケーションがベアラートークンリクエストのみを許可することを意味します。 アプリでベアラトークンリクエストのみを許可している場合、クライアントID /クライアントシークレットを使用してKeycloakから取得できない場合、このトークンを取得するにはどうすればよいですか? トークンを取得できない場合、何ができますか?なぜこれらのクライアントが存在するのですか?誰かがこのタイプのクライアントの使用例を提供できますか?
10 keycloak 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.