标签: redhat-sso

我有一个特定的用例，我们想每天向所有用户询问Keycloak以及每个用户的组和角色。为了与其他内部系统和解。

当前，我们正在为此使用UsersResource中提供的Keycloak端点。但是我们看到，每次调用到某个点后，我们的性能都会降低，我们无法再使用此解决方案了。该领域中有超过3万名用户。

我们还看到Keycloak可以导出数据库，但是只能在系统启动时导出（我想是出于迁移目的）。鉴于我们要每天提取所有用户，因此我们无法使用它。

是否有一些已知的功能或解决方法？

测试配置为部署为 docker swarm 服务的集群的Keycloak 运行状况的最佳方法是什么？

我尝试了以下健康检查来测试 Keycloak 服务描述符中的可用性：

   healthcheck:
      test: ["CMD-SHELL", "curl http://localhost:8080/auth/realms/[realm_name]"]
      interval: 30s
      timeout: 10s
      retries: 10
      start_period: 1m

还有更多的事情需要检查吗？找不到这方面的文档。

我知道在 SAML 协议中，IDP 和 SP 他们持有自己的密钥对，并且不会向对方公开他们的私钥。

我假设下面的领域密钥是 IDP 密钥对，这是有道理的，因为私钥没有公开。

但是，当我在客户端设置中打开“需要客户端签名”时，会生成 SAML 密钥并公开私钥？这意味着 IDP 知道将在 SP 应用程序中使用的私钥。

这没有意义，一定是我搞错了什么。有人可以帮忙澄清一下吗？

我有一个将 Keycloak 用于 IdM 的 Web 应用程序。

我正在使用 资源所有者密码凭据或直接授予流程进行身份验证，它使用 REST API 调用/auth/realms/{realm}/protocol/openid-connect/token而不是浏览器重定向来为用户获取 JWT。

我想为用户注册实施类似的工作流程。

查看 Keycloak 文档，似乎 Keycloak Admin API 在/auth/admin/realms/{realm}/users公开了一个端点。

要允许客户端与 Keycloak Admin API 交互，您必须创建一个客户端服务帐户并将其与具有足够权限来管理领域用户的 keycloak 角色相关联。

对此的预期方法似乎是将管理用户领域特定角色应用于客户端服务帐户。这比我想授予客户端的权限多。

有没有办法给予客户服务帐户刚刚创建新用户的能力，而不是完整的权限集自带的管理用户？

我正在使用 Keycloak 通过 OIDC 为属于同一领域的一堆应用程序提供 SSO。所有这些应用程序都是使用授权代码流的机密客户端。它们使用 JSP 作为视图，所有必要的重定向都由Spring Boot 和 Spring Security Keycloak 适配器管理。