我们使用 Keycloak 12.02 进行此测试。
我们的想法是,我们有很多客户,我们都有自己的领域。我们希望能够为主领域中的管理员/支持用户模拟任何非主领域中的用户。
流程将是:
master领域这是我无法上班的最后一步。
登录主域
token=$(curl -s -d 'client_id=security-admin-console'
-d 'username=my-super-user' -d 'password=my-super-pass' \
-d 'grant_type=password' \
'https://login.example.net/auth/realms/master/protocol/openid-connect/token' | jq -r .access_token)
(我们现在拥有主领域中超级用户的访问令牌)
Keycloak 服务器已启用令牌交换 (-Dkeycloak.profile.feature.token_exchange=enabled),如此处所述https://www.keycloak.org/docs/latest/securing_apps/#_token-exchange。
尝试冒充另一个领域(不是主领域)的用户:
curl -s -X POST "https://login.example.net/auth/realms/some_realm/protocol/openid-connect/token" \
-H "Content-Type: application/x-www-form-urlencoded" \
--data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:token-exchange" \
-d 'client_id=some_client' \
-d "requested_subject=some_user" \
-d "subject_token=$token"
然而,这是行不通的。结果是:{"error":"invalid_token","error_description":"Invalid token"}
(在单个领域内执行此操作)
我在这里做错了什么?这似乎是在现实部署中使用的一个非常正常的功能,因此非常感谢任何帮助!
更新:首先,我在这里找到了完全相同的用例:https://lists.jboss.org/pipermail/keycloak-user/2019-March/017483.html
此外,我可以通过一些主要的困难来让它发挥作用。如上所述,可以使用领域broker中的客户端master作为身份提供者:
adminA->TokenATokenA获取新的外部令牌。TokenExtmaster …single-sign-on openid-connect keycloak keycloak-rest-api token-exchange