Questions tagged «keycloak»

我们正在尝试将Keycloak评估为SSO解决方案，它在许多方面看起来都不错，但是很痛苦地缺少基础文档。 对于在http://localhost:8080/领域上安装的给定Keycloak test，OAuth2授权端点，OAuth2令牌端点和OpenID Connect UserInfo端点是什么？ 我们对使用Keycloak自己的客户端库不感兴趣，我们想使用标准的OAuth2 / OpenID Connect客户端库，因为使用keycloak服务器的客户端应用程序将以多种语言编写（PHP，Ruby，Node，Java，C＃ ，角度）。因此，使用Keycloak客户端的示例对我们没有用。

99 keycloak 

当我尝试从我的api击中来自keycloak的用户身份，但是它给我错误信息：Invalid parameter：keycloak页面上的redirect_uri。除了主人，我已经建立了自己的境界。keycloak在http上运行。请帮我。

82 keycloak 

我想使用Keycloak的授权系统创建一个相当简单的基于角色的访问控制系统。Keycloak正在替换的系统允许我们创建一个“用户”，该用户是一个或多个“组”的成员。在这种传统系统中，通过组成员身份（向组分配了权限）或直接向用户授予权限，授予用户“权限”以访问约250个“功能”中的每一个。 我想将旧系统映射到密钥斗篷授权。 对我来说，将现有系统中的每个“功能”映射到一个密钥库资源和一组密钥库作用域应该很简单。例如，“ viewAccount”功能显然会映射到“ account”资源和“ view”范围；和“ viewTransaction”映射到“事务”资源...但是，最佳实践是仅创建一个“视图”作用域，并在多种资源（帐户，交易等）中使用它吗？还是应该创建“ viewAccount”范围，“ viewTransaction”范围等？ 同样，我对权限有些困惑。对于资源和范围的每种实用组合，是否通常创建许可？如果有多个权限匹配给定的资源/范围，Keycloak会做什么？我猜想Keycloak的目的是允许我针对资源和范围配置权限矩阵，例如，我可以拥有访问“帐户”的权限和“查看”范围的权限，因此我将拥有权限查看帐户？ 我之所以这样问，是因为所有这些的结果似乎是我原来的“ viewAccount”功能最终创建了一个“ Account”资源，“ View”范围和一个“ viewAccount”权限，这似乎使我回到了原来的状态。如果正确，那很好。 最后，显然，我需要一套确定是否应应用viewAccount的策略。但是我是否对，这意味着我需要一个用户可能属于的每个旧组的策略吗？例如，如果我具有“服务台”角色，则需要一个“服务台成员身份”策略，然后可以将其添加到“ viewAccount”权限中。它是否正确？ 谢谢， 标记

81 permissions  keycloak 

我试图围绕bearer-onlyKeycloak 的客户概念进行思考。 我了解公开与保密的概念以及服务帐户和相关grant_type=client_credentials内容的概念。但是，使用bearer-only，我被卡住了。 谷歌搜索仅显示讨论的片段，其中说： 您无法通过bearer-only客户端从keycloak获取令牌。 该文档也不清楚。他们只说： 仅承载访问类型意味着应用程序仅允许承载令牌请求。 好的，如果我的应用仅允许承载令牌请求，如果我无法使用客户端ID /客户端机密从Keycloak获取令牌，该如何获取？ 而且，如果您无法获得令牌，您还能做什么？为什么这些客户存在？有人可以提供使用此类客户端的示例吗？

10 keycloak