如果我们有两个身份认证服务器,SSO(认证)和授权如何工作?
问题描述:
如果我们有两个身份服务器,将使用什么权限和角色进行授权和身份验证?如果我们有两个身份认证服务器,SSO(认证)和授权如何工作?
例如: 它有自己的用户,用户角色,用户组和权限等ABC产品使用Keycloak身份服务器..
现在,另一家公司想使用相同的产品,这家公司拥有它自己的标识服务器。现在,我们必须将此ID服务器配置到产品ID服务器。
- SSO如何在这里工作?
- 产品将使用自己的角色和权限,或使用新配置的ID Server用户角色和权限?
- 用户将如何维护?在这两个身份服务器将有相同的用户?
答
我不熟悉keycloak,所以我只写一般的东西。
SSO如何在这里工作?
我认为这两台服务器都可以作为Identity Server使用。例如,需要将元数据上传到服务提供商(您想要登录的应用程序)以使用SAML。您可以让用户通过上传元数据登录某些SaaS应用程序,然后在Idp服务器和服务提供商服务器之间创建联合。
产品将使用自己的角色和权限 或它将使用新配置的ID Server用户角色和权限?
我想第一个是正确的。
用户将如何维护?在这两个身份服务器将有 相同的用户?
如果两个身份服务器都使用LDAP或AD,则应同步这两个用户。或者,最好将它们合并成一个新的组织。
EDIT
此链接指示如何到AD服务器同步到另一个。
答
如果可能的话,keycloak服务器应该被配置为信任其他身份服务器作为外部身份提供者。登录keycloak的用户可以选择通过身份服务器登录。这与通过Google登录到SO时完全相同。
你想用于SSO的协议是什么?例如)OpenID Connect,OAuth 2.0和SAML 2.0 – hiropon
我们使用OpenID Connect和OAuth 2.0进行授权。 – Nick