如果我們有兩個身份服務器,將使用什麼權限和角色進行授權和身份驗證?如果我們有兩個身份認證服務器,SSO(認證)和授權如何工作?
例如: 它有自己的用戶,用戶角色,用戶組和權限等ABC產品使用Keycloak身份服務器..
現在,另一家公司想使用相同的產品,這家公司擁有它自己的標識服務器。現在,我們必須將此ID服務器配置到產品ID服務器。
我不熟悉keycloak,所以我只寫一般的東西。
SSO如何在這裏工作?
我認爲這兩臺服務器都可以作爲Identity Server使用。例如,需要將元數據上傳到服務提供商(您想要登錄的應用程序)以使用SAML。您可以讓用戶通過上傳元數據登錄某些SaaS應用程序,然後在Idp服務器和服務提供商服務器之間創建聯合。
產品將使用自己的角色和權限 或它將使用新配置的ID Server用戶角色和權限?
我想第一個是正確的。
用戶將如何維護?在這兩個身份服務器將有 相同的用戶?
如果兩個身份服務器都使用LDAP或AD,則應同步這兩個用戶。或者,最好將它們合併成一個新的組織。
EDIT
此鏈接指示如何到AD服務器同步到另一個。
如果可能的話,keycloak服務器應該被配置爲信任其他身份服務器作爲外部身份提供者。登錄keycloak的用戶可以選擇通過身份服務器登錄。這與通過Google登錄到SO時完全相同。
你想用於SSO的協議是什麼?例如)OpenID Connect,OAuth 2.0和SAML 2.0 – hiropon
我們使用OpenID Connect和OAuth 2.0進行授權。 – Nick