我想将SSO从我的应用程序启动到Cloud 元素页面。要执行SSO,我正在使用Keycoak。当用户登录到我的应用程序并想转到CloudElements页面时,该用户将重定向到keycloak登录页面。但我想避免keycloak登录页面。
我点击了“ Avoid keycloak default login page and use project login page”链接,并从密钥斗篷获得了如下响应。
现在我的问题是... 用户现在得到授权了吗? 因为仍然将用户重定向到keycloak登录页面。请帮助...
答案 0 :(得分:0)
要登录密钥斗篷,用户必须通过“登录页面”(请参阅OIDC规范)。仅当相应用户在密钥斗篷内建立SSO用户会话时,密钥斗篷才能发出令牌对响应。将JWT令牌中的session_state
字段视为Keycloak中SSO会话的标识符。因此,让我们总结一下:
但是!!! 还有一个直接授予流程,该流程允许目标应用程序在密钥库中对用户进行身份验证,而无需重定向到密钥库登录页面。在这种情况下,用户直接向应用程序提供所需的凭据,然后应用程序将此凭据交换给Keycloak中的令牌对(这也会在后台在Keycloak中建立SSO会话)。
如果您想使用direct_grant
流,则应该信任以应用程序为目标,并确信用户凭据不会泄漏。