SPA webapp SSO 联盟

Question

我有一个使用OpenIDConnect的Spa Web应用程序，可以使用本地KeyCloak进行身份验证和授权。 该应用程序现在使用AD，Kerberos门票和Central SSO转移到Windows Onprem基础架构。 用户在其Windows会话中登录，然后我们将能够在我们的水疗Web应用程序中透明地登录。 （即没有输入凭据） 如何将Kerberos票/身份验证转换为OpenIDConnect世界？魔术在哪里？ 我们可以在应用程序中添加一些kerberos吗？ 我们如何检索包含用户角色的访问令牌？

谢谢

Answer 1

您的 SPA 应继续使用 OIDC 与 Keycloak 通信，并且 SPA 中的任何代码都不需要更改。您的 API 还将继续接收相同的访问令牌。

您只需要配置 Keycloak 以使用 AD 作为 LDAP 数据源进行身份验证。这是文章如何做到这一点。这是一项基础设施工作，而不仅仅是编码工作，因此我建议与 AD 管理员在环境设置方面进行协作。

AD 只是一种可能的身份验证方法，通过这种方式，您可以保持选择余地。您可能需要执行帐户链接，例如在迁移之前和之后识别相同的用户。这里可能涉及一些数据设置，例如确保AD具有与现有系统相同的电子邮件。