Keycloak AD FS 交互

Keycloak AD FS Interaction

我在 Keycloak 中创建了一个 SAML 身份提供者。如 FederationMetadata.xml 中所述，单点登录 url 是 https://[URL]/adfs/ls。

如果我现在使用 Keycloak-User-Login，我会看到一个 link，在那里我将被重定向到单点登录页面，但在那之后我得到一个错误，因为我没有指定任何查询参数，如 wa=signin1.0 或 whr=https:\foo\adfs\services\trust 或 wtrealm=https:\sso.foo.bar

如果我将此参数正确地包含在签名 url 中，我可以登录，但 keycloak 无法识别发生了什么。

在我看来，配置为单点登录 url 的 URL 什么都不做，我在 Keycloak 中配置的身份提供者也没有用。

任何人都可以帮助我提供一些指导，以增加我对 AD FS 和 keycloak 之间的交互以及它们如何协同工作的理解吗？

我最近参与了一个项目，我们设置了 KeyCloak 作为 ADFS IdP 的 SP。

我们只有在设置了以下设置后才能正确处理 SAML 请求：

IdP URL：${IDP_URL}/adfs/ls/

名称 ID 策略格式：persistent

WantAuthnRequestsSigned：true

WantAssertionsSigned：true

签名算法：RSA_SHA256

SAMLSignatureKeyName：CERT_SUBJECT

除了在 KeyCloak（作为 SP）中更新 NameID 策略外，我们还必须在 IdP 端进行自定义设置，以确保 NameID 以 persistent.

格式发回

Keycloak AD FS 交互

Keycloak AD FS Interaction

adfs

active-directory

saml

keycloak