SPA webapp SSO 联合

SPA webapp SSO federation

我有一个 SPA 网络应用程序,它使用 openidconnect 通过本地密钥斗篷进行身份验证和授权。 此应用现在正在使用 AD、kerberos 票证和中央 SSO 迁移到 windows 本地基础设施。 用户登录他们的 windows 会话,然后我们将能够透明地登录我们的 SPA 网络应用程序。 (即不输入凭据) 如何将 kerberos ticket/authentication 转换为 Openidconnect 世界?神奇在哪里? 我们应该在我们的应用程序中添加一些 kerberos 吗? 我们如何检索包含用户角色的访问令牌?

谢谢

您的 SPA 应该继续使用 OIDC 与 Keycloak 对话,并且 SPA 中的任何代码都不需要更改。您的 API 也将继续接收相同的访问令牌。

您应该只需要将Keycloak 配置为使用AD 作为LDAP 数据源进行身份验证。这是关于如何做到这一点的 article。这是一项基础架构工作,而不仅仅是编码工作,因此我建议在环境设置方面与 AD 管理员协作。

AD 只是一种可能的身份验证方法,通过这种方式您可以保持选择余地。您可能需要执行帐户链接,例如,在迁移前后识别相同的用户。这里可能涉及一些数据设置,例如确保AD具有与现有系统相同的电子邮件。