多鱼小站-薅羊毛社区，折扣网

标题: 在多租户环境中理解和使用带有Keycloak的SAML [打印本页]

作者: lacken 时间: 2024-7-29 13:55
标题: 在多租户环境中理解和使用带有Keycloak的SAML
[md]你正在构建一个多租户系统，前端是一个单页应用程序（SPA），目前正在测试多个身份提供者（IdP）。你预计在认证过程中会有一些特别的要求，Keycloak 以其高度可扩展性成为你目前的首选。单点登录（SSO）是一个重要需求，客户应该能够“自带他们的活动目录（AD）”。

根据你收集的信息，你有两个主要选项通过 SAML 来配置 SSO：

为特定的 SAML 提供者创建一个专用客户端。这不是一个选项，因为我们计划为所有租户提供一个统一的前端。作为备选方案，如果我们在每个租户的多个子域名上托管我们的客户端，并为每个子域名配置不同的客户端，这可能会起作用，但这并不是首选。

将租户的 SSO 提供者作为 Keycloak 中的身份提供者添加。这会导致所有提供者都在登录屏幕上对所有用户可见，这并不理想。是否有办法限制只显示本地登录和社交登录提供者？如果有，用户如何登录到他们公司的 IdP？是否有可能动态地参数化登录屏幕，比如在授权请求中添加 ?tenant=tenant1，以便只显示适当的 SSO 提供者？

你之前在 https://logto.io/ 上尝试过 SAML 支持。在这里，你将 SSO 提供者配置为外部 IdP。此外，你还会添加邮件域，这些域将在用户使用他们的公司邮件地址登录时进行匹配。登录屏幕上不会特别显示任何 SSO 提供者，只有在用户提交他们的邮件地址后才会出现。在 Keycloak 中是否能够实现类似的功能？[/md]

欢迎光临多鱼小站-薅羊毛社区，折扣网 (https://www.codeblogs.cn/)