authentication - 是否可以在不使用登录屏幕的情况下对 Keycloak 的身份提供者 (OpenAM) 进行身份验证？

Question

请注意，我是我提到的应用程序的新手，所以我可能会错误地使用该术语。我已经添加了一些图表来尽可能地解释自己。

我正在尝试在 APIMAN(内部使用 Keycloak)中设置 Web 服务身份验证策略

到目前为止，我知道我在 Keycloak 中创建的身份提供程序 (OpenAM) 配置正确，因为它在登录页面上工作(见下图 1)


我还通过 Keycloak 的 OpenID API 成功使用了 access_token 来访问 Web 服务；但前提是用户凭据在 Keycloak 中(与 OpenAM 相对)(参见图 2)


我想要实现的是通过 Keycloak 但使用身份提供者的凭据来验证这个 Web 服务客户端，但我不知道如何做到这一点，或者是否可能。 (见图3)


请注意，我还尝试使用 OpenAM 背后的 LDAP 进行用户联合，并且它工作正常，但我想知道是否有办法通过 OpenAM 来实现。

Answer 1

您使用 keycloak 和 openam 的方式很不寻常，但是如果我正确理解您的问题，您希望 keycloak 将 webservice 请求重定向到 openam，而不是 ldap，
您可以:

使用 saml 将 openam 配置为身份提供者:

Openam 将是您的身份来源，而 keyclaok 将是他的客户，您可以通过配置 keycloak 来实现:身份提供者 -> saml IDP -> 在这里您将放置 openam 元数据。

将 openam 配置为 OIDC 提供商:

在 keycloak 中，您转到身份提供者 -> 创建 -> oidc v1 提供者 -> 您将放置您的 openam 信息。
正如我所说，它可以完成，但它不是它应该的方式，openam 和 keycloak 都是访问管理软件，它们都做完全相同的事情，在您的配置中，keycloak 扮演 API 网关的角色，这是不完全是 keycloak 应该做什么，您可以摆脱任何一种解决方案，两者都可以为您提供相同的功能(OIDC，OAuth2，SAML，LDAP，...)