키클록 - 영역 간에 공통 사용자 집합을 공유할 수 있습니까?

키클록 - 영역 간에 공통 사용자 집합을 공유할 수 있습니까?

저는 회사의 SSO로 키클록을 구현하려고 합니다.저는 A 영역과 B 영역의 두 영역을 만들었습니다.두 영역 모두에 동일한 사용자 집합을 사용하려고 합니다. 두 영역 모두에 대한 사용자 액세스 권한을 부여해야 합니다.이것을 Keyclock에서 할 수 있습니까?

아니, 그건 가능하지 않아.사용자는 항상 영역별로 다릅니다.유일한 방법은 사용자를 외부 저장소에 유지하고 페더레이션(UserStorageSpi)을 통해 이 외부 저장소를 두 영역에 통합하는 것입니다.그러나 외부 저장소가 사용자 데이터의 기본 소스이기 때문에 외부 저장소에서 모든 사용자 관리를 수행해야 합니다.

불가능하다는 답변에 동의했습니다.

영역을 '사용자 풀'로 취급할 수 있습니다. 사용자는 두 개의 개별 ID로 취급하지 않는 한 하나 또는 다른 ID에 속해야 합니다.

그런 다음 클라이언트 연결에 사용되는 세 번째 영역을 생성하여 앱을 단일 인증 서버와 통합하기만 하면 됩니다.그러면 이 세 번째 영역이 키클록 오픈을 통해 다른 두 영역으로 연합될 수 있습니다.연결 아이디.

이 방법을 사용하면 연합된 위치에 따라 그룹/역할/권한을 제공할 수도 있습니다.그러면 이 영역과 통합된 클라이언트는 각 영역의 모든 사용자가 액세스할 수 있습니다. 실제 액세스를 결정하기 위해 추가 RBAC 향상이 필요할 수 있습니다.

편집: 또한 '허브' 영역을 건너뛰고 다음을 통해 원하는 사용자-풀 영역으로 직접 페더레이션할 수 있습니다.KC_IDP_HINT예를 들어, 다른 하위 도메인을 통해 앱을 로드할 수 있습니다. 앱이 다음을 결정할 수 있습니다.KC_IDP_HINT하위 도메인이 사용되었습니다.

언급URL : https://stackoverflow.com/questions/47121643/keycloak-is-it-possible-share-a-common-set-of-users-between-realms