Keycloak领域与Keycloak客户端

Question

我最近正在开发Keycloak 6.0.1 for SSO，用于组织中的多个应用程序的身份验证。我对客户端和领域之间的区别感到困惑。

如果我要为SSO管理5个不同的应用程序，那么我是否必须创建5个不同的客户端或5个不同的领域？

如果我说我必须在一个领域下创建5个不同的客户端，那么我可以对同一领域中的不同客户端执行不同的身份验证流吗？

Answer 1

根据Keycloak文档

1. 领域-领域管理一组用户、凭证、角色和组。用户属于某个领域并登录到某个领域。领域是彼此隔离的，并且只能管理和认证用户，他们control.
2. Clients是可以请求密钥罩来认证用户的实体。大多数情况下，客户端是希望使用Keycloak保护自身安全并提供单点登录解决方案的应用程序和服务。客户端也可以是只想请求身份信息或访问令牌的实体，以便它们可以安全地调用网络上由密钥罩保护的其他服务。

对于您的场景，您可以在一个域下创建5个不同的客户端。Keycloak为单点登录提供了开箱即用的支持。有关更多信息，请参阅密钥罩文档keycloak documentation link

Answer 2

在Keycloak中的核心概念是一个领域。领域为一组用户、应用程序和注册的oauth客户端保护和管理安全元数据。可以在Administration console中的特定领域中创建用户。可以在领域级别定义角色(权限类型)，还可以设置用户角色映射以将这些权限分配给特定用户。

http://www.mastertheboss.com/jboss-frameworks/keycloak/introduction-to-keycloak

一般而言，客户端代表一些用户可以访问的资源。keycloak的内置客户端供keycloak内部使用。

应用程序的示例可以是任何移动应用程序。客户端可以是一个简单的REST API。