SPA webapp SSO联合会

Question

我有一个SPA网络应用程序使用openidconnect进行身份验证和本地密钥披风授权。这个应用程序现在移动到使用AD、kerberos票证和中央SSO的windows onprem基础设施上。用户登录他们的窗口会话，然后我们将能够透明地登录在我们的SPA网络应用程序。(即无需输入凭据)如何将kerberos票证/身份验证转换为Openidconnect世界？魔法在哪里？我们在应用程序中添加一些kerberos好吗？如何检索包含用户角色的访问令牌？

谢谢

Answer 1

您的SPA应该继续使用OIDC与Keycloak对话，SPA中的任何代码都不需要更改。您的API还将继续接收相同的访问令牌。

您应该只需要配置Keycloak来使用AD作为LDAP数据源进行身份验证。下面是一个关于如何做到这一点的文章。这是一项基础设施工作，而不仅仅是编码工作，因此我建议在环境设置方面与AD管理员协作。

AD只是一种可能的身份验证方法，通过这样做，您可以保留您的选项。您可能需要执行帐户链接(如在迁移之前和之后标识用户)。这里可能涉及一些数据设置(如确保AD具有与现有系统相同的电子邮件)。