Keycloak:身份中介时不要创建本地用户

Question

为了登录到web应用程序，我使用keycloak作为SAML身份提供者的身份代理。

为了使其正常工作，我创建了新的身份验证流程，其外观如下：“创建用户，如果唯一”，“自动链接代理帐户”。

Keycloak使用登录页正确地重定向到标识提供程序。登录后，身份提供者会像预期的那样重定向到keycloak，然后重定向到我的web应用程序，但是keycloak也会创建本地用户。

在没有本地用户创建的情况下可以使用外部IDP吗？

本地用户的问题:我有“自定义用户联合”实现，它从我的应用程序中获取用户，如果本地用户创建了，则不可能使用“自定义用户联合”登录到keycloak。Keycloak将尝试像本地用户一样登录。

Answer 1

不幸的是，目前无法跳过本地用户帐户的创建。根据Keycloak团队的说法，他们正在推迟支持，“因为我们正计划将一些更大的工作转移到存储层，这将使我们能够提供这种能力”。请参见Feature https://issues.jboss.org/browse/KEYCLOAK-4429。