将Keycloak配置为与AD服务器之间的时间差(SAML)

Question

我无法控制提供SAML断言的AD身份验证服务器。AD服务器的时间通常相差几秒。

从Keycloak的日志中：

16:08:33,713 DEBUG [org.keycloak.saml.validators.ConditionsValidator] (default task-5) Evaluating Conditions of Assertion _1468eee4-406b-4fd8-8743-b60c5df535b6. notBefore=2019-07-02T20:08:37.322Z, notOnOrAfter=2019-07-02T21:08:37.322Z

请注意，AD notBefore时间比Keycloak的日志时间晚4秒。

是否有Keycloak设置来提供可接受的时间漂移？

Answer 1

Keycloak是允许时钟偏差的adding a feature (这只是there)。从您的问题陈述中还不清楚这个Keycloak更改是否会完全解决您的情况，但请尝试一下。