使用Keycloak和Azure Active Directory的SSO

Question

我们已经将keycloak与Azure Active Directory集成，并将其与一些应用程序集成。

我们有几个直接与Azure Active Directory集成的应用程序。有没有一种方法可以让登录到一个应用程序的人在所有其他应用程序中进行登录，而不考虑使用的身份验证提供商(keycloak或Azure AD)？

通常，如果我登录到一个与keycloak集成的应用程序，我将登录到与keycloak集成的所有应用程序，反之亦然。

Answer 1

通过利用令牌存储和配置的应用程序的身份验证提供程序的授权行为，可以使用应用程序服务功能来满足您的要求。但只有从keycloak接收的令牌才能转发到Azure AD以进行身份验证，并分别进一步登录到向Azure AD注册的所有应用程序。反向是不可能的，因为keycloak不能将为配置的应用程序接收到的登录令牌请求转发回Azure AD进行授权。

通过将以下代码合并到您的环境中，您将不得不相应地输入REST API代码来登录和注销会话。

<a href="/.auth/login/aad">Log in with the Microsoft Identity Platform</a>
<a href="/.auth/login/facebook">Log in with Facebook</a>
<a href="/.auth/login/google">Log in with Google</a>
<a href="/.auth/login/twitter">Log in with Twitter</a>
<a href="/.auth/login/apple">Log in with Apple</a>

有关将身份验证令牌从Keycloak转发到Azure AD以进行访问授权的方法，请找到以下文档：-

https://docs.microsoft.com/en-us/azure/app-service/overview-authentication-authorization

https://docs.microsoft.com/en-us/azure/app-service/configure-authentication-customize-sign-in-out

感谢你，