密钥罩、PKCE和外部IDP

Question

我有一个需要联合到IDP的需求。我过去从来没有遇到过问题，在这种情况下，我遇到了问题，因为第三方/外部IDP启用并强制执行了PKCE。

是否有方法可以联合到启用了PKCE的IDP。基本上，换句话说，我应该能够转发/发送code_challenge和code_challenge_method到外部IDP。我可以在我的IDP上启用PKCE，没有任何问题，如果需要的话，可以将相同的报头转发到外部IDP，但我看不到这样做的方法。我也尝试在Identity Provder配置中配置"Forwarded Query Parameters“字段，但无济于事。

然而，我遇到了这个票证https://issues.redhat.com/browse/KEYCLOAK-9809，它在哪里说不支持它，因为它只支持公共客户端-所以它仍然是这样的吗？

除此之外，如果这不受支持，那么有什么推荐的方法来解决这个问题呢？我的意思是，我可以要求外部IDP人员更改他们的配置，但在提出解决方案之前，我想知道推荐的方法。非常感谢。

Answer 1

该问题显然已在ticket上解决- https://github.com/keycloak/keycloak/pull/7381

根据此票证-该问题已在版本13.0.0中得到解决。不幸的是，我已经离开了这个项目--所以如果有人能确认这在13.0.0中是有效的--我可以把这个标记为答案，并结束这篇文章。