Keycloack能否取代dap身份验证？

Question

抱歉，它不接受“嗨，大家好”

我有几个应用程序都是通过ldap认证的。keycloack可以用ldap取代这种身份验证吗？而且这样我就不去碰应用程序的配置了吗？

谢谢

Answer 1

你可以阅读这篇文章https://wjw465150.gitbooks.io/keycloak-documentation/content/server_admin/topics/user-federation/ldap.html

默认情况下，Keycloack复制您的ldap数据，但您可以选择keycloack use your ldap data：

默认情况下，Keycloak会将用户从LDAP导入到本地Keycloak用户数据库。用户的此副本可以按需同步，也可以通过定期后台任务进行同步。密码是其中的一个例外。不导入密码，并将密码验证委派给LDAP服务器。这种方法的好处是，所有Keycloak功能都将工作，因为所需的任何额外的每个用户的数据都可以存储在本地。这种方法还减少了LDAP服务器上的负载，因为未缓存的用户是在第二次访问时从Keycloak数据库加载的。LDAP服务器的唯一负载是密码验证。这种方法的缺点是，当第一次查询用户时，这将需要插入Keycloak数据库。根据需要，导入还必须与LDAP服务器同步。

或者，您可以选择不将用户导入Keycloak用户数据库。在这种情况下，Keycloak运行时使用的通用用户模型仅由LDAP服务器提供支持。这意味着如果LDAP不支持Keycloak特性所需的一段数据，该特性将无法工作。这种方法的好处是，您没有将LDAP用户的副本导入Keycloak用户数据库并进行同步的开销