Keycloak是一個開源的身份和訪問管理解決方案����,適用于現(xiàn)代應(yīng)用和服務(wù)���。Keycloak支持單點登錄(SSO)��,因此服務(wù)可以通過OpenID Connect��、OAuth 2.0等協(xié)議與Keycloak對接�����。同時Keycloak支持與不同的認證服務(wù)整合�����,如Github�����,谷歌和Facebook�。
Keycloak的特點
多協(xié)議支持
如上所述,Keycloak支持三種不同的協(xié)議�。OpenID連接,OAuth 2.0和SAML 2.0�。
SSO單點登錄
Keycloak可以完全支持單點登錄和單點退出。
管理控制臺
Keycloak提供了一個基于Web的GUI�,允許你按需配置各種實例。
用戶身份和訪問
Keycloak可以作為一個獨立的用戶身份和訪問管理器使用���,這樣我們就可以創(chuàng)建用戶數(shù)據(jù)庫�����,自定義角色和用戶組。相應(yīng)地��,我們可以根據(jù)預(yù)定義的角色在應(yīng)用程序內(nèi)部設(shè)置相關(guān)的安全設(shè)置�����,以實現(xiàn)對用戶身份的認證��。
外部身份源的同步化
如果你的用戶已經(jīng)有了某種類型的用戶數(shù)據(jù)庫����,Keycloak能夠與這種數(shù)據(jù)庫進行同步���。默認情況下,它支持LDAP和活動目錄(AD)�。當(dāng)然,你也可以使用Keycloak的用戶存儲API來為任何用戶創(chuàng)建自定義的可擴展數(shù)據(jù)庫��。值得注意的是���,在這種組合方案中�����,一些必要的數(shù)據(jù)可能無法實現(xiàn)Keycloak的全部功能��,所以你最好在實施之前進行徹底的研究��。
身份代理
Keycloak可以充當(dāng)用戶和一些外部身份提供者之間的代理�。我們可以通過Keycloak的管理面板來編輯雙方的對應(yīng)關(guān)系列表����。
社會身份提供者
Keycloak內(nèi)置了對社會身份提供者的支持,如谷歌、Twitter�、Facebook和Stack Overflow。當(dāng)然�,這需要你在管理面板中手動配置它們。支持的社會身份提供者的完整列表和它們各自的配置手冊可以在Keycloak的文檔中找到����。
頁面定制
Keycloak允許你定制所有需要顯示給用戶看的頁面。由于這些頁面是.ftl格式�,你可以使用經(jīng)典的HTML標記和CSS樣式,以一致的方式展示應(yīng)用程序和公司品牌����,你甚至可以用自定義的JS腳本來個性化各種原本受限制的頁面。
