У меня есть веб-приложение SPA, использующее openidconnect для аутентификации и авторизации с локальным keycloak. Теперь это приложение перемещается в локальную инфраструктуру Windows с использованием AD, билетов Kerberos и центрального единого входа. пользователи входят в свою сессию Windows, и тогда мы сможем прозрачно войти в наше веб-приложение SPA. (т.е. без ввода учетных данных) Как преобразовать билет/аутентификацию kerberos в мир Openidconnect? Где магия? Добавим немного Kerberos в наше приложение? как мы можем получить наш токен доступа, содержащий роль пользователя?
спасибо
Ваш SPA должен продолжать взаимодействовать с Keycloak с помощью OIDC, и код в SPA не должен изменяться. Ваши API также будут продолжать получать те же токены доступа.
Вам нужно только настроить Keycloak для использования AD для аутентификации в качестве источника данных LDAP. Вот статья о том, как это сделать. Это работа с инфраструктурой, а не просто кодирование, поэтому я бы рекомендовал сотрудничать с администраторами AD при настройке среды.
AD — это только один из возможных методов аутентификации, и, делая что-то таким образом, вы оставляете свои варианты открытыми. Скорее всего, вам потребуется выполнить привязку учетных записей, например, для одинаковой идентификации пользователей до и после миграции. Здесь может быть задействована некоторая настройка данных, например, убедитесь, что AD имеет те же электронные письма, что и существующая система.