Федерация SSO веб-приложений SPA

У меня есть веб-приложение SPA, использующее openidconnect для аутентификации и авторизации с локальным keycloak. Теперь это приложение перемещается в локальную инфраструктуру Windows с использованием AD, билетов Kerberos и центрального единого входа. пользователи входят в свою сессию Windows, и тогда мы сможем прозрачно войти в наше веб-приложение SPA. (т.е. без ввода учетных данных) Как преобразовать билет/аутентификацию kerberos в мир Openidconnect? Где магия? Добавим немного Kerberos в наше приложение? как мы можем получить наш токен доступа, содержащий роль пользователя?

спасибо

Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
0
24
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Ваш SPA должен продолжать взаимодействовать с Keycloak с помощью OIDC, и код в SPA не должен изменяться. Ваши API также будут продолжать получать те же токены доступа.

Вам нужно только настроить Keycloak для использования AD для аутентификации в качестве источника данных LDAP. Вот статья о том, как это сделать. Это работа с инфраструктурой, а не просто кодирование, поэтому я бы рекомендовал сотрудничать с администраторами AD при настройке среды.

AD — это только один из возможных методов аутентификации, и, делая что-то таким образом, вы оставляете свои варианты открытыми. Скорее всего, вам потребуется выполнить привязку учетных записей, например, для одинаковой идентификации пользователей до и после миграции. Здесь может быть задействована некоторая настройка данных, например, убедитесь, что AD имеет те же электронные письма, что и существующая система.

Другие вопросы по теме