三方身份认证系统介绍
场景:主流多数的企业都有自己的身份认证系统和应用中心系统,以CAS、Oauth2、Saml、私有协议等的认证系统居多。
多数企业要求应用在使用的过程中需要接入认证系统和应用中心,以达到企业电子化的最低要求,实现应用集成,完成账号统一。在实际的运作中,需要外部应用接入到企业认证系统中。
keycloak集成了多数的三方认证系统。本文对认证系统的扩展做重要讲解。
Keycloak集成三方系统
以集成外部CAS-Server为例,做主要介绍。本文假设读者对Keycloak三方认证系统的集成有初步的了解。
keycloak三方认证系统登录流程
先介绍keycloak 集成三方认证系统的登录流程,当企业外部应用A完成登录后,再次访问企业外部应用B的时候,也即可登录,即单点登录
Keycloak集成三方认证系统注销流程
按照上图的登录流程,完成Social 登录后,当用户点击注销的时候,由于没有清楚到外部三方系统在本机浏览器的token,将会应用又再次的完成登录,无休止的循环,用不退出,需优化,下文以流程图的方式分析如果完成外部三方系统的单点登录功能。
代码关键部分
public interface IdentityProvider<C extends IdentityProviderModel> extends Provider { /** * Called when a Keycloak application initiates a logout through the browser. This is expected to do a logout * with the IDP * * @param userSession * @param uriInfo * @param realm * @return null if this is not supported by this provider */ Response keycloakInitiatedBrowserLogout(KeycloakSession session, UserSessionModel userSession, UriInfo uriInfo, RealmModel realm); }
备注:需要实现IdentityProvider的 keycloakInitiatedBrowserLogout,完成第三步骤(发送注销请求到CAS)
备注
PS:本文只能解决基于WEB跳转的注销,backchannel的注销方式另外介绍。
若有开发需要,可留言于我,或者加入QQ群:794868111,相互交流。