我们已经实现了一个自定义验证器，用于支持通过SMS OTP重置密码的工作流。验证器使用存储在用户属性中的电话号码 我们希望在领域设置中存储SMS提供程序的凭据，因此我们正在寻找一种方法，在单独的标记（如登录、主题等）中向领域设置添加一些额外的配置属性。如果身份验证提供程序可以“声明”这些配置属性，这将是理想的。如果没有，是否有其他方法来扩展领域设置？下面是一个示例，说明如何将可配置属性添加到验证器。一旦验证器添加到流中，您就可以为验证器的特定实例设置配置。如果将身份验证器添加到另一个流中，它将在

我可以在keydepeat中使用它们替换标准流 是否可以定义自定义流并通过链接手动触发它？例如，它将有助于扩展用户自我管理 您可以创建一个客户端，然后覆盖此特定客户端的某些身份验证流。该功能尚未记录，在第一个“客户端管理”选项卡的底部有些隐藏： 如果您正在从特定应用程序触发身份验证流，则此解决方案应该适合您 可能还有一个链接触发它。我只是不知道，但也有兴趣了解它——特别是触发特定注册流的链接

我开始使用Key斗篷，下面是一个我想测试的设置 我想测试这个场景： 这是可行的，但我想在Nginx代理之后实现对应用程序的基于角色的访问，我无法理解jwt令牌的有效负载是如何生成的 以下是我的JWT代币有效负载： "jti": "f5f07b6f-ccae-4f57-a8ea-ae02ebb3cb12", "exp": 1569263630, "nbf": 0, "iat": 1569227630, "iss": "https://keycloak.domain.local

我刚刚安装了keydape 然后我将nextcloud集成到keydape中，但是当我上传metadata.xml时，我收到错误消息： **Error! An unexpected server error has occurred** 你能帮我吗？请检查你的钥匙斗篷的server.log。是的，检查服务器日志。通常，这是XML语法或附加在XML中的键的问题。我从server.log java.io.IOException获取信息：非法页脚：----BEGINCERTIFICATE------

当尝试使用KeyClope java api时，我收到以下错误： Exception in thread "main" java.lang.RuntimeException: Could not obtain configuration from server [http://localhost:8010/auth//realms/BLKRealm/.well-known/uma-configuration]. at org.keycloak.authorization.client.Authz

我刚开始在我的spring项目中使用KeyClove。我一直在尝试使用基于组的策略实现多租户方法，但没有成功。用户仍然能够访问不在基于组策略的允许组中的客户端 用户1（组1） 用户2（组2） Client1=可由group1访问 Client2=可由group2访问 User2应该无法访问Client1 我是这样做的 在Client1中创建了基于组的策略 使用group1 only策略在Client1中创建了新权限。 使用此设置，我将无法使用User2user访问Clie

我已经实现了一个与远程用户存储进行通信的KeyClope存储提供程序插件。当发生错误时，我希望它显示在管理UI中。例如，在“用户”下的管理UI中，可以显示用户列表。然后，您可以通过单击用户的ID链接来显示/编辑给定用户的属性。当发生错误时，我抛出一个异常。但是，这只是显示为未知服务器错误。有没有办法让管理员界面在异常中显示消息，或者用其他方法让用户界面显示错误，比如我可能错过的Status.setError（）API？尝试使用org.keydepot.models.modeleexception

正在尝试使用KeyClope作为身份提供者。我使用/standalone.sh脚本运行它 因此，我获得access\u令牌如下： curl --request POST \ --url http://localhost:8080/auth/realms/master/protocol/openid-connect/token \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data grant_type

我已经阅读了很多关于在keydove中设置领域的教程，但是没有提到keydove正在master领域中创建一个名为-realm的客户机，其中包含一组角色： 为什么需要它 自定义域是keydepose本身的客户机形式吗？因此它需要创建一种“虚拟”客户机来处理这种关系 这个自动创建的客户端有一组角色，在我看来，这些角色类似于keydepeat内部角色： 我在哪里可以在文档中找到它们 自定义域是KeyClope本身的客户端形式吗 需要创建一种“虚拟”客户端来处理这种关系吗 有点,；从： 主域是一

我目前正在使用JavaScript适配器通过loadUserProfile函数检索当前登录用户的配置文件。是否可以控制在此返回的配置文件对象中返回的属性和属性 我有一些自定义属性设置在我的keydape服务器中的用户帐户上，我确实看到了这些属性 然后我注意到我可以为我的客户添加一个“用户地址”映射器，我已经添加了这个映射器，并希望能在loadUserProfile中看到它，但它没有显示出来 我已确保为我添加的地址映射器启用了“添加到用户信息”切换按钮。尽管此选项仅适用于从userinfo端点检索

我们目前正在验证会话和令牌超时设置，以排除潜在的错误。我认为对于我们的用例，默认配置应该做到这一点 我认为唯一令人担忧的值是“客户端登录超时”，我们将其设置为1分钟（如文档的屏幕截图所示）。 文档说明：客户端登录是客户端在OIDC中完成授权代码流的最长时间 我读了，但我不明白。。。我猜文档副本是从redhat文档粘贴的（反之亦然），但也没有详细的解释 所以我的问题是：“客户端登录超时”是什么，默认值是什么？对于我来说，一个完美的答案就是从用户的角度描述工作流失败时的情况（如用户在单击电子邮件验证

我使用的是一个javax过滤器，如果用户已经成功地进行了身份验证，它将从keydepot服务器获取HttpRequest。 从请求中，我能够获得Id令牌，并且在解码时，Id令牌中缺少该组名称 如何在id令牌中映射组名信息 固定。必须在“映射器”选项卡下为我的客户添加新的组映射器。必须在映射器选项卡下为我的客户添加新的组映射器下面是我的解码id令牌声明{jti:727a9f7a-1fae-4341-b171-b852d4406039，实验：1553066567，nbf:0，iat:15530662

我阅读了2014-2016年以来提出的这个问题。现在还不支持吗 从上面的链接。以下是我对设备管理的看法，包括UI和协议： 情景： 已安装作为“经纪应用程序”的iOS设备。应用程序需要执行REST 调用以能够交易股票等。必须注册设备 为了获得许可。流程如下所示： 用户在iPad上安装应用程序 用户点击应用程序上的登录按钮 用户被重定向到具有KeyClope服务器URL的浏览器 用户输入凭据 用户被重定向到“设备注册”页面。密钥斗篷询问用户 如果授权访问设备 KeyClope在用户下注册设备并

从那时起，我根据自己的需要改编了剧本 剧本是 #!/bin/bash echo "* Request for authorization" RESULT=`curl --data "username=admincloak&password=123456&grant_type=password&client_id=admin-cli" http://localhost:8080/auth/realms/master/protocol/openid-connect/toke

我正在使用nestjs实现用于在KeyClope中创建用户的API。我错过什么了吗？ 我这里有两个问题 我在firstName和lastName中得到了未定义的 AnyExceptionFilter:exception:JSON未定义，即使我对firstName和lastName使用了伪数据 谁能帮我一下我犯的错误吗 async createOpsUser(body: IUserRepresentation) { return new Promise(async (resolve,

我已经创建了一个用户存储SPI，与文档中的定义完全相同：一个文本拷贝/粘贴 我已经正确地实现了界面UserQueryProvider，但是当我在kecape，Manage->Users->View all Users中进入管理控制台时，只显示内部数据库用户，我希望在这里也能看到我的联合用户，因为我已经实现了getUsers方法。我添加了一些日志，并且从来没有调用过getUsers重载方法 但是，当我在同一屏幕中搜索我的一个联邦用户时，它会显示出来，因此来自同一界面（UserQueryProvid

我想在一个文本文件中获取一份keydepeat（11.0.2）登录事件的副本，以用于审计和安全事件检测。我该怎么做 谢谢

我刚刚设置了一个keydape服务器，目的是将其用作SAML2身份提供者。我想将其主要用于测试目的，因为我要创建（尚未完成）我无法控制的SAML2登录系统。我的理解是，基于SAML2的登录/通信围绕SOAP HTTP POST和/或重定向展开，但我发现很难理解任意SAML2服务所规定的确切流程。理想情况下，我希望能够通过邮递员、URL调用或类似的方式调用SAML2SOAPHTTP接口来测试服务。我该怎么做？SAML请求只是普通的SOAP HTTP请求，并且总是基于浏览器（用户）（因此没有直接的I

我注意到通过SSO会话空闲和SSO会话最大值的会话不会立即被删除。它们似乎是无效的，因此毫无用处，但它们不会立即被移除。我可以在管理控制台的会话选项卡中查看它们 因为我找不到对此的解释，也找不到这个机制内部是如何工作的（没有查看代码），我想知道，是否有人可以详细说明发生了什么？一切都正常工作了吗？KeyClope严重依赖Infinispan进行缓存。许多类型的实体都具有直接配置给它们的专用缓存，并且不排除会话 启动KeyClope时，指定配置文件/操作模式（通过-c参数）。例如，当我通过dock

我一直在尝试设置KeyClope仅承载客户端。遵循javascript适配器的KeyClope文档中提到的步骤。http工作正常。使用https，我得到了“拒绝访问”。 下面是客户端中使用的keydape.json。 { “领域”：“我的领域”， “身份验证服务器url”：https://10.65.107.118:8043/auth", “需要ssl”：“无”， “资源”：“边缘”， “仅持票人”：正确， “公众客户”：没错， “使用资源角色映射”：true， “机密端口”：0 } 解决方案

我正试图通过RESTAPI创建一个新用户，我正在发送这篇文章 POST/admin/realms/myrealm/users 标题： 授权：承载（生成令牌，此部分可以） 内容类型：application/json 正文： 用户是正常创建的，但当我尝试创建时，密码不起作用 登录时，它会声明我的凭据无效。尝试将映射添加到“临时”：false到凭据： { "username": "rahul", "enabled": true, "totp": false, "emai

我正在尝试将带有KeyClope的ApacheGuacamole设置为OpenIDConnect授权服务器 鳄梨酱正在将我重定向到keydeave，我可以用我在keydeave上创建的用户登录，然后我被重定向回鳄梨酱，但那里说我的令牌无效 08:08:11.477 [http-nio-4432-exec-7] INFO o.a.g.a.o.t.TokenValidationService - Rejected invalid OpenID token: Unable to process JO

我在为我所做的项目设置KeyClove时遇到问题。 KeyClope正在http://localhost:8180。 Thorntail服务器正在http://localhost:8080/users为客户提供数据服务 角度前端打开http://localhost:4200/*。我想做的是，用户只能看到http://localhost:4200/sign-在不登录的情况下进入。登录后，他们可以访问，例如http://localhost:4200/list-用户。 ，但我不确定我的客户端设置应该是

在UserRepresentation模型中有一个“credentials”属性，它具有（type=“password”、value=“some”、temporary=true/false} 在添加新用户时，我不会强制用户在第一次登录时更改密码。我知道可以在域/授权选项中的所需操作中全局更改密码，但如果“强制更改密码”没有设置为默认值。我想通过user.credentials模型中的设置属性来控制它，但看起来它完全是虚拟属性，没有任何效果，总是作为false工作。我说的对吗 另外，我还查看了我喜

当你正在处理一个新的自定义主题时，有没有一种方法可以在KeyClope中预览电子邮件 谢谢您可以使用Docker启动并在KeyClope中配置 关于，您可以使用Docker启动，并在KeyClope中配置 关于，是的，但每次更改内容时都必须触发特定操作。我指的是一个显示所有可能邮件的页面。@Defonesko你知道这一点吗？不。唯一的方法是发送测试连接电子邮件。这太糟糕了，谢谢你的确认。是的，但每次更改内容时你都必须启动特定的操作。我指的是一个显示所有可能邮件的页面。@Defonesko你发现了

我正在尝试将Orbeon表单与我的auth平台集成，该平台是用于验证和授权用户的密钥斗篷。基本上，我需要使用keydape保护表单，并且需要使用Orbeon表单中的角色 我正在使用Orbeon CE（2019.2）的最新版本。此设置包含3个部分；您需要安装和配置KeyClope服务器，配置应用程序服务器或servlet容器，并启用Orbeon表单中的身份验证： 首先，您需要安装keydape服务器。您将在KeyClope文档的一部分中找到有关此的信息 然后，需要设置用于运行Orbeon表单的应用

当使用KeyClope作为应连接到（非KeyClope）身份提供程序（IdP）的服务提供程序（SP）时，如何在KeyClope中安装签名证书 更准确地说，keydove应该用作身份代理（如中所述），并且keydove SP和IdP之间的通信将通过SAML 2.0协议来实现 KeyClope文档包含用于进行“正常”HTTPS通信的信息，例如在浏览器中，但我找不到任何关于安装签名证书的信息，这些证书将用于与IdP的后端到后端SAML通信。有人知道怎么做吗 （可能只有一个证书安装到keydove中，即

我们使用的是与KeyClope集成的LDAP。 在删除用户时，该用户ID将从LDAP和KeyClope UI中删除。然而，它仍然存在于用户实体表中。这表明userId已在逻辑上被删除，但没有发生物理删除。 是否可以从用户实体表中删除用户ID？如果可以，如何删除 谢谢大家!

我尝试按照命令创建用户属性，但没有任何效果 /opt/keycloak/bin/kcadm.sh create users/b33088e5-321e-4b2f-afa6-7dca1871084e/user-attributes -r master -s name=user-attributes -s 'config."appid"=["APP_ID"]' -s 'config."tenantId"=["T0"]' -s 'config."ugId"=["Admin_UserGroup"]'

我有一个小型的vue应用程序，可以通过keydape后端对用户进行身份验证。 我使用oidc客户端将客户端重定向到身份验证页面 无论何时触发登录逻辑，URL都使用客户端的URL而不是权限。（所有查询参数都正确） 这是浏览器上的URL： 这是我的代码（简化且没有URL）： import Oidc from "oidc-client"; let config = { authority: "http://XXX.XXX.XXX.XXX:9855/auth/realms/AvosetGo_

我在从外部IP登录KeyClope时遇到问题。当我尝试使用管理控制台登录时，我收到一条消息“很抱歉需要HTTPS”。我搜索了几乎所有的stackoverflow帖子，但只有一篇有用 要禁用ssl要求，我们可以使用以下命令： java-cp/opt/keydove-4.8.3.Final/modules/system/layers/base/com/h2database/h2/main/h2-1.4.193.jar org.h2.tools.Shell-url“jdbc:h2:/opt/keydo

有没有办法让Key斗篷成为AWS ALB的OIDC提供商 我试了又试，我只是被500个内部服务器卡住了 我创建了一个新的机密客户端，并向ALB提供了clientID和secret以及OIDC URL。几年前，我读到了标题中关于承载人vs承载人的问题，但我无法验证这是否是问题所在，或者这仍然是ALB的问题 感谢您的帮助 编辑：这是我的配置。我已经将URL调整为通用的 AWS - Issuer: https://login.example.com/auth/realms/example Auth E

我们正在使用Key斗篷9.0.3来实现我们的自定义注册逻辑。 我们有一个要求，即用户在尝试使用过期令牌验证其电子邮件几次后，必须临时锁定。 我有一个事件侦听器，它侦听过期的令牌错误，并对用户记录采取适当的操作，但是如何向用户显示相应的错误消息呢 KeyClope LoginActionsService仅使用一个错误密钥转发到FTL。是否有方法覆盖此流以添加不同的错误键，或添加可用于在ftl文件中添加条件逻辑的附加属性

有时在制作过程中我会出现以下错误，在注册时，收到确认帐户的电子邮件后，会有专门的客户，所以他们必须很好，否则其他客户不会注册 javax.ws.rs.NotAuthorizedException: HTTP 401 Unauthorized at org.jboss.resteasy.client.jaxrs.internal.ClientInvocation.handleErrorStatus(ClientInvocation.java:221) at org.jboss.re

我在KeyClope中定义了一个身份提供者，它连接到PingFederate IDP。 SAML断言流在NullPointerException上失败。底部的特定错误。 我调试了代码，怀疑它与未定义映射程序有关 我看到用户名是由一些奇怪的ID设置的，而不是由saml断言提供的：identity.setUsername（subjectNameID.getValue（）） 我找不到关于定义KeyClope身份提供者映射器的示例或教程 有人能帮忙吗？谢谢 错误： 13:58:04,386 ERROR

是否可以限制具有管理成员资格权限的用户可以分配给其他用户的可用组？ 情景： 我有一个keydape实例，其中有一个子领域。有多个组（公司）可以打开此领域的安全管理控制台。我还有3个组：管理员，超级用户，用户。我希望powerusers能够创建新用户并仅为他们分配->似乎您正在尝试仅使用单个领域设置多租户解决方案。我不建议尝试使用这种方法 我已经使用以下方法为多个客户配置了Redhatso（这是Key斗篷的付费版本）：每个客户（公司）两个领域 公司管理员和公司用户 可以将组配置为具有其他领域的管理

我需要能够执行Key斗篷在使用身份提供者时所做的操作：登录/注销/创建帐户/链接帐户，通过api，而不是通过html 我在您的文档中找不到如何执行这些操作，所有文档都基于html和一系列重定向，使用KeyClope及其主题。 这与单页应用程序或ios/android本机应用程序不兼容 示例： 当我已经拥有google/facebook令牌时，通过身份提供商代理（google/facebook）为现有/已链接的帐户获取令牌并刷新令牌 所需步骤： 我得到了谷歌或facebook的代币，在KeyC

我已经用LDAP/AD和数据库设置了CAS，这很有效。现在我想添加keydepeat，但是我得到一个关于状态的例外 Caused by: org.pac4j.core.exception.TechnicalException: State parameter is different from the one sent in authentication request. Session expired or possible threat of cross-site request forge

KeyClope提供了“忘记密码”的开箱即用功能。这很好用。单击此按钮，我输入电子邮件，并向我的电子邮件发送链接。点击链接后，我可以重置密码 我的问题是，成功重置密码后，是否可以让KeyClope发送电子邮件？是的，如果您提供“重置凭据”身份验证流的自定义副本，这是可能的 请参阅有关如何剪切流的文档 我猜您必须在“重置密码”验证器之后添加自定义验证器（例如“发送重置确认电子邮件”）。 对于此自定义验证器的实现，您只需要在authenticate（）方法中发送确认电子邮件。 您可以查看KeyClo

如果这是第一次身份验证，那么Kerberos身份验证工作正常。但是，当我们有几个可选的身份验证（第一个用户/密码），然后单击“尝试另一种方式”，我们有其他的验证，如X.509证书和Kerberos。如果选择Kerberos，浏览器将返回“页面已过期。要重新启动登录过程，请单击此处”。在日志中，我们看到它失败的地方在这里：“invoke authenticator.authenticate:auth spnego”比较它何时工作正常。 谢谢

我正在测试一个使用SpringSecuritySAML的应用程序，并使用KeyClope作为身份验证提供者进行测试。默认情况下，KeyClope在http和带有自签名证书的https上运行 在浏览器中通过https检索元数据时https://localhost:8543/auth/realms/master/protocol/saml/descriptor 它正确返回以下内容： <md:EntitiesDescriptor xmlns="urn:oasis:names:tc:SA

我有两个Keyclock客户 角度4：具有访问类型凭据身份验证 JAX-RS应用程序（将是资源服务器）：仅具有承载身份验证！在这个客户机中，我们激活CORS，如下面的json所示 { “领域”：“演示领域”， “仅持票人”：正确， “身份验证服务器url”：http://demo-keycloack-server:8080/auth", “需要ssl”：“外部”， “资源”：“演示服务器”， “启用cors”：真 }（注：此行为已在KeyClope tomcat valve 6.0.1中重

我正在使用KeyClope 3.4.3.FINAL，并查看是否有任何方法可以捕获帐户临时锁定/解锁的情况。我希望编写一个EventListener，根据事件类型触发，但我似乎找不到在帐户锁定时触发的任何事件 《钥匙斗篷》中有这样的事件吗？如果没有，有没有办法添加自己的自定义事件？我可以捕获AccountModified事件并处理它，但我看到触发的唯一事件是登录错误，它不会告诉我帐户是否被临时禁用/启用。经过一段时间的研究，我终于找到了通过登录错误事件的方法。虽然充其量，它会告诉我用户的帐户是否被

在Key斗篷中，同一领域中的所有客户端是否可能只有一个登录？我（从管理控制台）以这种方式配置了服务器： -创建一个新领域（我们称之为MyRealm） -创建两个不同的客户端（客户端1和客户端2） -创建用户（Alice） 我已经分别测试了这两个客户端，它们工作正常（出现默认的KeyClope登录页面，如果我提供了凭据，浏览器会正确重定向我）；问题是，当我登录到Client1，然后（从同一个浏览器）转到Client2时，会出现登录页面。是否可以将服务器配置为只需使用一个客户端登录，然后在所有其他领

当用户通过身份代理登录时，根据keydape，keydape在realms本地数据库中检查并创建用户，作为第一个代理登录流的一部分 有没有办法在Keyclope本地数据库中禁用用户登录，并始终检查来自IDP而不是本地数据库的身份验证 由于存在一些基本问题，如Key斗篷和IDP之间的用户数据同步，这种默认Key斗篷实现背后的基本原理是什么

我有一个SPA、一个后端restapi和keydepot作为身份服务器 对于站点的管理功能，我需要访问KeyClope管理API，现在，我想知道是否最好甚至可能使用当前登录的管理员令牌直接从SPA访问KeyClope API，或者是否最好在我的后端API上创建端点，然后作为KeyClope admin API的代理 除了端点定义之外，似乎很难获得关于KeyClope REST API的任何好信息。因此，我不确定一个普通的管理令牌是否满足API的身份验证，如果满足，那么应该是什么样子，因为您可以对

我正在评估我们其中一个系统的Key斗篷，其中需要2FA和TOTP。我试图找出是否有办法通过AdminRESTAPI注册一个新的验证器应用程序，这样我们的用户就不需要与KeyClope提供的帐户页面交互 我花了一些时间在参考文档上，但运气不好。我有什么遗漏吗？省略keydepot提供的ui是使用此服务的首选方式吗 谢谢 不，您不能使用API来实现这一点。您需要用户界面交互 我无法想象您将如何将TOTP凭据分发到用户设备。也许一些引人注目的企业环境（Android enterprise，…）可以强制

我们正在一个多租户微服务应用程序中使用keydepot 我们计划每个租户使用一个领域 还有一个端点，所有用户请求（来自所有租户）都通过JWT承载令牌流进行身份验证 是否可以在KeyClope中创建一个应用程序客户端并在所有领域共享它？ 或者我们必须为每个领域创建一个客户端（同名） 是否可以在KeyClope和中创建一个应用程序客户端 在所有领域分享它 开箱即用这是不可能的，就像用户一样，客户端是在领域级别定义的，因此不能在领域之间共享

我指的是用户可以自己生成的电子邮件，如下所示： 有人已使用此电子邮件地址创建了XYZ帐户。如果这是 您可以单击下面的链接来验证您的电子邮件地址 有一个名为/{user id}/send verify email的端点，但实际上它使用不同的消息发送不同的电子邮件 管理员刚刚要求您更新XYZ 帐户 此电子邮件使用通用的“executeActions”模板，该模板用于请求多个用户操作。因此，无法以有意义的方式修改此模板以适应验证电子邮件

我需要在我的应用程序中实现一个非常复杂的RBAC模型。 它非常类似于Azure RBAC： 让我用一个例子来解释： 假设我有一个资源类型：server\u group 然后我有一些角色： admin（可以在server\u组上执行CRUD，+其他权限） 编辑器（可以在服务器组+其他权限上执行RU） viewer（只能Rserver\u组+其他权限） 这些角色是租户范围的角色：此处的操作范围是当前用户注册所在的组织 这是为资源类型的角色分配权限的传统模型 但是，如果您需要向某个用户授予更多特权，该