我想从我的web应用程序发送Key斗篷用户重置密码电子邮件，而不使用Key斗篷SMTP配置。为此，我试图生成重置密码链接，但我不知道如何在URL中生成代码。是否有任何API调用来生成操作代码或完全重置密码URL？KeyClope生成如下内容。我需要生成相同的。这就是目标 在KeyClope中没有直接公开的API Key斗篷提供操作令牌，允许其持有者执行某些操作，例如重置密码或验证电子邮件地址 也许您可以看看操作令牌SPI： 通过这种方式，您可以处理您的用例

下面是我的pom.xml <properties> <keycloak.version>4.3.0.Final</keycloak.version> <version.hibernate.javax.persistence>1.0.0.Final</version.hibernate.javax.persistence> <version.jboss-ejb-api>1.0.0.Final</v

嗨，我对Key斗篷很陌生，我不了解授权的一些基本内容。我有一个RESTAPI，它公开了一些资源，我希望用户根据这些资源拥有不同的角色。例如：我有用户、汽车和两个角色（roleA、roleB）。我想为carA将roleA分配给userA。我能用钥匙斗篷做这个吗？怎么做 谢谢 这个问题有点含糊，但是是的，你可以用KeyClope来做 开箱即用的keydape支持用户和角色。它提供了API和UI来管理这些。如果您的应用程序配置为使用keydrope作为身份源，则您可以访问应用程序中的keydrope用

我正试图像本节所描述的那样，剪切从keydape（v7.0.1）获得的OIDC访问令牌 因此，我为我的客户机定义了一个映射器，以便在“groups”声明中传输特定的用户组元数据。为此，我使用了KeyClope提供的内置“Gourp membership”映射器 而且，我在身份验证流期间观察到一种奇怪的行为 针对这一请求： POST/auth/realms/my realm/protocol/openid connect/token？授权\u type=authorization\u code&c

我对Key斗篷还不熟悉，正在尝试将其配置为SalesForce客户端的SAML IDP。 IDP启动的SSO流工作正常。我被引导到Salesforce主页正确地发布身份验证。但是，SP启动的SSO为我提供了一个JSON输出，而不是KeyClope登录页面 这是SalesForce重定向到的URL（屏蔽IP）： ... SAML跟踪程序指示有效的SAML身份验证请求 <?xml version="1.0" encoding="UTF-8"?> <samlp:AuthnReques

我有一个直接授权验证器的自定义实现，并希望使用自定义rest端点调用它。在keydepot中有什么方法可以实现这一点吗？您需要实现一个REST端点，例如调用keydepot的/token端点的/mycostumendpoint。您实现的身份验证器必须将其作为keydepot的直接授权流。您需要实现一个REST端点，例如调用keydepot的/token端点的/mycstumendpoint。您实现的身份验证器必须将其作为KeyClope的直接授权流。是，但要调用哪个方法？你的意思是说我从定制终端

我正在使用keydape进行用户管理，我想在更新配置文件页面中添加一些自定义用户属性（公司和职位）（在主题中也称为登录更新配置文件.ftl） 我尝试过做一些类似于keydape文档“自定义用户属性”部分（链接）中描述的事情，但我总是遇到一个内部服务器错误 这是我要添加到模板中的一段代码。请注意，它适用于注册表.tfl，但不适用于登录更新配置文件.tfl： <div class="form-group"> <div class="${prope

我有两个keydaveat实例，A是B的IdP。从B的登录屏幕上看，这应该可以正常工作。 但是，我无法使IDP启动的SSO从A到B工作。我在a中用一个名称（比如“bbbbb”）填充了“IDP启动的SSO URL名称”字段。 当我尝试导航到：http://aaaaa/auth/realms/his/protocol/saml/clients/bbbbb 我总是以以下日志记录结束： 22:42:02993调试[org.keydove.services]（默认任务23）授权代码无效。代码：null 2

我一直在尝试向我的应用程序添加自定义主题。当我在本地构建docker形象时，一切似乎都很好，包括我的样式和徽标。但是，当我更改设置时，会缺少几个样式。例如，我看不到徽标，表格似乎缺少样式。我想知道如何解决这个问题： 这是我的主题。属性 styles=css/login.css css/tile.css css/styles.css 我还注意到，在master领域中，徽标显示正确，但在其他领域中，它不显示徽标 我想补充一点，我在控制台中不断遇到此错误： because its MIME type

这件看起来很奇怪。当我通过邮递员或在浏览器中获取OpenID配置时，我会得到一个有效的配置响应 例如，通过邮递员或在浏览器中获取 http://127.0.0.1:8080/auth/realms/myrealm/.well-known/openid-configuration 正确返回包含端口8080的端点： { snip "jwks_uri": "http://127.0.0.1:8080/auth/realms/myrealm/protocol/openid-connect/certs

有很多关于如何为欢迎屏幕、登录和电子邮件等创建模板的资源，但到目前为止，我还没有找到任何可以自定义和扩展管理客户端本身的内容 我想做的是： 在keydeport数据库中创建一些自定义实体，并能够在keydeport管理界面中直接查看和编辑它们 从KeyClope附带的代码来看，他们似乎使用angular来创建管理UI，但它看起来像angular应用程序的生产版本。是否有任何资源可以让我访问应用程序的开发版本，从而可以在管理UI中随意使用和构建自定义视图和字段 我相信一旦我有了访问权限，我就可以找

当GUI长时间处于空闲状态时，页面会自动重定向到登录屏幕。在此登录页面中输入凭据会引发错误“您的登录尝试超时。登录将从头开始。”。 用户必须重新加载页面，然后输入凭据才能成功登录到GUI 请您建议我需要哪种密钥斗篷配置才能允许用户再次登录为了避免这种情况，可以更改“域设置”→ 代币→ 登录超时”至10000天，即27年，这应确保在现实中不会发生这种情况 我问过一个问题，这个登录的目的是什么，但上面是如何禁用它。为了避免这个问题，可以更改“领域设置”→ 代币→ 登录超时”至10000天，即27年，

我正在使用keydaporestapi获取带有查询参数的用户 Get users Returns a list of users, filtered according to query parameters GET /{realm}/users 使用query param？username=admin，但是对于这个query param值，我也会得到类似的结果，如awadminusername等。如何使用admin username获取准确的帐户问题在于旧版本的docs api。在最近的1

Keyclope v12.0.4是否存在缺陷 它挂在“帐户控制台加载…”上 单击下面所有领域上的“模拟”时的HTTP序列。注意：找不到404 POST HTTP/1.1 获取HTTP/1.1 获取HTTP/1.1 获取HTTP/1.1 获取HTTP/1.1是的，你是对的。根据Keyclope邮件列表，这是一个bug，目前正在被以下故事跟踪： ; . 12.0.x上的authjs/keydeave.js 404 NOT FOUND错误与此错误有关-您只需要一个引导/on keydeave_FRON

我们使用KeyClope 7.0.1版作为身份代理，通过Azure AD验证我们的应用程序GUI。为此，我们添加了应用程序GUI（六个GUI）作为OIDC客户端，Azure AD作为SAML2.0身份提供程序。我们还定义了“Saml属性到角色映射器”类型的idp映射器，用于将Azure返回的应用程序角色映射到GUI客户端角色。客户端和角色映射器配置如下所示： 我们已经配置了六个GUI客户端DQI、PLF、BSF、USDP、IAM和NAP GUI及其角色（每个GUI两个角色），例如DQI GUI（

我正在使用admin cli将一些预配置添加到Key斗篷3.4.3 docker容器中 我想做的事情之一是将某个领域角色添加到默认领域角色列表中，以便在注册新用户（使用web用户注册表单）时自动应用此角色 我在文档中找不到关于这个的任何信息。 关于如何使用admin cli命令实现这一点，您有什么想法吗 谢谢。我今天也遇到了同样的问题。以下是我的解决方案： echo Creating realm TEST kcadm.sh create realms -s realm=test -s enabl

我如何编写和应用策略，以便在keydepeat中一次只有一个角色给用户，并且用户只能根据策略将角色分配给其他用户？我已经看到，在最新版本的keydrope中，他们取消了对map角色细粒度策略的支持。您能告诉我如何实现这一点吗？只选择一个角色创建基于角色的策略。创建权限时将该策略与资源关联 有关更多信息，请参阅通过仅选择一个角色创建基于角色的策略。创建权限时将该策略与资源关联 有关更多信息，请参阅

我意识到这个问题有很多重复。但我似乎不能正确理解答案 我们已经用oauth2 spring服务器保护了rabbitmq和rest端点。但它并没有我们需要和想要的所有功能。所以我们想用钥匙斗篷。我已经成功地保护了rest端点，只需转到新版本的SpringSecurity5.1，指定security.oauth2.resource.jwk.key-set-uri并设置必要的依赖项和配置 在尝试保护RabbitMQ时，我在检查消息头中的承载令牌时遇到了问题，因为KeyClope jwks端点没有返回真

使用KeyClope docker映像（11.0.1），作为我可以登录的用户 http://localhost:9990/auth/realms/myrealm/account/ 但当我单击任何按钮（例如编辑帐户页面上的取消）时，它会显示： We are sorry... An internal server error has occurred 我查看了开发工具，发现帖子http://localhost:9990/auth/realms/myrealm/account/导致403禁用 我检

我有一个12.0.1实例，我想升级到12.0.2。我遵循了这里的指南，但是我似乎没有在我的UI中添加的新选项（）。如果我转到管理面板中的服务器信息，它会显示版本为12.0.2 我错过了什么？我需要单独更新客户端吗？我下载了最新的存档文件，并将文件从我的旧keydepeat\u HOME/standalone/复制到新文件夹中，然后重新启动keydepeat。DB是从我所知道的迁移而来的，但是UI选项丢失了 我需要对现有领域做些什么才能激活此功能吗？KeyDope release12.0.2不包含

我目前正在设置KeyClope，为一些服务提供保护。将有外部客户和内部服务使用我的服务上的相同端点 我是否可以在用户、角色或客户端级别设置令牌到期时间，或者混合使用令牌和基本身份验证？不幸的是，令牌到期时间只能按域设置。 它只能在领域上完成，@maslick将其正确地称为keydapore做SSO，并期望在一个领域中有多个客户端 尽管如此，如果需要自定义密钥斗篷会话，您可以在应用程序中相应地进行编码。可以根据每个客户端为访问令牌配置不同的生命周期。在KeyClope管理控制台中，转到客户端设置页

当KeyClope试图启动时，它无法启动。日志中会引发以下错误： 错误 [org.keydape.connections.jpa.updater.liquibase.conn.DefaultLiquibaseConnectionProvider] （ServerService线程池--53）更改集 META-INF/jpa-changelog-1.5.0.xml:：1.5.0:：bburke@redhat.com失败。 错误：未找到“用户设置允许”列；SQL语句：ALTER 表PUBLIC.AU

我们需要支持身份验证和签名与瑞典BankID一起与密钥斗篷 正在为此（开源或商业）寻找Key斗篷库-您知道类似的信息吗？我们刚刚发布了Key斗篷的bankid身份提供程序 请尝试一下并给出反馈 我们刚刚发布了KeyClope的银行ID身份提供商 请尝试一下并给出反馈 您可以为此编写并添加SPI。好的，谢谢你的回答@JulianEgner我希望其他人也这么做了：）这是一个紧急情况问题-现在事情已经解决了，我们与另一个IAM解决方案达成了协议，而不是Key斗篷。你可以为此编写并添加SPI。好的，谢谢

我正在尝试构建定制的DirectGrantAuthenticator，它将来应该进行网络调用，以根据外部服务对用户/pwd进行身份验证 目前，我有一个虚拟验证器，它应该为每个用户名/pwd对用户进行身份验证，并用默认声明进行响应 在身份验证调用过程中，我遇到了一个KeyClope异常，不知道如何修复它。。看来keydove在会话中仍然看不到authenticate user keycloak_1 | 13:32:10,638 INFO [stdout] (default task-1) qu

身份提供者链接电子邮件模板使用身份提供者的“别名”（identityProviderAlias）作为电子邮件正文中的变量之一。我更喜欢使用IdP的“显示名称” 我尝试了identityProviderDisplayName，但结果显示null 我的IdP别名类似于“公司产品sso”，显示名称为“公司sso” 更新： 我现在还尝试使用identityProviderContext，如下所示： identityProviderContext.getIdpConfig（）.getAlias（）返回与i

我正在使用KeyClope作为安全层，并致力于启用社交登录。 社交登录很有效，我可以使用doicuments将Facebook与配置集成在一起 然而，我有一个要求，在这里我需要为相同的API提供一个端点。 我们的移动设备将通过应用程序与facebook通信，并将拥有来自facebook的令牌（隐式流）。 然后，我将用keydrope交换令牌，以获得keydrope访问令牌 我有两个问题： 这种方法正确吗？如果不是，为什么 我怎样才能做到这一点 我正在考虑编写一个自定义验证器（我不确定这是否是正

我正试图通过Key斗篷UI管理控制台通过以下json文件导入Key斗篷中的用户： [{ "Email":"abc@abc.com", "Username":"abc@abc.com", "FirstName":"ABC", "LastName":"XYZ", }] 但我收到的错误消息如下： 错误无法分析JSON文件 我的json文件有问题吗？您的json文件中有一个尾随“，”（逗号） [{ "Email":"abc@abc.com", "Username":"abc@abc.com", "Fi

我已经在我的索引页面的标题中包含了keydeport.js。成功登录后，我被重定向回定义的重定向url，其中authenticated等于true。但是，大约5秒钟后，页面重新加载并返回authenticated true。这只是在一个循环中发生，不确定从这里走到哪里。以下是我的html中的内容： <script src="/js/application/jquery/jquery-3.2.1.min.js"></script> <script src="/js/a

我有一个多租户应用程序，在这个应用程序中，领域将由后端服务自动创建 为此，我有一个在主领域启用了服务帐户且允许全范围的客户机，但是当通过KeyClope admin java客户机使用它时，我可以创建一个新领域，但不能在其中创建新用户 KeycloakBuilder .builder() .grantType(OAuth2Constants.CLIENT_CREDENTIALS) .serverUrl(masterCrede

场景：有两个keybeave实例——比如一个远程实例和一个本地实例。用户应该能够使用任何实例进行身份验证。为此，需要同步用户数据。如何做到这一点？是否有其他建议的方法来实现这一点。无法使用LDAP。创建一个表以使用两个KeyClope实例。 并根据您创建的表设置数据库配置 点击此处： 添加同步问题： 可能您可以编写一个使用getUsers api的客户端应用程序。它从远程服务器获取所有用户，并在计划的时间段内写入本地KeyClope db。如何创建这些实例？你创造了新的“领域”吗@ÖmürAl

我需要配置keydepeat，以便它创建一个JWT，声明“sub”中填充用户名，而不是sub中的默认userId 这意味着代替此令牌： { "jti": "b1384883-9b59-4788-b09f-98b40b7e3c3b", ... "sub": "fbdb4e4a-6e93-4b08-a1e7-0b7bd08520a6", "preferred_username": "m123456" } 我需要收到： { "jti": "b1384883-9

我需要将WSo2 IS与KeyClope集成。 其中，我应该能够从Key斗篷验证WSo2中存在的用户。使用。WSo2将是身份提供者。您可以按照中的指南，在KeyClope中将WSo2配置为OIDC IDP。问题太广泛了，是否有任何文档可以使WSo2成为身份提供者？@sureshkumar我不知道。您在标题中说过WSo2作为IDP

我正试图在Key斗篷中为我的领域添加一个角色，但它给了我一个错误的请求响应。我的步骤： 使用以下命令获取令牌： 使用以下命令获取客户端ID： 尝试使用[文档][1]添加角色： 当我发出最后一个命令时，我得到了错误的请求响应。我做错了什么？多谢各位 你看起来很接近 我能够通过以下REST API创建领域级角色： 这与您的呼叫之间的区别在于，您正在尝试创建一个客户端级别的角色。您是否对客户级角色有特定要求，或者您只是在尝试 如果领域级角色满足您的需求，您可以使用上述API 还要检查以确保您正确地按照

我们想让用户通过提供他们当前的KeyClope JWT作为一次性身份验证过程来对Slack应用程序进行身份验证。这将允许我们将他们的空闲用户ID与他们的KeyClope用户ID相关联 但是，我在KeyClope中找不到任何类似AWS的GetCallerIdentity的端点。我已经梳理了这些文件，我能找到的最接近的东西是提到的一个身份标识。然而，我找不到任何关于如何解开该身份令牌以安全获取其所有者信息的信息 谁能给我指出正确的方向吗 谢谢大家! Open ID Connect定义userinfo

我的目标是获得两个特定于资源服务器的访问令牌，它们只包含特定于相应资源服务器的数据 我有以下设置：一个公共客户端使用2个资源服务器 配置客户机、用户、领域角色、客户机范围后，通过使用scope参数，我能够创建2个不同的、特定于资源服务器的访问令牌： { "exp": 1603234566, "iat": 1603216566, "jti": "13ae00ac-ce57-43ce-8b47-39ad6d5445cd

我正在尝试集成一个旧的OAuth 2.0提供程序，它不支持OpenID Connect 1.0作为KeyClope上的身份提供程序 此遗留提供程序提供了一个xml服务，该服务返回与userinfo类似的用户详细信息 我看到keydape有社交提供者的概念，但我找不到任何关于如何在GUI上实现和注册新提供者的资源。这里是keydape文档中涉及此类提供者的部分： 我还建议您查看一些实现为的自定义提供程序的源代码。这会很有帮助 实现自定义身份提供程序通常不是一项简单的任务，而且会有很多边缘情况和不可

我正在使用KeyClope 3.4.3 我跟随这篇文章将我的应用程序配置为使用带有SAML协议的AD FS登录 我的设置是一个使用KeyClope js适配器的Angular 5UI。当应用程序启动时，我启动keydepot.init（{onLoad:'login required'}）方法以显示keydeport登录页面。现在，我可以使用电子邮件和密码登录，或者单击SAML SSO按钮并通过AD FS登录页面登录 我想做什么？在显示登录屏幕之前，我想让Key斗篷触发SAML SSO，我的意思是

我可以在KeyClope服务器中定义用户ID的自定义格式吗 示例：FirstName\u lastName\u randomInt 致以最诚挚的问候在KeyClope中当前无法创建自定义用户id。如果查看一下，您可以看到用户id是在创建新用户时自动生成的，并且没有为其提供设置程序。这是有意义的，因为您可以自由地以您希望的格式创建用户名。 因此，您应该根据自己的要求创建用户名。是的，没错。我的问题是指用户名。多谢各位。

我不熟悉钥匙斗篷。当我登录应用程序并关闭浏览器时。当我没有启用“记住我”时，我仍然可以看到我的用户会话处于活动状态。这是预期的吗？根据我的理解，除了选中了“记住我”外，KeyClope应该在用户关闭浏览器时删除会话。任何想法都很感激 keydape为您提供了会话、cookie和令牌超时的细粒度控制，您可以在文档中找到更多详细信息

我在配置密钥斗篷服务器时遇到一些问题。我创建了两个角色、两个组（每个角色一个）和两个用户（每个组一个）。现在，我尝试将访问特定路径的权限（例如）仅授予我的一个组 我（在授权选项卡下）创建了一个资源，其中包含我要保护的URI、策略（类型组）和权限。我还使用“评估”选项卡测试此配置，并得到正确的结果：组中未与策略关联的用户的结果拒绝，另一个组中的用户的结果允许因此我尝试使用POSTMAN测试配置： 1获取我的两个用户（）的访问令牌 2_uu获取受保护的资源（），首先是未经授权的用户，然后是授权的用户

当我为了另一个问题不得不用核弹炸掉我所有的docker图像时，我有一个正在工作的本地KeyClope图像。然后，我又带上了我的钥匙斗篷图像 version: '3.6' volumes: keycloak_postgres_data: {} services: postgres-keycloak: image: postgres:10-alpine container_name: postgres volumes: - keyclo

我使用的是keydove8.0.1，它是java客户机keydove管理客户机库 这是我的keydapeconfig public Keycloak keycloakClient(AdapterConfig config) { return KeycloakBuilder.builder() .clientId(config.getResource()) .clientSecret((String) config.getCredential

我正在尝试根据用户的角色检索用户列表。我有这个角色：角色\管理员。我想检索每个具有此角色的用户 我尝试使用此端点： GET <KEYCLOAK_HOST>/auth/admin/realms/<YOUR_REALM>/roles/<ROLE_NAME>/users GET <KEYCLOAK_HOST>/auth/admin/realms/<YOUR_REALM>/clients/<CLIENT_ID>/roles/<

我在docker上运行了一个KeyClope 12.0.2应用程序。现在我正在尝试更新领域登录屏幕的主题。无论何时我去改变领域主题设置的主题- UC1-打开KeyClope实例，将显示正确选择的主题登录页面。没问题！ UC2-打开我的应用程序，单击登录，登录页面将始终具有KeyClope主题，即使我尝试为主域或特定域选择不同的主题 这就是每当我从任何配置为使用KeyClope作为SSO的应用程序转到这里时，登录屏幕上都会出现的主题，无论我从领域设置中选择哪个主题，它都会出现- 我已经在KeyCl

如何通过keydove的restapi创建具有以下值的协议映射器（如附图所示）？我在文档中找不到它-我确实找到了这个：-但是它包含一个映射和几个字符串。当我看到UI时，我看到了更多的字段，我不确定我是否看到了正确的API 以下是用户界面： 如何通过API实现 如何使用以下值创建协议映射器（如中所示） 附加的图像）通过KeyClope的REST API 您可以通过调用以下端点来完成此操作： POST ${KEYCLOAK_HOST}/auth/admin/realms/${REALM_NAME}

我正在使用KeyClope 4.5.0 v并创建了一个领域。我已经设置了登录以启用忘记用户名和验证电子邮件。在我输入的电子邮件选项卡中 host - smtp.gmail.com smtp port:465 username - ***@gmail.com SSL/TLS - enabled Authentication - enabled with username and password 但我仍然无法连接到gmail it always pop无法发送电子邮件通知错误显示： 1

我正在使用KeyClope作为开放ID连接提供程序， 我想通过OpenId将我的KeyClope实例连接到服务。 但该服务要求用户信息提供数字标识符（KeyClope不提供）。 我想我可以使用脚本映射器来完成这个任务，并获取密钥斗篷内部id（uuid）并从中生成一个数字id 脚本映射器应该接受javascript，但没有文档或操场来帮助我调试结果 这段代码似乎有效，但我无法在我的用户信息中获得结果 var id = user.Id.replace(/-/g, '').substring(0,10

我目前有一个RealmResourceProvider用于我的领域“测试”。它的网址是http://localhost:8080/auth/realms/test/domainextension. 我希望用户在域中经过身份验证才能访问此页面。但是，现在任何人都可以访问此页面，即使未经验证。是否有某种神奇的功能，如： session.requireUserLogin(); 我希望用户在登录时被重定向到领域身份验证表单，然后重定向到RealmResourceProvider URL。您需要转到身份

我们如何使用CRD来使用或创建新的KeyClope主题 对于问题的第一部分，如果您想添加/更改KeyClope操作员本机识别的字段（即领域主题），您需要做的唯一更改是添加到每个领域CRD，如下所示： spec: realm: id: Realm_ID ... loginTheme: "my_login_theme" 对于第二部分（即创建新的KeyClope主题）： 你不能。首先创建新主题，将新主题的文件夹添加到keydeport部署中，然后添加到

我们正在尝试使用postgres db作为单独模式下的数据库运行KeyClopeKeyClope\u模式发生错误 02:53:07,349 INFO [org.keycloak.connections.jpa.DefaultJpaConnectionProviderFactory] (ServerService Thread Pool -- 58) Database info: {databaseUrl=jdbc:postgresql://postgres:5432/keycloak_dash