我正在使用KeyClope运行我的web应用程序，所以第一页显示的是用户名和密码表单。我想创建一个流，即它应该只要求用户名验证表，然后继续。如何执行此任务。您需要编写只接受用户名作为输入的自定义验证器。 成功后将流程与安全问题流程链接。 您不想询问密码吗？仅通过用户名登录应用程序？是。我只想问用户名。我需要对流量做一些额外的设置吗？但应用程序的安全性呢？最好是使用OpenId登录，在这种情况下，这是更好的选择。

是否可以从用户自助服务面板（-/auth/realms/realms/account）触发用户所需的操作 我已经添加了配置手机号码的步骤（实际操作、执行就绪项目和添加SMS代码检查步骤），并且手机号码是在用户首次登录时配置的，但用户无法在之后更改其号码 我不能简单地将电话号码添加到帐户面板，因为该流程强制用户输入短信发送的代码，然后将号码保存到用户帐户。如果没有所需操作定义的流程，用户可能会输入错误，无法再次登录 是否可以添加带有自定义操作触发的按钮/链接UserRequiredAction

我正在尝试使用Postman测试Key斗篷的RESTAPI，请遵循以下文档 https://www.keycloak.org/docs-api/7.0/rest-api/index.html#_users_resource 我可以使用 http://localhost:8280/auth/realms/dev/protocol/openid-连接/令牌 但如何使用上述令牌调用其他API。 例如，根据keydape doc-GET/{realm}/users应该用于获取realm中的所有用户，但在

一个测试web应用程序链接到KeyClope重置凭据页面： http://localhost:9990/auth/realms/test/login-actions/reset-credentials?client_id=test-web&kc_locale=en 我们使用默认的keydrope主题，并在keydrope docker映像11.0.2上运行 UI工作正常，但不遵守kc_区域设置，并且KeyClope页面上的UI语言开关也不工作。UI开关确实更新URL中的kc_区域设置，

我无法获取示例中的用户组。 样本来自： 看看我们的测试套件。例如： 用户所属接收组示例中的示例代码： List<GroupRepresentation> membership = realm.users().get(user.getId()).groups(); 当我尝试获取用户时： //this line works final UserResource userr = this.keycloak.realms().realm("myrealm").users().get("

为了能够重复部署keydepeat，我尝试使用导入功能在keydepeat中创建客户机。​ 我注意到，当我导入一个客户机时，与领域相反，“授权启用”标志没有设置为true，即使我在导入的JSON中将其设置为true。如果在导入后尝试将其设置为true，则会出现错误，除非首先关闭“已启用服务帐户”，然后尝试启用“已启用授权” 我发送的JSON如下所示： { "clientId" : "hello-world-authz-service", "secret" : "secret", "a

我希望能够使用auth0作为身份提供者，通过auth0完成所有登录部分，并使用keydepot作为授权管理器，通过keydepot完成所有用户权限管理。有什么办法吗？有 Key斗篷允许您为自定义身份提供程序创建映射器，以便您可以将角色和属性从提供程序提取到Key斗篷。这样，您就可以在KeyClope中使用ABAC或RBAC，并且仍然可以通过Auth0进行用户权限管理 首先，您可以通过OpenID Connect或SAML2将Auth0添加为身份提供程序。转到Auth0应用程序配置>高级设置>端点

我尝试使用keydove apikey将安全性添加到在graviee.io中定义的Api中 我试图在api配置文件中添加资源，但找不到资源keydape提供程序来粘贴keydape json文件。如本自述的最后一个屏幕截图所示： 我使用Gravitee.io 1.24最后一张docker图像和Keyclope 5.0.0 请帮帮我- 您需要下载KeyClope资源插件，并将zip文件拖放到实例网关和管理的“插件”目录中：您可以在以下链接找到它： 祝你今天愉快：

如何在空闲超时后实现客户端服务的注销 服务由KeyClope+应用程序网关保护 网关是node.js应用程序，它使用保护服务的URL，因此在浏览器访问URL时需要进行身份验证。（重定向到登录url） 服务通过检查访问令牌网关中存在的角色在成功身份验证后接收并附加到请求，从而在本地强制授权 钥匙斗篷也在大门后面 我考虑添加keydape代码，它将通过一些消息总线通知所有对会话超时事件感兴趣的服务 提前感谢。keydape通知参与会话的所有客户端，该会话将被终止（通过超时或显式注销请求）。唯一的先决

我目前正在设置一个新的KeyClope实例，并尝试实现以下目标： 用户将被放置在 -团体 -这些组将获得特定于客户端的角色 例如，我有“发布者”角色和几个发布者组：Publisher1、Publisher2、 因此，当用户登录时，我可以确定他是否是出版商，然后让他访问网站上的一组特定功能。 然后，小组应缩小他将收到的所有信息的范围 就像该角色将授予他访问RESTAPI的权限一样，该组将过滤他将收到的结果 在SQL中：SELECT*FROM xyz，其中publisher\u id=？ 在令牌中，

我正在使用gitea（1.8.3），现在我想将它与KeyClope和OpenID connect结合使用。 到目前为止，基本的通信工作正常，可以使用keydove注册和登录 现在，我尝试只允许具有特定角色“gitea_user”的用户进行连接。用户通过其组获得角色。我在授权配置、权限等方面做了很多尝试，但客户机中的每个用户都可以登录或注册gitea。我的问题是，在KikLuk（或什么）的设置中，我必须考虑什么？ 我对Key斗篷和gitea还是个新手，也许我错过了一个大洞系统。到目前为止，我还没有

在KeyClope web控制台中，可以使用类似url的url重置密码 . 但用户总是需要填写电子邮件。当我从另一个应用程序重定向到此页面时，我已经知道该电子邮件，所以我想预先填充它。这有可能吗？ 我已尝试添加参数？用户名=some@email.com但这不起作用，用户名/电子邮件字段仍然为空

当使用KeyClope进行授权时，它允许创建受保护的资源。但它只允许定义URI。如何为资源添加HTTP方法 虽然它似乎允许我们定义这样的细节，但keydape如何能够将HTTP方法映射到资源 提前谢谢 如果希望将作用域映射到HTTP方法，则需要将HTTP方法设置为scope为true 您可以查看策略实施者文档 使用spring boot adapter，您可以将keydove.policy enforcer config.http方法设置为scope=true，并且您的资源将与诸如GET、PUT

我正在使用KeyClope作为我的应用程序的身份验证服务 我们有两个应用程序将使用同一领域进行登录，但我们希望每个应用程序有不同的SSO会话空闲时间 例如： 应用程序A-我们希望空闲时间最多为30分钟 应用程序B-我们希望允许空闲时间最多45分钟 但是，控制空闲时间的设置是在领域设置中设置的，而不是在客户端设置中设置的，这使得我们很难解决上述场景 到底有没有办法解决keydove的问题？或者在X个空闲时间后从应用程序B发出后台请求 谢谢 丹尼尔你试图实现的目标与SSO的目标相矛盾。SSO意味着您

我使用KeyClock来保护部署在Tomcat上的一些web应用程序。安全部门要求禁用清除登录和管理事件日志的功能。我正在搜索web和文档，但找不到任何信息。。。有可能吗？如果KeyClock没有这样的功能，是否有人试图使用CSS隐藏按钮？提前谢谢。我的建议： 为KeyClope控制台管理员创建一个组 将大多数权限（领域管理角色）授予此组，但角色管理事件 为此组中的所有公司KeyClope管理员创建一个用户帐户 在极端情况下，严格保留principal admin帐户，这样任何人都不应该使用它

无法加载管理控制台。我已经按照文档中的说明设置了Nginx confif nginx在充当keydove的ssl代理时，需要提供X-forward-For和X-Forwarded-Proto头 e、 g喜欢那样吗 location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy

我们正在尝试将KeyClope作为SSO解决方案进行评估，它在许多方面看起来都不错，但文档中痛苦地缺少基本知识 对于http://localhost:8080/对于领域测试，什么是和 我们对使用keydepot自己的客户机库不感兴趣，我们希望使用标准的OAuth2/OpenID连接客户机库，因为使用keydepot服务器的客户机应用程序将使用多种语言编写（PHP、Ruby、Node、Java、C#、Angular）。因此，使用Key斗篷客户端的示例对我们没有用处。经过大量的挖掘，我们或多或少地获

我目前正在处理我们的自定义EmailSenderProvider SPI，我得到了一个NullPointerException，因为该提供程序在运行时未成功实例化并返回null。我们已经构建了一个自定义的联合提供者，它已经可以工作，并且位于同一个jar文件中。我遵循了文档，为EmailSender创建了Provider和ProviderFactory类，并在/META-INF/services文件夹中为Provider添加了一个新文件。部署模块时，可以在服务器信息页面上看到它 有人知道我该如何解

我在本地主机上设置了KeyClope 4.8.2-Final，并按照上的文档中所述启用了SSL 服务器可以启动，但我无法在localhost:8443上打开服务器页面 openssl s_client -connect 127.0.0.1:8443 由于SSL错误代码42 4566025836:error:1401E412:SSL routines:CONNECT_CR_FINISHED:sslv3 alert bad certificate:/BuildRoot/Library/Caches

钥匙斗篷中有两个领域：大师和定制。两者都有管理员用户 自定义领域管理员添加新用户new_admin，并通过管理控制台将角色admin分配给他 用户可以通过auth/realms/custom/account/访问其帐户详细信息 但是，当新的_admin用户尝试在auth/admin/custom/console/处进入领域管理控制台时，您无权访问请求的资源POP 即使主领域管理员将新的管理员用户添加到自定义领域，也会出现同样的问题 我用的是KeyClope 4.3.0 是bug还是领域不能有两个

我有一个设置，其中keydrope充当身份代理。有两个Oauth2.0身份提供程序配置在KeyClope中。 一个用户进入我的应用程序，被转发到KeyClope，并显示两个按钮。这些按钮可用于通过IdP 1或IdP 2进行身份验证。一旦用户通过身份验证，keydape将收到JWT令牌，并将向客户端发出自己的JWT令牌，其中包含从所选IdP收到的JWT令牌的声明。到目前为止还不错 现在我有了一个用例，我的应用程序将嵌入另一个CRM平台。假设这个CRM平台使用IDP1。因此，用户可以访问CRM并通过

我正在使用IDP提供程序进行身份验证，并试图绕过标准的KeyClope登录屏幕（因此我需要立即转到IDP特定的授权屏幕）。根据此文档，我们可以简单地提供此提示。虽然那不起作用 让keydapeauth:any=newkeydape（'keydape.json'）； keydapeauth.createLoginUrl（{idpHint:'ad oidc'}）； 它以失败告终 Uncaught TypeError:无法读取未定义的属性'redirectUri' 在keydove.kc.crea

我有一个spring boot web应用程序，带有一个direct to KeyClope 我的spring boot application.properties如下所示： keycloak.auth-server-url=http://localhost:8888/auth<br> keycloak.realm=myrealm<br> keycloak.public-client=true<br> keycloak.principal-attribute

我想自己实现keydepeat的身份验证部分。这是为了能够添加与另一个身份服务器通信的自定义身份验证。我在keydepate文档中看到，我们有可以扩展的身份验证SPI，但我没有找到任何关于这方面的教程。文档链接： 我正要在git-hub-Ref上检查keydeport示例提供程序代码以进行身份验证。但是，当我在本地插入项目时，找不到keydeport的使用版本。此外，我在任何keydape jar（最新版本）中都找不到包org.keydape.authentication下的类 据我所知，的Au

我正在使用keydape（OIDC）进行身份验证，我希望将用户的权限添加到他们的访问令牌中 我的问题是，我们的权限是由一个专用的应用程序管理的，我们可以通过API来恢复它们 因此：如何通过从远程API获取这些授权，将授权添加到访问令牌的声明中？为您的OIDC客户端配置映射器。只需配置？我可以看到我可以用映射器添加简单的字段，但我找不到获取远程数据的方法…当然，你可以编写自己的映射器。随机示例

当我尝试将KeyClope用作代理登录到它时，我遇到了一个错误。我正在使用另一个KeyClope实例的凭据登录。到目前为止，我被重定向到正确的登录页面，但在输入凭据后，我收到一个错误 我已经按照基本步骤在计算机1上设置了KeyClock身份代理。我已经使用代理生成的重定向URI在另一个KeyClope实例中的计算机2上注册了一个新客户端。然后使用计算机2上的客户端配置在计算机1上的Identity Broker上填写授权URL、令牌URL、客户端ID和客户端机密 我可能会遗漏重要字段。附加图片以

我已经将keydape设置为SAML代理，身份验证由当局提供的外部IdP完成。使用此IdP登录的用户都被接受，我们只需要从KeyClope获得一个OAuth令牌即可访问我们的系统。 我尝试了使用H2的默认设置和使用外部MariaDB运行的默认设置 外部IdP为我们提供了用户全名和个人ID。这两个数据都包含在GDPR中，我真的不喜欢将这些数据存储在DMZ中运行的数据库中的声音。在后端打开keydepeat访问数据库也不是一个好的解决方案，特别是当我不需要存储用户时 在没有数据库的情况下运行的好处是

我们的旧身份验证机制在设计上为每个用户提供了强制性和不可变的电子邮件。在将旧的authentincation机制导出到Key斗篷4.6.Final中之后，我们通过电子邮件向用户提供了旧的引用，因为这实际上从系统开始就被用作id。 Key斗篷用户管理UI作为整个系统的一部分交付给客户端。现在我们面临一个问题，客户端的用户管理员能够创建没有电子邮件的用户，甚至最糟糕的是，他给用户一封电子邮件，然后超时更改。随着用户群的增长，保留此选项最有可能为客户端创建bug 我一直在google、sof、Keyc

我使用keydape（KC）作为我的身份代理与OIDC 1） 浏览客户端应用程序并按下登录按钮 2） 幕后登录按钮将调用KC auth end point，该端点将显示IDP登录页面 3） User1为登录页面添加书签，输入凭据并开始使用客户端网站 4） User1关闭浏览器而不注销 5） User2立即出现并单击书签页面，该页面显示IDP登录页面 6） User2输入凭据并获取以下错误： [错误信息][1][1]： 7） 一旦用户按下“返回应用程序”，就会显示user1屏幕（向user2显示u

我正在使用此端点触发keydape:/admin/realms/{realm}/users/{id}/execute actions-email中的电子邮件 我需要在电子邮件中提供我自己的文本作为输入。此输入是可变的，不能在Key斗篷提供的电子邮件模板中硬编码 是否有办法在KeyClope电子邮件模板中设置一个新变量，并使用上述API或任何其他方式提供该变量？这是否回答了您的问题？这回答了你的问题吗？

我们的web应用程序使用KeyClope 11.0.2和适当的java脚本适配器。Key斗篷和web应用程序使用kong入口控制器（和api网关）作为单个实例部署在k8s环境中 当浏览器点击平台url时，一切正常。用户可以通过KeyClope自行注册、登录到目标应用程序等 但是，当URL（https://www.myapplicationurl.com）中的前缀为“www”时，在KeyClope登录表单上提交凭据会导致以下错误 我们很抱歉。。。发生错误，请通过应用程序再次登录 KeyClope控

我正在尝试将会话注销添加到KeyClope原型中 注销获取请求如下所示： http://localhost:8180/auth/realms/myrealm/protocol/openid-connect/logout?id_token_hint=eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJxOXlGaUZaQzVWWnUxWC1lSHQ5STdvRjFsOVByMHlpQ1dqSkJKU3l6dmdnIn0.eyJleHAiOjE2MD

我正在尝试在keydepeat中实现SAML的单次注销，但是文档中没有正确地提到这一点，这让人感到困惑。我在寻找如何实现它的确切步骤。到目前为止，我所做的是： 生成注销请求负载，base64编码，url编码，并将其作为参数发送到注销url。假设领域名称是Abc http://auth-server/auth/realms/Abc/protocol/saml?SAMLRequest={encodedSAMLRequest} saml有效载荷为 <samlp:LogoutRequest xm

我在docker上运行了一个KeyClope 12.0.2应用程序。现在我正在尝试更新领域登录屏幕的主题。无论何时我去改变领域主题设置的主题- UC1-打开KeyClope实例，将显示正确选择的主题登录页面。没问题！ UC2-打开我的应用程序，单击登录，登录页面将始终具有KeyClope主题，即使我尝试为主域或特定域选择不同的主题 这就是每当我从任何配置为使用KeyClope作为SSO的应用程序转到这里时，登录屏幕上都会出现的主题，无论我从领域设置中选择哪个主题，它都会出现- 我已经在KeyC

我正在使用KeyClope授权服务器来管理我的应用程序权限。但是，我发现独立服务器只能在本地访问 http://localhost:8080/auth起作用，但不起作用http://myhostname:8080/auth。此问题不允许从内部网络访问服务器。独立的KeyClope服务器运行在JBoss Wildfly实例的顶部，出于安全原因，默认情况下，此服务器不允许从外部访问它（它应该仅用于管理控制台，但在使用KeyClope时似乎会影响每个url）。必须使用-b=0.0.0.0选项启动它才能

用户Ankit 他分为两组，分别是航班组和酒店组。 在飞行方面，他是一名经理 在酒店里，他是一名主管 我们可以在Key斗篷的不同组中将这些不同的角色分配给Ankit吗？我认为您必须将这些角色分开，以特定于该组-您需要一个航班经理角色和一个单独的酒店经理角色等等 您可以将角色分配给组，但可以将这些角色有效地分配给组中的所有成员 将角色分配给用户时，仅将角色分配给用户，而不是组中的用户： 这里有一个问题。基本上，组只是收集用户的方式，而不是访问控制结构的一部分 如果酒店和航班对应于应用程序，那么你

我知道有管理API来获取返回用户表示数组的用户列表 GET /admin/realms/{realm}/groups/{id}/members 返回 https://www.keycloak.org/docs-api/2.5/rest-api/index.html#_userrepresentation 但是有没有办法通过自定义属性获取用户 当前的KeyClope API版本是4.8，并且有以下API: Get users返回根据查询参数筛选的用户列表 见文件： API中只有此“搜索”可用。

我是KeyClope（6.0.1）的两个自定义SPI，我还需要创建一个将发送给用户的自定义操作令牌 我已经创建了一个自定义事件监听器、电子邮件发送器、所需操作，并将所有这些都部署在一个jar中 当我试图将操作令牌处理程序与适当的清单条目放在一起时，我得到了以下结果 Caused by: java.lang.NoClassDefFoundError: Failed to link com/mycompany/providers/registration/actiontoken/Invitati a

我正试图用KeyClope将我的头脑围绕在仅承载客户机的概念上 我了解公开与保密的概念，以及服务账户的概念和grant\u type=client\u credentials之类的东西。但是由于只有持有者，我被卡住了 谷歌搜索只显示了一些讨论的片段，如： 您不能仅使用承载方客户端从Keyclope获取令牌 文件也不清楚。他们所说的是： 仅承载访问类型意味着应用程序仅允许承载令牌请求 好的，如果我的应用程序只允许承载令牌请求，那么如果我无法使用客户端id/客户端机密从KeyClope获取令牌，我如

从 有人知道了吗？我按照奥斯卡的建议尝试了一下，但仍然不起作用。 未注释的行可以完美地工作 注释的行不起作用。我得到一个错误，上面写着“/clientmapper.sh:59（或我未注释的任何行号）：-s:未找到” 我按照Oscar的建议进行格式化，并在docker exec命令后使用-I来完成这项工作。它现在工作得很好 sudo docker exec -i $keycontainer /opt/jboss/keycloak/bin/kcadm.sh create \ clie

我运行了keybeave实例 docker run -d --name keycloak \ -e ROOT_LOGLEVEL=INFO \ -e KEYCLOAK_LOGLEVEL=INFO \ -e KEYCLOAK_USER=admin \ -e KEYCLOAK_PASSWORD=admin \ -p 8080:8080 \ -it jboss/keycloak:master -b 0.0.0.0 docker logs -f keycloak 然后访问，获取内部服务器错

我想在我们公司中使用keydave作为身份提供者 我定义了一个领域和三个客户端（我有三个应用程序，我为每个应用程序定义了一个客户端） 我想分离每个应用程序的登录和注销过程。例如，当我登录到app1、app2和app3，然后从app1注销时，app2和app3保持登录状态 在StackOverflow中，我找到了一些将每个应用程序的登录过程分开的解决方案，如下所示： 1. in admin console, go to Authentication 2. make a copy of Brow

我使用的是Key斗篷10.0.2的docker图像。我希望Key斗篷提供Hasura可以使用的访问令牌。Hasura需要这样的定制声明： { "sub": "1234567890", "name": "John Doe", "admin": true, "iat": 1516239022, "https://hasura.io/jwt/claims": { "x-hasura-allowed-roles": ["editor","user", "mod"],

我想在我的应用程序中使用keybeave。由于我们当前的数据模型需要用户名、密码和公司的缩写，我想知道是否有办法在Key斗篷的登录屏幕中添加一个附加参数，其中必须指定公司的缩写。在身份验证过程中，应检查用户是否属于该公司，如果是，则创建的令牌应包含该公司的缩写 到目前为止，我设法修改了登录主题，如下所示： 我知道可以通过客户端作用域和属性映射器向令牌添加其他信息，但据我所知，这仅适用于单个用户 我还想知道，在keybeave中管理公司的最佳方式是什么 提前谢谢。我也有类似的问题。有人有什么想法

我的Quarkus项目中有2个不同的rest端点： /api/ws/... /api/web/... 根据我的理解，使用keydove之前我就可以获得一个承载令牌，使用这个令牌我可以访问端点。 但是，如果我只想用基本身份验证（用户名+密码）来保护“ws”端点，我该怎么做呢？ 那么我还有包含在SecurityIdentity（主体）中的用户 当前的“application.properties”如下所示： # AUTH quarkus.http.auth.basic=true quarkus.h

是否有办法从身份提供者转发原始访问令牌？还是以API请求的形式请求 我们需要将其与IdP特定的API一起使用。将您需要的数据映射到KeyClope用户，然后您可以将其转发给客户端 您可以在此处阅读更多内容：不起作用，我认为这只适用于用户信息中的字段！我能够为“idp”和“图片”配置文件映射“硬编码属性”。

运行以下命令以导入具有角色的用户 ./kcadm.sh config credentials --server http://localhost:8080/auth --realm master --user admin --password [pass] ./kcadm.sh create users -r [realm_name] -f user-admin.json user-admin.json看起来像： { "username": "adminLocal", "enable

我在KeyClope中有两个类似的用例 密码重置 首先，我想让用户重置他们的密码。用户已经在使用一个应用程序，因此最好将其集成到那里。我在其中创建了一个小的anngular模块，并试图通过KeyClope密码遗忘表单提供的相同机制触发一封密码遗忘邮件。但我不知道他们是如何创建这个动作链接的： 执行似乎总是一样的，但我不知道从哪里开始 我目前的解决方案是，当keydove和应用程序在sam域上运行时，从keydove请求原始站点，提取链接，并在用户输入用户名后向该URL发出post请求。但这有点脏

我在使用keydeporestapi更新用户时遇到问题，我的请求都不起作用 例如，我正在尝试基于获取所有领域用户。我在此端点上发送get请求 http://keycloak.my/auth/realms/my_realm/account/users 但是得到404错误 如何让它工作？如果我从文档中获取此端点，为什么会得到404？此URL： 这是不正确的 正确的答案是： 对于所有这些端点，基本URL是${keydepoip}/auth/admin/

假设我有两个注册页面： 1) Student : /register-student 2) Tutor : /register-tutor I have another URL for login : /login 现在，我为他们每个人都有自己的回调URL /callback-student /callback-tutor /callback 注册时，一旦用户通过身份验证，我们将根据回调分配相应的角色。然后将用户重定向到主页 注意：注册完成后，我们不允许对用户进行身份验证。相反，我们