我的项目有一个具有多个角色的SAML身份提供程序，我们希望将其映射到KeyClope服务器中的单个角色 不幸的是，isAttributePresent方法期望在SAML响应中只映射和检查一个IdP角色 如果为映射到单个角色的每个IdP角色创建一个映射器，则登录流将在第二次登录后失败，因为映射器将逐个进行评估，如果要评估的最后一个映射器失败，则该角色将被删除 制图员： mapper1-IdRole1->KC_角色 mapper2-IdRole2->KC_角色 用户： 用户1-具有IdpRol

设置aud声明以避免以下错误的正确方法是什么 unable to verify the id token {"error": "oidc: JWT claims invalid: invalid claims, 'aud' claim and 'client_id' do not match, aud=account, client_id=webapp"} 我通过硬编码aud声明与我的客户id相同，解决了这个错误消息。还有更好的办法吗 这是我的docker compose.yml： ver

我正在尝试为KeyClope编写一个SPI，我需要能够添加用于身份验证的选项 当用户使用用户名和密码登录时，我想用另一个应用程序验证该用户。为此，我希望为用户提供多个登录选项，并根据这些选项根据选择继续进行特定的挑战 例如： 用户输入用户名和密码 向用户发出选择a/B/C 如果选择A，他必须输入他的电子邮件和出生日期。如果选择B，用户必须输入宠物的名字。（这些只是例子） 到目前为止，我已尝试从同一验证器调用两个挑战，但无法使其工作 我已经看过了，但似乎需要添加太多不必要的流 所以我想知道是否有一

我正在尝试将一个示例用户联合提供程序迁移到一个新版本的keydape（），但没有找到任何关于不兼容API更改的明显文档（即，UserFederationProvider接口似乎已被几个更具体的接口所取代，但似乎没有任何关于如何在它们之间迁移的示例） 我认为我通过遵循KeyClope示例获得了大部分更改，但我不清楚Smartling示例中的RemoteUserFederationProvider在哪里使用了UserModel接口，该接口有一个updateCredential方法，该如何实现在最新版

我正在尝试使用管理客户端SDK从KeyClock中获取一些用户数据。我构建了这样的客户机： Keycloak kc = KeycloakBuilder.builder() // .serverUrl("some_url") .realm("some-realm") .username("admin") // .password("password") // .clientId(

我已经安装了keydepage，并在NodeJS上运行 我看到您可以创建组并为这些组分配属性。是否可以从NodeJS应用程序访问这些属性 我甚至找不到组，更不用说它们的属性了。是的，你可以。但几乎没有关于如何实现这一目标的官方文件。您可以通过客户端映射器返回大多数KeyClope属性、组和角色。默认情况下，未配置任何。 要配置额外的映射器：在管理控制台中，选择客户端，然后选择映射器选项卡。这会让你看到地图绘制者的列表 您可以在此处添加不同类型的映射器。添加映射器后，您可以决定从客户端对KeyC

我们使用的是keydove 4.2.1.Final，我们注意到了一些奇怪的问题。keydove使用的是外部数据库[mariadb] 如何重现该问题？ 安装并运行KeyClope 使用外部数据库存储数据，我们使用mariadb Keyclope启动/运行，MariaDB启动并运行 现在停止Mariadb服务systemctl停止Mariadb，然后启动Mariadbsystemctl启动Mariadb，并检查keydepot是否工作 尝试登录到KeyClope并检查它是否不允许登录 在服务器日志中

在docker-compose.yaml中使用一个基本的设置，只需keydove+keydove网关+一个基本的helloworld服务器，我就可以将端口绑定到localhost 在hittint localhost:3000/app上的浏览器中，它请求登录，登录后进入307的循环，直到给出错误 skynet redirected you too many times. 这是docker日志 gatekeeper_1|1.5577503597710125e+09错误请求中未找到会话，重定向授权

正如我在这个链接中看到的， 客户端中应该有一个授权选项卡，如下图所示： 但我在KeyClope面板中找不到，如下图所示： ps：我使用此图像在docker上使用KeyClope:图像：jboss/KeyClope，因为您的客户是公共的。设置：访问类型：机密，然后启用授权启用并保存。刷新页面并仔细检查这些配置值

是否可以与客户端一起导出客户端角色？ 如果没有，是否有解决方法（例如在重新导入JSON之前手动修改JSON？）或其他可以自动化的流程？您找到解决方法了吗？我也有同样的问题。我需要将客户机的所有必要设置复制到另一个keydove实例，比如从dev复制到prod。我无法理解为什么keydove不支持这个简单的场景。此外，在将客户机（在json中没有任何修改）导出并导入到新的KeyClope实例中时，由于一些愚蠢的错误，导入失败。很漂亮的马车。

我对SAML相当陌生，特别是将应用程序与Key斗篷集成。我遇到了问题，这是的一部分。SP的要求说明URN需要以密码保护传输结束。我在返回的SAML断言中得到的输出以unspecified结尾： 我的输出：urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified 所需输出：urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport 在KeyClope中，我在哪里可以定义它？我发现：

我有一个正在生产的密钥斗篷，我需要我的用户登录到一个移动应用程序，该应用程序是使用该密钥斗篷开发的react native。到目前为止，我一直使用AppAtuh作为应用程序内浏览器的正常登录流程，但现在我收到了用户的请求，比如在登录时在应用程序内 我试过的 我将手机登录的KeyClope主题与手机应用程序UI融合得如此之深，以至于它可以像普通屏幕一样使用react WebView打开 从纸面上看，这个想法是可行的，但在现实生活中，我无法利用放置的KeyClope ID cookie。因此，每当

我最近在Angular web应用程序中使用KeyClope，可能遇到了一个错误或bug 我尝试在主域中按RegenerationRegistrationAccess令牌，如下面的屏幕截图所示。 （测试目的） 但在此之后，管理面板开始崩溃，不断刷新（无限循环），并出现以下错误： 我不知道该怎么办。有没有办法在不丢失数据/设置的情况下重置我的KeyClope？ 我的问题与此类似：。可悲的是，它没有评论，这就是我寻求帮助的原因 谢谢大家! 更新：我已经试过了 checkLoginIframe: fa

我有一个应用程序，用户现在可以在不同的上下文中工作：在同一个客户端应用程序中，他可以切换上下文，为一家公司工作1作为“管理员”，或者如果他切换到第二个上下文，他可以为该公司工作2作为“编辑”… 这是通过使用自定义的自制授权模块完成的，但我们现在正尝试使用openid connect，因此我们正在尝试使用KeyClock找到一些解决方案。 是否有可能在KeyClock中保证同样的事情？这是可能的。但是，任何不了解定制实现内部的人都无法为您提供解决方案 Key斗篷提供的授权服务非常灵活，当然也很复杂

因此，我使用keydape作为身份验证机制，并通过修改login.ftl文件来定制登录页面。到现在为止，一直都还不错。我正在我的login.ftl中导入template.ftl文件-按照Key斗篷文档的指示-到目前为止一切正常。在这个template.ftl文件中，有一种方法可以访问错误消息，如下所示 <#if displayMessage && message?has_content && (message.type != 'warni

我正在使用KeyClope保护我的web应用程序，但它在url中保留了这个非常丑陋的重定向\u片段 因此，不要像这样有一个友好直观的url： 我有这样的想法： 有什么办法解决这个问题吗？我也有同样的问题……你找到解决办法了吗？

我正试图找出如何为我的应用程序建模 在应用程序中，用户属于组织，每个组织可以有多个用户。此外，每个组织都可以有自己的用户密码策略，由组织管理员决定 在KeyClope中，有什么好方法可以对此进行建模 考虑在每次创建新的组织帐户时通过REST api创建一个新领域。每个领域映射到一个组织 我的客户端（web应用程序）必须在两个领域之间共享 这种用例在任何地方都有记录吗 感谢如果每个领域有不同的web应用实例，请使用不同的领域配置。如果所有内容都在同一个应用程序中，并且您需要在不同的组织之间共享信息

我正在研究KeyClope身份验证和授权。我想在负载平衡器级别对用户进行身份验证。是否可以在检查实际应用程序身份验证之前过滤掉用户。是的，但您需要支持OIDC/SAML的第7层负载平衡器，例如F5、AWS ALB等。感谢您1月的回复。我们使用的是大IP，但它不是由我的组织维护的，因此我们无法检查或添加任何配置。还有别的办法吗？是否可以在虚拟主机级别检查oidc作用域？

我在angular 9中有一个应用程序，其中包含angular Keyclock 7.3和Keyclock.js 11 在文档演示之后，我发现了以下错误 TypeError: Cannot read property 'ngOriginalError' of undefined at getOriginalError (core.js: 6170) at ErrorHandler._findOriginalError (core.js: 6265) at Error

我正在尝试连接Spring应用程序KeyClope，但出现以下错误： 在我进入我的应用程序并被重定向到KeyClope进行身份验证后，我在浏览器中收到一个错误： 192.168.1.66 redirected you too many times. 完整url URL: http://192.168.1.66:9092/keycloak-sp-example/sso/login?state=139%2F1ed115fb-4d4f-468c-9a72-845f9cfa9cdb&code=

我试图在icCube前面使用keydape时遇到重定向循环 到目前为止已完成： 在Linux-Debian 10系统上安装icCube，8Gb作为VMWare中的虚拟机（遵循中的建议） 创建了两个角色：IC3\u admin（所有访问）和IC3\u sales（访问多维数据集销售） 根据更改的icCube.xml icCube/控制台已激活 在同一台服务器上安装了KeyClope 关于钥匙斗篷： 创建了领域icCube和客户端icCube，共有2个用户：管理员和用户 创建了两个角色：管理员

这是我用来创建访问令牌的curl命令，但该访问令牌将在60秒后过期 curl -d "client_id=admin-cli" -d "username=myadminuser" -d "password=myadminpass" -d "grant_type=password" "http://localhost:8080/auth/realms/myrealmname/protocol/openid-connect/token" 在使用curl创建时，有没有办法增加它的时间

我们开发了一个Google Home Action，将其与Key斗篷OAuth和自定义Webhook集成在一起。Key斗篷的OAuth访问令牌的有效期为15天 但在长时间不活动（约1-2个月）后，测试链接被禁用，谷歌助手回复消息“目前无法使用”{Action Name}，用于所有智能家居操作语音命令，如“同步我的设备” 在此之后，我们还为操作测试启用了深层链接URL中的测试 但即使在启用测试后，它仍然为所有语音命令提供相同的错误消息 在Webhook或Google Home Action配置端，

有没有办法通过CLI为KeyClope独立安装配置reCAPTCHA？更准确地说，是否可以在kcadm.sh的帮助下执行所述的所有步骤？您可以使用 第一步是获取管理令牌，以便调用Rest API： curl -d "client_id=admin-cli" \ -d "username=$ADMIN_NAME" \ -d "password=$ADMIN_PASSWORD" \ -d

我观看了最近Youtube上的KeyClope简介，并在这里使用了以下示例： 我已经做好了所有的工作，我正在尝试测试更多的应用程序会是什么样子。因此，我在混合中添加了一个额外的Jenkins应用程序，并将其配置为使用OIDC插件进行身份验证。很简单，效果很好。现在我有一个领域，有两个客户端，jenkins和js控制台。我看到一些意想不到的行为，想知道我是否做错了什么，或者只是对Key斗篷能提供什么有一个基本的误解 我不明白。如果我访问js控制台应用程序并登录，然后打开Jenkins的URL，我将

我正在玩keydove并创建了一个领域。我已将登录设置为启用忘记用户名和验证电子邮件。在我输入的电子邮件选项卡中 host - smtp.gmail.com port - 477 username - ***@gmail.com SSL - enabled Authentication - enabled with username and password 现在，当我进入登录页面并单击忘记密码或注册用户时，KeyClope将无法发送电子邮件 我得到了错误 ERROR [org.keyclo

我试图配置一个支持组，该支持组可以访问特定的客户组，但不能访问所有客户组，因此我创建了一个新用户组和支持组（该组具有查看和管理用户的真实管理角色，以便我可以查看那些管理控制台菜单）和添加的策略，这样，支持组只能查看和管理该组以及该新用户组的用户，而不能查看和管理用户组的用户。不幸的是，在使用支持组的用户登录后，我可以看到所有用户和组，而不仅仅是新用户组的用户和组 我已经使用了领域管理客户端的授权评估器。有趣的是，如果我选择了support_组的新用户和具有查看范围的user_组资源，它会正确地确

通过遵循KeyClope文档： 我创建了一个组映射器，如下所示： 但是我看不到一个选项来命名keydape组，以便导入的ldap组可以映射到这个组 相反，当我“将LDAP组同步到密钥斗篷组”时，将创建一个名为LDAP组的新组 您知道如何将现有ldap组映射到单个KeyClope组吗？默认ldap提供程序不提供此选项，唯一的方法是自定义联合提供程序。如果需要，请在其中重写此逻辑。ImportSynchronization接口对此负责。您能分享一个示例或一个示例链接吗？我没有实现ldap，只是自定

我正在向PUT/{realm}/groups/{id}发送一个请求，向现有组添加一个组属性 PUT请求的主体如下所示： {"attributes":{"id":123}} 它失败并返回500个错误 文档不清楚“映射”模式的格式。显示“属性”字段类型为“映射”，但未定义。我尝试了几种格式，如： {"attributes":[{"id":123}]} {"attributes":{"key":"id","value":123}} {"attributes":[{"key":"id","value"

我正在尝试评估保护企业api端点的选项。需求是能够在细粒度数据级别保护端点，例如用户1可以访问客户1 获取api.com/customer/1 我已经发现了gluu和key斗篷，但我不确定这是否真的涵盖了我的使用案例，因为它们似乎是关于一个用户向另一个用户授予特殊权限，而不是用于保护应用程序中各个端点的东西 UMA资源通常表示端点。所以答案是肯定的，Gluu可以用所需的任何粒度（通过UMA资源定义和UMA RPT策略脚本）保护它 如果遇到更具体的问题，Gluu支持是获得帮助的好地方： UMA资源

我正在尝试导入已使用BCrypt散列的密码。我还需要导入一个带有密码的用户列表。 此外，遗留系统使用的bcrypt进程与keypove中实现的（PasswordHashProvider）相同 总之，最后一步是找到如何通过跳过BCrypt将我的用户从遗留系统导入（使用json文件）到keydape 有什么想法吗 Keyclope 6.0.1这在一篇漂亮的文章中得到了回答 基本上，您添加了KeyClope处理bcrypt哈希密码所需的两个JAR 然后，您向keydape管理API发出请求，添加用户

我为我的客户端设置了以下允许的重定向uri:exp://192.168.2.212:19000 使用以下URL进行代码交换后： GET /auth/realms/xxxxx/protocol/openid-connect/auth?code_challenge=m71Cl...D4hw&redirect_uri=exp%3A%2F%2F192.168.2.212%3A19000&client_id=3B03... X-Forwarded-For: 178.84.x.x X-Fo

KeyClope是否支持根据用于创建帐户的客户端对用户属性进行硬编码 e、 例如，如果用户通过客户端“门户”创建了一个帐户，请附加一个名为“signup\u client”的用户属性，其值为“portal”给出一点关于“由客户端创建”的上下文？通过管理API创建？通过注册流创建？通过外部身份提供者创建？

我跟随，以确保其余的服务。我能够获得访问令牌。然而，当我尝试使用令牌调用服务时，我得到了错误- 状况：401 WWW Authenticate Bearer realm=“bkofc”，error=“invalid_token”， 错误\u description=“未找到指定孩子的公钥” 我错过了什么？与领域设置有关吗？401实际上可能只意味着没有正确提供令牌。需要正确设置标题“授权”。当你做对的时候，它实际上工作得很好 Desides，你正在使用的文档是由一个人写的，他确切地知道该为人们做什

我正在研究如何使“忘记用户名”链接出现在登录页面上。根据添加此功能（）的PR，它看起来应该在您打开“忘记密码”功能时显示 我已经打开了这个功能，“忘记密码”链接现在显示在登录屏幕上并正常工作。我仍然无法显示“忘记用户名”链接 我找不到有关此功能的任何文档。如果有人能给我指出这方面的文档或管理界面中的正确设置，我将不胜感激 我试过： 在域设置->登录中，打开“忘记密码” 在领域设置->登录中，尝试“验证电子邮件”、“使用电子邮件登录”和“重复电子邮件”的所有可能组合 此后，“忘记用户名”链接已被

我是新来的钥匙斗篷，所以我的问题可能是小傻瓜。所以问题是，我可以通过API在域（即：ExpRealm）中创建用户吗？如果是，如何进行 我试过了，然后 curl --data "client_id"="admin-cli" --data "username"="admin" --data "password"="admin" --data "grant_type"="password" --request POST http://localhost:8080/auth/realms/master/

我如何在KeyClope中的领域中创建管理员用户？我尝试了/bin/add-user.sh-r myrealm-u admin-p 它给了我一个错误： * Error * WFLYDM0065: The user supplied realm name 'myrealm' does not match the realm name discovered from the property file(s) 'ManagementRealm'. Exception in thread "mai

我有2个keybeave实例，配置为独立HA。它们都使用相同的数据库。我在这些服务器前面放了一个负载平衡器。我使用带有有效SSL证书的https。 通过负载均衡器，我可以打开主页，打开登录页面。当我输入凭证并尝试登录时，它会在管理控制台页面和后台登录页面之间开始无休止的循环（我只看到它们的URL，屏幕是空的）。 但当我禁用其中一个实例并尝试登录时，一切正常。登录后，我可以启用这两个实例，但它们仍然可以正常工作 我已将代理地址设置为true SSL配置正确，因为我可以使用dns名称并查看我的有效证

嗨，StackOverflow用户 我正在努力使用keydrope配置，因为我们想将当前的身份提供程序更改为keydrope 我们当前的解决方案公开带有/openid前缀的url，这会导致发卡机构成为主机名/openid或主机名/openid/下的事件服务发现。众所周知的/openid配置 当我尝试使用keydave时，我所获得的一切都是/auth/realms/openid/。众所周知的/openid配置 有人知道如何删除keydape的前缀吗？而不是更改keydape URL（当然这有点困难

我将LDAP配置为具有角色LDAP映射器的用户联合，并成功地将具有其角色的用户导入KeyClope。 当我转到Users->{user}->Role Mappings时，我会看到与从LDAP导入的用户签名的每个角色，但当我转到roles->{Role}->Users In Role时，我什么也看不到 它是一个bug还是一个特性？或者我配置错了什么 请创建msad lds用户帐户控制映射器类型的映射器 它适合我。请创建msad lds用户帐户控制映射器类型的映射器 这对我很有效。我也面临同样的问题

当我从spring的官方网站使用Key斗篷的函数标识提供程序连接Key斗篷和oauth2项目时，Key斗篷的控制台显示“服务器上没有访问令牌” ERROR [org.keycloak.broker.oidc.AbstractOAuth2IdentityProvider] (default task-2) Failed to maenter code hereke identity provider oauth callback: org.keycloak.broker.provider.Iden

在单页应用程序（SPA）上，对域/graphql的域调用被重新路由到后端。前端和后端都通过KeyClope Gatekeeper实例进行保护 其思想是前端和后端共享kc访问令牌 现在，访问令牌在后端网守中过期。如果SPA在浏览器中刷新，前端将被重新路由到KeyClope，并且需要一个新的访问令牌。但是如果没有刷新，当令牌过期时，对域/graphql的POST请求将失败，状态代码为307。浏览器不知道如何处理此问题。浏览器日志记录给出一个“{”错误：“RESTEASY003065:无法使用内容类型

我想使用keydape CLI（kcadm.sh）生成一组具有某些属性（取自Web界面）的客户端，例如： 访问类型=机密 已启用直接访问授权=打开 是否存在可传递给Admin CLI的所有属性的引用？在这些例子中，我只能看到一些 基本属性。 谢谢您可以作为参考 注: Admin CLI通过向Admin REST端点发出HTTP请求来工作。 对它们的访问受到保护，需要身份验证 有关JSON的详细信息，请参阅ADMINRESTAPI文档 特定端点的属性

我正在使用spring引导文档 我已经在第4点停止了，我无法通过邮递员和curl生成令牌。请提供任何建议，尤其是针对上述文档。我的错误是客户端凭据错误 curl-X柱http://localhost:8080/auth/realms/master/protocol/openid-connect/token-H“内容类型：应用程序/x-www-form-urlencoded“-d”username=user1“-d”password=Chikodili1“-d”grant\u Type=passw

openid connect规范（）定义了一些默认声明，我想在keydape中为给定用户找到这些声明的值。这可能吗？我想您可以为每个用户找到这些信息。 如果是，请遵循这些步骤。 你需要两个步骤。首先，获取“id_令牌”并通过JWT.io对其进行解码 #我要邮递员给我一张“身份证”。 详细步骤遵循本说明第1至第5步。 #2使用jwt.io对其进行解码 从#1的主体部分复制id#U标记（仅蓝色背景文本） 将其粘贴到JWT.io的编码部分。 这些值应该在KeyClope UI中匹配。

在我正在开发的一个系统中，我希望使用keydove的admin restapi在我的keydove服务器中获取一个用户的ID令牌，而不知道用户的密码（即，仅使用admin用户的密码） 也就是说，我想要一个像 GET/{realm}/users/{id}/id令牌 有可能实现这一点吗 （Key斗篷的文档称可以实现定制API端点（）， 但我不确定是否可以添加所需的功能。）这听起来像是一个非常危险的功能（IDP管理员可以假装是其IDP用户池中的任何用户）。但是您仍然缺少一个输入客户机。每个客户端可以生

目标： 我们的目标是更新提供了json文件的整个领域 问题： 目前的问题是，我们似乎无法完全更新领域以包括客户端更改 采取的行动： 备选案文1： 基于，可以使用以下命令从JSON文件更新KeyClope领域： kcadm.sh更新领域/demorealm-f demorealm.json 但是，当更新JSON文件的客户机部分中的属性（即客户机的描述）时，该更改不会反映在KeyClope领域中 我们还尝试查看kcadm.sh帮助更新。我们尝试使用合并标志（将新值与服务器上的现有配置合并。除非指定了

我编写了自己的自定义令牌映射器，将每个组分配给用户的所有角色映射到访问令牌，作为单个声明，该声明是从组名到角色列表的映射（对象） 然而，我似乎无法部署它。这是我的自定义映射器： public class HierarchicalAttributesMapper extends AbstractOIDCProtocolMapper implements OIDCAccessTokenMapper, OIDCIDTokenMapper, UserInfoTokenMapper {...}

我有一个saml Keyclope客户端，它包含一个身份验证流覆盖，覆盖到java中构建并部署在Keyclope环境中的自定义Keyclope SPI身份验证程序。验证器非常简单，它显示一个用户名字段并获取该用户名，进行第三方检查，然后返回一个裁决（go/nogo、yes/no等） 我有一个SAML SP将请求发送到此keydepot客户端（作为IDP）。SP请求有一个LoginHint。当自定义验证器在authenticate方法中收到此请求时，它无法检索HTTP Post参数，因为没有参数

用例： 从事件的EventListenerProvider内部，我希望对我们的KeyClope安全服务之一进行经过身份验证的REST调用。为此我需要一个代币 首先，我只是测试打印令牌以检查它是否成功 public void onEvent(final Event event) { Keycloak k = Keycloak.getInstance("http://localhost:8080/auth", "myrealm", &quo