在域中，我们希望授予“模拟”访问权限——但是，是否可以限制“模拟”在域中选择客户端

我们最近从JAAS切换到KeyClope。应用程序是带有EJB和MDB的JavaEE应用程序。 在WildFly中设置keydape登录模块，将用户从wen传播到EJB&它起作用了。 但在从MDB调用EJB时面临问题。收到消息时，MDB中存在匿名用户。因此，用户没有调用受以下保护的EJB的权限： <s:security> <ejb-name>*</ejb-name> <s:missing-method-permissions-deny-a

我尝试为KeyClope实现一个自定义OAuth社交登录提供程序。我的蓝图是keybeapt代码中的实现 这是我的pom.xml： <dependencies> <dependency> <groupId>org.keycloak</groupId> <artifactId>keycloak-core</artifactId> <version>${keyc

是否有一种方法可供所有用户在KeyClope中创建自定义用户属性（如电话号码）？您可以创建一个组并向其中添加属性 然后将该组设置为默认组。这样，设置为组的属性可供所有用户使用1。不起作用，至少在4.6.0.Final上不起作用；2.不回答问题，即询问是否能够为每个用户添加其他唯一属性。向所有用户提供一个电话号码。

我有一个用户的电子邮件地址。我想创建一个用户，并向他们发送一封带有链接的电子邮件，以设置他们的密码并激活他们的帐户。这种流支持在KeyClope中吗？我想我可以在keydape中配置用户，并使用UserResource发送executeActionsMail。这是正确的方法吗？是的，KeyClope确实支持这种流。您可以使用KeyClope管理客户端进行此操作。 UserResource是用于此的正确类。您正朝着正确的方向前进。我可以跳过ExecuteActionsMail，或者向UserRes

验证电子邮件/配置文件后的RIs@otongletIs Browser/Redirect不在“流量”选项卡下的Http质询中？它没有登记。。 keycloak.init({onLoad: 'login-required'}).then(function (authenticated) { if (!authenticated) { } else{ } htttps://localhost/auth/realms/rea

我的钥匙斗篷中有一个领域“TestKunde2”（9.0.2） 我想用clientid/secret获得的令牌通过REST调用向用户查询。但我得到了错误401。我可以用一个没有空格的名称查询类似领域中的用户。密钥斗篷SPA可以执行相同的请求，但它使用来自主域的令牌 我的要求是： curl--location--request GET'https://pc62.mid.de:9443/auth/admin/realms/Testkunde%202/users?briefRepresentation

我已经为“登录事件设置”和“管理事件设置”启用了所有“保存类型”；但是，我似乎找不到在日志中可以查看代表用户SSO发送到客户端的属性列表的位置 V12.0.4；客户是saml；IDP是saml 我是否错过了KeyClope中查看发送给客户机的属性的w.r.t方式——从“登录事件”或“服务器| | audit.log”或任何其他方式

我有一个应用程序，它使用一个keydove服务器a作为身份验证服务器，使用另一个keydove服务器B作为身份提供者（keydove OpenID Connect）。 因此，在KeyClope服务器A的登录页面上，有一个“使用服务器B登录”按钮。 当用户单击“使用服务器B登录”并完成登录时，他将重定向回应用程序并登录 是否可以生成一个链接，将用户重定向到KeyClope服务器B的注册页面，并在用户完成注册后，将其重定向回应用程序并登录？ 可以说是“在服务器B注册”按钮 我已经尝试为服务器a的注册

当KeyClope发送到SAML客户机时，是否可以对NameID应用大写规则 NameID值以大写形式存储在keydape中，但是在发送到SAML客户机时会转换为小写

背景 我需要将定制应用程序的用户数据库迁移到KeyClope。我已经创建了一个keydape add user.json文件，成功导入了用户。迁移的用户密码在原始系统中是散列的，但是我已经实现了一个keydove Password散列SPI服务类，它使用现有的算法来验证迁移用户的散列值和salt值。Hash-SPI类从keydove-SPI实现PasswordHashProviderFactory和PasswordHashProvider，并基于“Pbkdf2PasswordHashProvid

我们的团队正在进行一个集成到KeyClope中的项目。我们创建了一个自定义领域，比如ProjectX，并使其上的自定义主题能够应用于Key斗篷的登录页面 既然我们的主题应用于领域ProjectX而不是master，那么当我们第一次访问KeyClope登录页面时，我们如何将自定义领域与主题一起默认显示 不确定您正在构建哪个项目以及如何在ProjectX项目中配置KeyClope。好的，让我们忽略所有这些，看看我们通常是如何浏览KeyClope的。我们只需点击https://：/auth，它就会显示

我试图理解keydepeat的管理客户端api，尤其是在连接方面 有一篇文章也提到了类似的需要，即每个角色都有用户 我们如何使用管理客户端来实现这一点 因为现在我正在检索所有用户并检查角色是否匹配： List<UserRepresentation> userRepresentations = keycloak.realm(realm).users().search("", 0, 1000); //get all users :( for (UserRepresent

我想设置谷歌联盟使用Key斗篷，但只为授权用户在我的公司 设置Google federation允许任何Google帐户登录 我已经查看了KeyClope上的身份验证流，但是我找不到一种方法来设置它。我可以想出几个简单的场景，我希望keydepeat能够开箱即用 当有人尝试登录时，不需要自动创建帐户，而是要求已经存在具有完全相同电子邮件/用户名的帐户，并在该特定用户尝试登录时根据电子邮件链接这些帐户 当用户第一次使用Google登录时自动创建一个帐户，链接他们，但是需要管理员手动激活该帐户才能使

因此，我想实现keydape JWT令牌的离线验证。离线验证通过获取JWT令牌的签名部分并应用服务器的公钥来验证签名来实现。描述了该过程 然而，我面临一个问题，即keydove创建的令牌不能通过使用服务器的公钥进行验证。为了快速验证，我使用这个 下面是我的例子： 我通过KeyClope的身份验证并获得了一个访问令牌： eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJMdTZNY1h4M3ZOeVkydjVwREpDMVBFaUpUUjJSbm

JSF项目 Wildfly+应用程序（在8080上） 相同的服务器密钥斗篷（在8180上） 当我触发登录时（通过转到需要登录的页面），我转到以下链接： https://thexxxxxx.nz/auth/realms/TheXxxxxXxxxx/protocol/openid-connect/auth?response_type=code&client_id=thexxxxxxxxx&redirect_uri=https%3A%2F%2Fthexxxxxxx.nz%2Fthexx

不久前，我们安装了一个KeyClope服务器，添加了一些Active Directory联合，现在发现一些用户没有同步，因为他们使用的电子邮件地址与其他用户相同。在我们的例子中，这是正确的，因此没有简单的方法来改变这一点 我记得有一个领域设置，可以防止/允许使用重复的电子邮件，但在我们的领域中再也找不到了。因此，我创建了一个新的，在那里它显示了unter REALM Settings/Login 无论我尝试做什么，我都无法通过此开关更改允许重复电子邮件的设置。我已经检查了数据库（选择允许从id=

在KeyClope的基本模板中，有多个变量示例，可在Freemarker模板中访问。例如，在文件中： 有以下字段： properties.kcFormGroupClass realm.memberme url.registrationUrl 这些散列定义在哪里？我在文档中发现的唯一一件事是我可以访问： ${some.system.property}-用于系统属性 ${env.env_VAR}-用于环境变量 但我找不到f.e.url选项。我想显示用户试图访问的地址。所有这些实体都是在页面呈现期间

当通过RESTAPI端点创建新用户时，如何向新创建的用户添加用户角色 初始用户创建端点时不包括角色。首先，我们需要通过RESTAPI端点创建用户。post请求域/auth/admin/realms/{realm name}/users 然后，我们要向创建的用户添加一个用户角色。为此，我们应该拥有所创建用户的用户名。如果您已在密钥斗篷中启用电子邮件作为用户名。您可以通过该电子邮件从密钥斗篷获取用户数据 使用端点下方的用户名获取用户数据。获取请求域/auth/admin/realms/{real

我目前正在尝试使用keydape作为OICD/OAuth提供者，并计划根据应用程序中的角色使用它进行授权。为此，我需要角色来申请包含在生成的访问令牌中的会话 我的计划如下： 定义已分配角色的作用域 将作用域作为可选作用域添加到KeyClope中的我的应用程序/客户端 使用内置的“角色”作用域（及其映射器）作为客户端的默认值，将有效角色添加到生成的访问令牌中 期望生成的访问令牌中的相关“角色”声明的值等于分配给登录时请求的作用域的角色 到目前为止，除了生成的访问令牌中有趣的“角色”声明包含用户

我知道之前有一个关于这个问题的问题，但是OP从未报告过一个答案是否解决了这个问题。自从 Internal Server Error 是关于用户不友好，因为你可以得到，我想改变这一点，感觉更像是“一个信息”，而不是“一个铁砧落在你的脚上” 我发现这与这个问题（关于正在消失的“重复电子邮件”开关）有着千丝万缕的联系，但问题确实不是是否允许重复电子邮件（或如何恢复隐藏的管理控制），而是如何将一个非常普通的问题传达给用户，例如，当用户尝试使用现有用户名注册时，keydape会通知用户 目前，我们正在使

我一直在试验RESTAPI，使用我登录的用户帐户的令牌，然后对我的用户记录发出PUT请求，以更新一些自定义属性 为了完成这项工作，我必须在KeyClope中授予我的用户帐户“管理用户”角色，在此之前，我得到了禁止的回复 我现在可以成功地发出PUT请求，在注销和重新登录之后，我可以看到我在PUT请求中设置的更新属性 但是我现在允许我的用户能够管理我领域中的所有用户，这是我不想允许的 相反，我只想能够更新我自己的帐户详细信息 我知道用户可以查看自己的个人资料，并在KeyClope提供的屏幕上进行更改

我已经创建了自定义授权流，我想将浏览器绑定流更改为此自定义API调用 如果有人感兴趣，我已经知道了 curl -X PUT -H "Content-Type: application/json" -H "Authorization: Bearer $KEYCLOAK_TOKEN" -d '{"browserFlow": "Custom flow"}' 'http://keycloak:8080/auth/admin/realms/master/'

我正在管理控制台中测试Key斗篷授权服务，我无法理解为什么在下一个示例中Key斗篷正在授权用户（在评估选项卡中测试）。这是我的设置： 创建了一个域test 创建了启用了授权的客户机democlient 创建领域角色Admin 创建用户adminuser并将其分配给Admin角色 在授权选项卡中，使用客户端演示客户端： 在设置中->策略实施模式设置为实施 创建两个作用域：列表和保存 使用前面的两个作用域创建一个资源资源a 在策略选项卡中，创建一个名为仅管理员的新角色策略，其中（当然）我只允

我使用ApacheKaraf4.x来提供rest服务。我想通过KeyClope为我的服务提供身份验证和授权。我不想对每项服务进行直接更改。相反，我希望以这样的方式配置karaf：如果请求未经过身份验证，那么它将转发到KeyClope以获得会话。或者可能存在客户端凭据或承载令牌，karaf可以在允许使用服务之前检查该令牌 感谢您的帮助 提前感谢查看Karaf+PaxWeb如何解决此问题。这个机制默认在Red Hat Fuse 7中工作，这是一个定制的ApacheKaraf发行版，用于支持Camel

我们正在构建一个应用程序，其中多个客户端可以注册并拥有自己的用户群。例如，客户机“CompanyA”可以注册，然后允许其用户使用自己的用户名（有些来自LDAP）访问我们的系统。“CompanyB”也可以这样做，用户名对于一个客户端是唯一的，但是可以跨客户端复制 我们正在使用KeyClove来实现这一点，并使用领域的概念来实现这一点。当一个新的客户机注册时，我们为他们创建一个新的领域，并进行必要的配置。这正如预期的那样工作，但是我们的中间件有问题 我们的中间件是Kong，它有一个OIDC插件，我们

我不熟悉keydove，我在前端和后端应用程序中使用keydove，但在jwt.io中解码时，我在keydove生成的令牌中获得了不同的颁发者 前端： 颁发者与前端应用程序的基本URL相同 例如： 如果前端URL为，则颁发者与 通过邮递员请求： 颁发者是内部DNS名称 我试过以下方法 代理重定向（使用保留主机）-生成具有前端基本url的颁发者 不保留主机的代理重定向-期望在前端应用程序中解析专用DNS 围绕KeyClope配置进行了游戏-将frontendUrl更新为，并将forceB

在Kydape中，他们解释了如何在创建资源时创建新权限。我的问题是，我们如何使用rest api将现有权限与新资源关联？文档中缺少这一部分 到目前为止我试过这个 curl -X POST \ http://localhost:8180/auth/realms/photoz/authz/protection/uma-policy/{resource_id} \ -H 'Authorization: Bearer '$access_token \ -H 'Cache-Control: n

由于注销请求中没有clientId，因此无法根据客户端的有效重定向URI列表验证URL，从而允许重定向到任意URL： 是否有解决此问题的方法，还是必须进行代码修复？谢谢。您可以（也应该）为域中的每个客户端注册“有效重定向URI”。如果您不允许并指定，即“*”以允许任何URL，则会发生您描述的事情 使用域“master”（初始配置）尝试注销：您将收到错误消息“Invalid redirect uri”。很高兴它能工作。请随意接受答案：-）这是一个严重的错误配置。我觉得有趣的是，文档中没有那么清楚

我们在负载平衡器F5后面部署了KeyClope。OIDC客户端位于公共网络中，所有通信都使用“https”。SSL在F5中终止，数据包被转发到KeyClope（比如在端口8080上）。 OIDC客户端的设计方式是使用它在响应.众所周知的/openid配置请求时接收的端点（如/token等） 这里的问题是，。众所周知的配置使用协议为http的URL对所有端点进行响应，其中as客户端希望协议为https。由于此原因，客户端无法与这些URL建立安全连接 问题是-我们如何对进行响应。众所周知的/open

如何查找identity.attributes中存在的所有属性 var context = $evaluation.getContext(); var permission = $evaluation.getPermission(); var resource = permission.getResource(); var identity = context.getIdentity(); print(identity.attributes) if (identity.id == resour

我已经设置了keydape从openldap服务器导入用户。作为测试运行，我使用了默认的h2，看看是否可以让它运行。它可以正确连接和验证。单击“同步所有用户”后，它会报告x导入用户成功，0更改用户成功。进入Manage=>Users并单击View all Users之后，它只显示一个带有电子邮件的通用用户名用户user@user.com. 我从server.log获得的唯一信息是下面的警告消息 我不确定该朝哪个方向去寻找如何解决这个问题。是否有其他地方我应该寻找错误消息或其他我应该尝试的东西 2

我有一个用户在一个包含密码策略的领域中使用客户端角色领域管理。 我想将此用户从密码策略中排除，因为我使用此用户执行一些操作获取角色通过Java API获取所有用户，并且我不希望在需要更新密码时删除所有操作。 我试图使用主领域的管理员用户，但没有得到任何结果 有什么想法吗 当您使用密码策略在KeyClope中创建一个域，并且希望将管理员用户从该策略中排除时，请执行以下步骤： 当用户创建新的领域时，例如FooRealm KeyClope在主领域中添加了带有后缀-realm的兄弟客户端，在本例中，我们

我在谷歌上搜索了很久，现在我有点困惑，我应该在KeyClope中创建自定义iDP还是身份验证提供者 以下是我的要求。 我有多个客户端，每个客户端都有登录API，成功登录时也会返回JWT令牌，所以业务需要的是，当用户尝试登录时，我希望keycloack使用客户端API对用户进行身份验证，一旦用户通过客户端API成功身份验证，keycloack应生成令牌以供进一步操作 另一个问题是，我能否使用来自客户端的相同令牌返回作为Keycloack令牌，因为客户端上有一些API解码令牌并使用来自令牌的一些信息

我无法控制提供SAML断言的AD身份验证服务器。广告服务器的时间通常会缩短几秒钟 从Key斗篷的日志中： 16:08:33,713 DEBUG [org.keycloak.saml.validators.ConditionsValidator] (default task-5) Evaluating Conditions of Assertion _1468eee4-406b-4fd8-8743-b60c5df535b6. notBefore=2019-07-02T20:08:37.322Z,

我使用的是授权服务器。用户通过grant\u type:password向MyWebApp和MyWebApp发送自己的用户名/密码，获取令牌，然后向用户发送响应令牌。现在，我希望我的用户能够获取他们的信息、更改他们的密码以及与他们自己相关的一切RESTFUL。当我向/{realm}/users/{id}发送rest请求以获取用户信息时，keydape会得到403错误响应。如何在没有管理员访问的情况下从keyclaok获取用户信息 注意：我已经看到了，但是我也想给用户提供编辑配置文件。我认为您使用

我需要配置在Docker中运行的KeyClope，包括一个域、一个具有凭据的用户和一个客户端，然后获得一个JWT，如下所示。如果我使用如图所示的UI，它可以工作，但我需要通过KeyClope REST API自动化所有步骤。当我这么做的时候，所有的步骤似乎都起作用了，但是获得JWT失败了 我是这样在Docker经营Key斗篷的 docker network create keycloak-network docker run --name mysql -d \ --net keycloak

我们需要从csv文件将数百个用户导入KeyClope。我还没有找到任何现成的导入功能来执行此操作 有没有人做过任何导入例程或至少一些框架来构建？RESTAPI可能是实现这一点的唯一方法——或者还有其他方法吗？我最近用Java构建了类似的东西。您可以使用RESTAPI，但也有管理客户端。请参阅以获取一些提示。使用例如添加CSV支持应该很简单 基本上，您可以添加Maven依赖项： <dependency> <groupId>org.keycloak</groupId

我能够通过配置SMTP服务器详细信息触发验证电子邮件 然而，在keybeapt中有没有任何方法可以使用restapi或任何其他方式发送电子邮件？尝试搜索这样的api，但没有成功。检查管理文档，发送电子邮件的端点可用，例如，验证： PUT /admin/realms/{realm}/users/{id}/send-verify-email 我知道此端点用于发送验证电子邮件。我想要一个端点，我可以使用它发送包含内容的电子邮件。然后我不确定是否理解您的问题，您想要一个“通用”端点来发送包含自定义内容

我在从（移动）应用程序调用KeyClope的注销端点时遇到问题 支持此方案，如中所述： /领域/{realm name}/protocol/openid连接/注销 注销端点注销经过身份验证的用户 用户代理可以重定向到端点，在这种情况下，活动用户会话将注销。之后，用户代理被重定向回应用程序 应用程序也可以直接调用端点。要直接调用此端点，需要包括刷新令牌以及验证客户端所需的凭据 我的请求格式如下： POST http://localhost:8080/auth/realms/<my_realm

我在WildFly 10中部署ear时遇到以下异常。安装了Apapter，因此ear中不包含JAR，也没有依赖项集 原因：java.lang.NoClassDefFoundError: 组织/密钥斗篷/密钥斗篷主体 原因：java.lang.ClassNotFoundException:org.keydeport.keydeprincipal来自[模块] \“deployment.app.ear.appEJB.jar:main\”来自服务模块加载器]“}， “WFLYCTL0412:未安装的必需

在Red Hat Single Sign-On（以及Key斗篷）中，有此功能。如果您单击它，然后输入用户名，您将收到一封电子邮件，其中包含更改密码的链接 注意：访问该链接的URL将使其无效 问题：我们的一些客户的安全软件会跟踪电子邮件中的每个链接，导致在链接到达客户之前出现无效令牌（“无效代码”） 有什么建议吗？为安全软件添加例外情况怎么样？：）我希望在一开始就不必激怒客户（人）的情况下得到一些东西。可能是密码更改后令牌失效，不知道。

我有一个领域，有几个使用SSO的OpenId客户端。我需要确定每个keydape用户来自哪个客户端 如何获取此信息？如果解码每个JWT都有参数azp，这是客户端id。如果解码令牌，字段“aud”是您的“客户端id” 使用。回答我自己的问题来检查此信息 我没有在Keyclope的令牌中找到这些信息。所以我添加了一个脚本 在Authentication>Registration flow中，我使用以下函数添加了类型为“Script”的执行： function authenticate(context

我以身份代理的身份运行keydeport，并配置了一个身份提供者 当具有来自我的IdP的有效令牌的用户第一次访问我的应用程序时，该用户将使用来自令牌的信息在KeyClope中创建。这包括电子邮件、用户名、名字和姓氏。keydapore然后用该用户信息发布其令牌 当同一用户随后登录时，将根据keydrope数据库中的用户信息构建keydrope令牌 我的问题是：如果用户在IdP更改了他的姓氏，我如何配置keydove来自动更新其记录以匹配IdP令牌上的信息？我们提出的解决方案是实现我们自己的Ide

我在KeyClope中创建了一个组，并向该组添加了用户。我想通过向一个用户添加管理员角色来添加一个用户作为组的组管理员，其他用户应保留用户角色 一个用户可以属于多个组。例如，用户A可以在组A、组B和组C中。用户A也是组A的管理员，在组B和组C中，他是普通用户 有什么方法可以在KeyClope中实现这一要求吗 请告诉我是否有任何解决方案。您可以在组a下面有一个具有默认管理员角色的子组管理员，并将用户a放入该子组 或者，为什么不将单个管理员角色分配给用户_A？ 据我所知，组在KeyClope中起作用

我正在尝试设置一个（Docked）KeyClope实例，但在成功登录后，它的“安全管理控制台”会不断将我重定向到一个内部URL，而不是我在dns中设置的URL。查看设置，其根URL设置为${authAdminUrl}。我可以用实际的URL覆盖这个值，但我更愿意更改变量的值。那么${authAdminUrl}从哪里来，更重要的是，我如何操作它呢？TLDR:environment variablekeydrope\u HOSTNAME 更微妙一点： 占位符${authAdminUrl}的值是一个完整

根据演示FHIR智能授权流的示例，令牌响应包含其他属性： { "need_patient_banner": true, "smart_style_url": "https://launch.smarthealthit.org/smart-style.json", "patient": "155d3d80-f3f0-4b39-9207-0d122cf94a11",

我有两个钥匙斗篷王国。Realm1充当身份代理，Realm2充当身份提供者。Realm2中的一个用户会话可以链接到Realm1中的多个会话。我想确保在Realm2中注销会话时，Realm1中的所有链接会话都已注销 没错，我已经在Realm2中输入了Realm1的注销url作为客户端注册的一部分（作为反向通道注销url），但它不起作用。可能是因为Realm1的常规注销URL在RP发起注销时起作用，但在本例中，Realm1本身就是RP（客户端）。Realm1充当RP/客户端时，Realm1的后台注销

我有一个密钥斗篷（KC）服务器，无法从internet访问。所有操作（用户创建、登录、注销、密码更改）都由web ui（Angular应用程序）和后端（Spring Boot）应用程序支持。 后端应用程序被创建为机密客户端，并使用KC Admin REST api创建和管理用户 有了这个配置，我想让用户更改他/她的密码，但我被卡住了！ 如何确保请求更改密码的用户与发布新密码的用户相同 密码更改流程为： a.用户通过发布其电子邮件地址请求更改密码 b.他/她收到一封包含令牌链接的电子邮件（此令牌只

我创建了一个MongoDbUserStorageProvider，将用户存储委托给MongoDB： public class MongoDbUserStorageProvider implements UserStorageProvider, UserLookupProvider, CredentialInputValidator, CredentialInputUpdater, UserQueryProvider,