SSO with keycloak

Question

keycloakをSSOフレームワークとして使用することを検討しています。

1. マルチテナントアプリケーションサーバーがすべてのkeycloak.json認証ファイルを保持する必要がありますサポートするために、それらのファイルを取得する方法はkeycloak管理者からであるkeycloakのドキュメントによると、動的にそれらを取得する方法がありますAPI経由で？少なくとも領域の公開鍵を取得するには？各レルムのこのファイルをアプリケーションサーバーに手動で追加しないでください（ダウンタイムなどを避けるため）。

2. もう1つのマルチテナント関連の質問 - ドキュメントによると、各レルムに対して同じクライアントを作成する必要があります。したがって、100のレルムと10のクライアントがある場合、同じ10クライアントを100回定義する必要があります。代わりはありますか？

3. 私たちの流れの1つは、アプリケーションに対して認証されるバックエンドマイクロサービス（キークローククライアントとして定義）です。セキュリティ上の理由から、ユーザー/ pswをサーバー上に置かないようにしたいのですが、管理者はトークンを取得して、そのマイクロサービスのサーバーファイルシステムに手動で配置できますか？ keycloakのUIにこのトークンを生成するオプションはありますか？

ありがとうございます。

Answer 1

1. すべてKeycloakの機能はadmin REST APIを介して利用可能であるので、あなたはこれを自動化することができます。レルムの公開鍵は、http://localhost:8080/auth/realms/{realm}/

2. から入手可能です。各テナントの領域は、テナント固有のログインページを提供します。したがって、これは行く方法です - 10クライアントが100回登録されました。 KeycloakのドキュメントのClient Registrationの章を参照してください。特定のテーマを必要としない場合は、すべてを1つのレルムに入れることができますが、そのパス上で柔軟性を失うことになります。

3. バックエンドマイクロサービスが技術的なユーザーのように見える場合は、期限切れではないオフライントークンを発行できます。 This is the online documentation for offline tokens。現在、管理者がオフライントークンを取得する管理者機能はありません。これを自分で構築する必要があります。管理者は、指定された管理APIを使用してオフライントークンを後で取り消すことができます。