长话短说,我的目标是将所有用户权限集中管理,然后部署到各个地方。我认为 Active Directory/FreeIPA 非常适合这种事情。它也很方便,因为有些用户需要登录 Linux 服务器。此外,我需要将帐户与 GSuite 帐户链接(使用 Google Cloud Directory Connector 很容易)。问题是用户需要通过 Oauth2 SSO 服务登录。当用户首次登录时,它应该在 FreeIPA 中提供一个帐户,然后每个应用服务都可以使用 LDAP 进行用户管理以获取组等。由于 OAuth 超出了 IPA 的范围,我寻找了这方面的选项。我尝试实施 Keycloak 来执行此操作并使用 SSO 服务作为身份提供者。问题是,据我所知,Keycloak 不支持常规 OAuth2,只支持 OpenID 标准,这会导致问题。
我总是可以创建一个简单的应用程序来实现这一点,但在开发自定义解决方案之前,我想知道是否有一个标准方法可以做到这一点。我可能也遇到过类似的问题。
PS 作为附加奖励,如果我可以在 SSO 登录后在某些帐户上实施 2fa 就太好了。