alternatives - ¿Cuáles son los puntos finales OAuth2/OpenID Connect de Keycloak?

keycloak js (8)

Con la versión 1.9.3.Final, Keycloak tiene varios puntos finales OpenID disponibles. Estos se pueden encontrar en /auth/realms/{realm}/.well-known/openid-configuration . Suponiendo que su reino se llame demo , ese punto final producirá una respuesta JSON similar a esta.

{ "issuer": "http://localhost:8080/auth/realms/demo", "authorization_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/auth", "token_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token", "token_introspection_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/token/introspect", "userinfo_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/userinfo", "end_session_endpoint": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/logout", "jwks_uri": "http://localhost:8080/auth/realms/demo/protocol/openid-connect/certs", "grant_types_supported": [ "authorization_code", "implicit", "refresh_token", "password", "client_credentials" ], "response_types_supported": [ "code", "none", "id_token", "token", "id_token token", "code id_token", "code token", "code id_token token" ], "subject_types_supported": [ "public" ], "id_token_signing_alg_values_supported": [ "RS256" ], "response_modes_supported": [ "query", "fragment", "form_post" ], "registration_endpoint": "http://localhost:8080/auth/realms/demo/clients-registrations/openid-connect" }

Por lo que he encontrado, estos puntos finales implementan la especificación Oauth 2.0 .

Estamos tratando de evaluar Keycloak como una solución de SSO, y se ve bien en muchos aspectos, pero la documentación es penosamente escasa en lo básico.

Para una instalación de Keycloak dada en http://localhost:8080/ for realm test , ¿cuáles son el punto final de autorización OAuth2 , el punto final del token OAuth2 y el punto final OpenIn Connect UserInfo ?

No estamos interesados en usar la propia biblioteca de cliente de Keycloak, queremos usar las bibliotecas de cliente estándar de OAuth2 / OpenID Connect, ya que las aplicaciones de cliente que usan el servidor de keycloak se escribirán en una amplia gama de lenguajes (PHP, Ruby, Node, Java, C # , Angular). Por lo tanto, los ejemplos que usan el cliente Keycloak no nos sirven.

Después de mucho investigar, pudimos raspar la información más o menos (principalmente de la propia biblioteca JS de Keycloak):

Punto final de autorización: /auth/realms/{realm}/tokens/login
Punto final del token: /auth/realms/{realm}/tokens/access/codes

En cuanto a OpenID Connect UserInfo , en este momento (1.1.0.Final) Keycloak no implementa este punto final, por lo que no es totalmente compatible con OpenID Connect. Sin embargo, ya hay un patch que agrega que a partir de este escrito debería incluirse en 1.2.x.

Pero , irónicamente, Keycloak envía un id_token junto con el token de acceso. Tanto id_token como access_token son access_token firmados , y las claves del token son las claves de OpenID Connect, es decir:

"iss": "{realm}" "sub": "5bf30443-0cf7-4d31-b204-efd11a432659" "name": "Amir Abiri" "email: "..."

Entonces, aunque Keycloak 1.1.x no es totalmente compatible con OpenID Connect, "habla" en el lenguaje OpenID Connect.

En la versión 1.9.0, json con todos los puntos finales está en address / auth / realms / {realm}

Punto final de autorización: / auth / realms / {realm} / account
Punto final del token: / auth / realms / {realm} / protocol / openid-connect

En realidad, el enlace a .well-know está en la primera pestaña de la configuración de su reino, pero el enlace no se ve como un enlace, sino como el valor del cuadro de texto ... mal diseño de interfaz de usuario. Captura de pantalla de la pestaña General del reino

Enlace siguiente Proporciona un documento JSON que describe metadatos sobre Keycloak

/auth/realms/{realm-name}/.well-known/openid-configuration

Información siguiente informada con Keycloak 6.0.1 para el dominio master

{ "issuer":"http://localhost:8080/auth/realms/master", "authorization_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/auth", "token_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/token", "token_introspection_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/token/introspect", "userinfo_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/userinfo", "end_session_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/logout", "jwks_uri":"http://localhost:8080/auth/realms/master/protocol/openid-connect/certs", "check_session_iframe":"http://localhost:8080/auth/realms/master/protocol/openid-connect/login-status-iframe.html", "grant_types_supported":[ "authorization_code", "implicit", "refresh_token", "password", "client_credentials" ], "response_types_supported":[ "code", "none", "id_token", "token", "id_token token", "code id_token", "code token", "code id_token token" ], "subject_types_supported":[ "public", "pairwise" ], "id_token_signing_alg_values_supported":[ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512" ], "userinfo_signing_alg_values_supported":[ "PS384", "ES384", "RS384", "HS256", "HS512", "ES256", "RS256", "HS384", "ES512", "PS256", "PS512", "RS512", "none" ], "request_object_signing_alg_values_supported":[ "PS384", "ES384", "RS384", "ES256", "RS256", "ES512", "PS256", "PS512", "RS512", "none" ], "response_modes_supported":[ "query", "fragment", "form_post" ], "registration_endpoint":"http://localhost:8080/auth/realms/master/clients-registrations/openid-connect", "token_endpoint_auth_methods_supported":[ "private_key_jwt", "client_secret_basic", "client_secret_post", "client_secret_jwt" ], "token_endpoint_auth_signing_alg_values_supported":[ "RS256" ], "claims_supported":[ "aud", "sub", "iss", "auth_time", "name", "given_name", "family_name", "preferred_username", "email" ], "claim_types_supported":[ "normal" ], "claims_parameter_supported":false, "scopes_supported":[ "openid", "address", "email", "microprofile-jwt", "offline_access", "phone", "profile", "roles", "web-origins" ], "request_parameter_supported":true, "request_uri_parameter_supported":true, "code_challenge_methods_supported":[ "plain", "S256" ], "tls_client_certificate_bound_access_tokens":true, "introspection_endpoint":"http://localhost:8080/auth/realms/master/protocol/openid-connect/token/introspect" }

FQDN / auth / realms / {realm_name} /. Bien conocido / openid-configuration

verá todo aquí, además, si el proveedor de identidad también es Keycloak, al alimentar esta URL se configurará todo también con otros proveedores de identidad si lo admiten y ya lo manejaron

Para Keycloak 1.2, la información anterior se puede recuperar a través de la URL

http://keycloakhost:keycloakport/auth/realms/ {realm} /. configuración conocida / openid

Por ejemplo, si el nombre del reino es demo :

http://keycloakhost:keycloakport/auth/realms/demo/.well-known/openid-configuration

Un ejemplo de salida de la URL anterior:

Información encontrada en https://issues.jboss.org/browse/KEYCLOAK-571

Nota: es posible que deba agregar su cliente a la lista de URI de redireccionamiento válido

versión de keycloak: 4.6.0

TokenUrl: [dominio] / auth / realms / {REALM_NAME} / protocol / openid-connect / token
AuthUrl: [dominio] / auth / realms / {REALM_NAME} / protocol / openid-connect / auth