Fragen rund um keycloak

Server Auth-Extern
1

Hallo.
Ich versuche mich gerade (wieder) mit keycloak auf dem edulution-Server anzufreunden, aber so richtig will mir das nicht gelingen :scream:
Für meinen Geschmack sind das für den Anfang einfach viel zu viele Einstellungen, die man nicht ganz durchschaut.

Eine erste Frage rund um dieses Thema: Das Master-Realm (nur für den Admin) soll man ja möglichst unberührt lassen. Zusätzlich existiert ja das edulution-Realm, in dem auch alle User bekannt sind.

Wie ist das gedacht, wenn ich einen Dienst wie z.B. canva per SSO anbinden will: Muss ich dann das Realm „edulution“ verwenden und kann innerhalb dieses Realms die Option

  • Configure
    • Internet-Providers
      • SAML 2.0

verwenden? Ich frage das deshalb, weil ich mir diese Frage gestellt habe:

  • Entweder man erzeugt ein ganz neues Realm und nimmt pro Realm die Einstellungen für SAML 2.0 vor :man_shrugging:

oder

  • man wählt das Realm für edulution, wo bereits alle User drin sind und macht die Einstellungen für SAML 2.0 innerhalb dieser Umgebung. Aber dann ist mir nicht klar, ob man das nur für eine einzige Anwendung benutzen kann oder wie das läuft, wenn man SAML (später) an mehreren Stellen verwenden will/muss :man_shrugging: :interrobang:

Wer blickt hier die Zusammenhänge?
Danke für einen guten Tipp,
Michael

2

Ok, ich antworte hier mal kurz selbst … es ist viel einfacher als ich dachte:

  • Realm „edulution“ wählen
    • → Clients
    • → Import Client
    • → XML-Datei vom anderen Anbieter importieren, in der alle Settings bereits enthalten sind

Dieser neue Client erscheint dann ebenfalls als SAML in der Übersicht unter „Clients“. Für die andere Seite entsprechend die XML-Datei von keycloak herunterladen. In diesem Fall unter

  • Configure
    • Realm Settings
    • Endpoints → SAML 2.0 Identity Provider Metadata

und diese XML-Datei auf der Gegenseite importieren. Damit sind die wichtigsten Einstellungen bereits gemacht.