Блог

У меня есть существующее приложение JSF, защищенное сервером CAS (версия 3.5.3).

Из-за настроек я не могу обновить сервер CAS до новой версии. Таким образом, нет доступных OIDC, OAuth2 или других современных протоколов. Я думаю, только CAS и ранняя версия SAML.

Я хотел бы установить единый вход на внешний Keycloak поставщика услуг. Они хотят, чтобы я настроил поставщика внутренней идентификации, который подключается к их внешнему IDP.

Я делал это раньше с помощью Keycloak, но в этом старом случае мой внутренний Keycloak был единственной точкой аутентификации. На этот раз это CAS.

Есть ли способ передать аутентификацию с CAS 3.5.3 на мой внутренний Keycloak без повторного входа в систему?

Я подумал о внедрении пользовательского поставщика хранилища пользователей SPI для подключения к моей существующей базе данных пользователей. Но тогда мне пришлось бы снова войти в свой Keycloak. Это правда?

Возможно ли это путем внедрения протокола CAS в мой внутренний Keycloak с использованием расширения CAS? Я думаю, что это позволяет Keycloak подключать клиента с использованием протокола CAS, но не к единому входу с помощью существующего сервера CAS, и пользователь должен войти в мой Keyloak. Пожалуйста, поправьте меня, если я ошибаюсь.

Есть ли способ передать аутентификацию с CAS 3.5.3 на мой внутренний Keycloak без повторного входа в систему?

Нет, и если он есть, для этого потребуется МНОГО-МНОГО кодирования и разработки. Если вы не можете обновиться, вы, скорее всего, не сможете внести такие изменения в любом случае.

Здесь есть плагин для внешней аутентификации SAML2, который должен позволять перенаправлять запросы на вход CAS на внешний IDP SAML2:

https://github.com/UniconLabs/cas-saml-auth

Если ваш keycloak поддерживает SAML2, возможно, это может сработать. Обратите внимание, что плагин не использовался с 2016 года, и его никто не поддерживает. Вы будете на 100% самостоятельны, если решите пойти на это.