我有一个SPA web应用程序,使用openidconnect通过本地密钥斗篷进行身份验证和授权。该应用程序现在正在使用AD、kerberos票证和中央SSO转移到windowsonprem基础设施。用户在他们的windows会话中登录,然后我们将能够透明地登录我们的SPA网络应用程序。(没有输入凭证(如何将kerberos票证/身份验证转换为Openidconnect世界?魔法在哪里?我们可以在应用程序中添加一些kerberos吗?我们如何检索包含用户角色的访问令牌?
感谢
您的SPA应该继续使用OIDC与Keycaptain对话,并且SPA中的任何代码都不需要更改。您的API也将继续接收相同的访问令牌。
您应该只需要配置Key斗篷,就可以使用AD作为LDAP数据源进行身份验证。这是一篇关于如何做到这一点的文章。这是一项基础设施工作,而不仅仅是一项编码工作,因此我建议在环境设置方面与AD管理员合作。
AD只是一种可能的身份验证方法,通过这样做,您可以保留自己的选择。您可能需要执行帐户链接,例如在迁移前后识别相同的用户。这里可能涉及一些数据设置,例如确保AD拥有与现有系统相同的电子邮件。