当我登录到我在Keycloft中配置的身份提供程序时,它会将我重定向回带有代码和状态的Keycloft,但Keycloft会抛出服务器错误,而不是接受代码并为我的应用程序/浏览器创建令牌。服务器错误看起来像:
Caused by: org.keycloak.broker.provider.IdentityBrokerException: Wrong audience from token.
at org.keycloak.broker.oidc.OIDCIdentityProvider.validateToken(OIDCIdentityProvider.java:484)
at org.keycloak.broker.oidc.OIDCIdentityProvider.validateToken(OIDCIdentityProvider.java:458)
at org.keycloak.broker.oidc.KeycloakOIDCIdentityProvider.processAccessTokenResponse(KeycloakOIDCIdentityProvider.java:67)
at org.keycloak.broker.oidc.OIDCIdentityProvider.extractIdentity(OIDCIdentityProvider.java:425)
at org.keycloak.broker.oidc.OIDCIdentityProvider.getFederatedIdentity(OIDCIdentityProvider.java:351)
... 71 more
这个特定的Key斗篷服务器也有来自LDAP的用户联合,并且LDAP中的用户与来自身份提供程序的用户不同。将此身份提供程序移动到一个没有LDAP的新领域,可以在Key斗篷中创建新用户,并创建会话+令牌。