Tóm lại, mục tiêu của tôi là quản lý tất cả các quyền của người dùng ở một nơi và sau đó triển khai ở mọi nơi. Suy nghĩ của tôi là Active Directory/FreeIPA là hoàn hảo cho loại điều này. Nó cũng có ích vì một số người dùng sẽ cần đăng nhập vào máy chủ linux. Ngoài ra, tôi cần liên kết tài khoản với tài khoản GSuite (điều này đủ dễ dàng với Google Cloud Directory Connector). Vấn đề là người dùng cần phải đăng nhập thông qua dịch vụ Oauth2 SSO. Khi người dùng đăng nhập lần đầu tiên, họ sẽ cung cấp tài khoản trong FreeIPA, sau đó mỗi dịch vụ ứng dụng có thể sử dụng LDAP để quản lý người dùng để nhận các nhóm, v.v. Vì OAuth nằm ngoài phạm vi của IPA nên tôi đã tìm kiếm các tùy chọn cho việc này. Tôi đã thử triển khai Keycloak để thực hiện việc này và sử dụng dịch vụ SSO làm nhà cung cấp nhận dạng. Vấn đề là, theo hiểu biết của tôi, Keycloak không hỗ trợ OAuth2 thông thường và chỉ hỗ trợ tiêu chuẩn OpenID, gây ra sự cố.
Tôi luôn có thể tạo một ứng dụng đơn giản để thực hiện việc này nhưng tôi muốn biết liệu có cách tiêu chuẩn nào để thực hiện việc này hay không trước khi tôi phát triển một giải pháp tùy chỉnh. Tôi sẽ có thông qua những người khác đã phải đối mặt với một vấn đề tương tự.
Tái bút Như một phần thưởng bổ sung, sẽ thật tuyệt nếu tôi có thể triển khai 2fa trên một số tài khoản sau khi đăng nhập SSO.
