> ## Documentation Index
> Fetch the complete documentation index at: https://docs.flashcat.cloud/llms.txt
> Use this file to discover all available pages before exploring further.
# Keycloak
> 通过 Keycloak 配置 SAML2.0 或 OIDC 协议实现单点登录
Keycloak 是一个开源的身份和访问管理解决方案,提供了一套全面的工具和功能,帮助开发人员快速实现安全的用户身份验证和授权机制。
本篇文章不涉及部署和讲解 Keycloak 相关内容,如需了解更多信息,请参考 [官方文档](https://www.keycloak.org/)。
## 协议配置
### 1. 获取 ACS 地址
登录 Flashduty 控制台,获取 ACS 地址(后续步骤会用到)。
路径:**访问控制 => 单点登录 => 设置 => SAML2.0 协议 => Flashduty 服务提供商信息 => Assertion Consumer Service URL**
### 2. 创建 Client
登录 Keycloak 控制台,路径:**Clients => Create client**
* **Client Type**:选择 SAML 协议
* **Client ID**:填写 `flashcat.cloud`(固定值,不可更改)
**Valid redirect URIs**:填写从 Flashduty 获取的 ACS 地址
### 3. 配置 Client 相关信息
**Name ID format** 更改为 email 类型:
**Client signature required** 设置为关闭状态:
**创建 Client scope**:
创建之前需要先删除之前 OpenID Connect 协议的用户,创建完成设置为 Default。
参考下图依次创建 email/phone/username 三种类型:
创建完成的效果:
**将添加的用户加入到 Client 中**:
**配置 email/phone/username 映射器**(以 email 为例,其他按照相同步骤配置):
### 4. 下载 XML 文件
下载的文件是一个压缩包,在本地解压后会有两个 xml 文件,只需要 `idp-metadata.xml` 文件即可。
在 **Client => Action** 中下载到本地:
上传 XML 文件到 Flashduty 的单点登录配置中:
### 5. 创建用户并测试登录
创建用户(一定要绑定一个邮箱地址):
**登录测试**:访问 `console.flashcat.cloud`,选择 SSO 登录,在域名处填写单点登录配置中的登录域名前缀。
### 1. 获取 Redirect URL
登录 Flashduty 控制台,获取 Redirect URL(后续步骤会用到)。
路径:**访问控制 => 单点登录 => 设置 => OIDC 协议 => Flashduty 服务提供商信息 => Redirect URL**
### 2. 创建 Client
登录 Keycloak 控制台,创建新 Client:
* **Client Type**:选择 OIDC 协议
* **Client ID**:没有特殊要求
**Client authentication**:保持开启状态
**Valid redirect URIs**:填写第 1 步获取的 Redirect URL 地址
### 3. 获取 Client 相关信息
* **Client ID**:创建 Client 时填写的 ID
* **Client Secret**:在 **Client 详情 => Credentials** 卡片中查看
* **Issuer**:在 **Realm settings => Endpoints => OpenID Endpoint Configuration** 中查看
### 4. 配置 Flashduty 单点登录
将上述信息填入 Flashduty 单点登录配置:
配置完成后,登录测试参考 SAML2.0 协议的第 5 步即可。